隐私安全问题频发治理难如何破局
工信部对侵害用户权益App的整治仍在继续。
1月8日,工信部公布了第二批涉及侵害用户个人信息的App名单,共有15个App上榜,其中不乏拉勾招聘、luckin coffee 等App。工信部要求所提及App在1月17日前完成整改落实工作,逾期不整改将依法依规组织开展相关处置工作。
工信部表示,将以此次专项整治行动为契机,持续加强App监督检查,形成常态化监管机制,切实维护用户权益。
两批次共有56个App涉及侵害用户权益,虽然用户对侵犯个人信息的行为感知力度不如其他侵权行为明显,但数据隐私危害不可小觑。
整改围绕用户个人信息展开
国内关于App侵害用户权益的整改开始于去年。随后,工信部发布了《App违法违规收集使用个人信息行为认定方法》的通知,重点审查八类问题。
北京市盈科律师事务所高级合伙人王贝贝向第一财经记者表示,本次监管主要侧重于用户对于个人信息被收集、使用的知情权、同意权;收集个人信息的内容、范围及方式;以及用户个人信息的删除注销等方面。
根据第一财经统计,两批次被点名的56个App中,有30个App出现私自收集个人信息的问题,22个App出现过度索取权限的问题, 19个App出现私自共享给第三方的问题。
但网络的隐私安全与便利性犹如硬币两面,并非每一位身在其中的用户都能清醒认识到这类侵权行为的危害。王贝贝则把侵犯用户隐私的三大危害归结如下:
首先,违规收集个人信息的行为严重侵犯了公民的隐私权。违规取得的个人信息可能被用于广告推销、个人信息分析、虚构金融交易、利用他人身份设立金融账户或进行信用贷款、个人信息贩卖等严重损害公民权益的行为。
其次,此类行为可能造成个人身份证号码、家庭住址、银行账户等关键信息泄露,受到不明身份的第三方的骚扰;损害个人征信,影响个人进行信用贷款或金融交易等经济活动;损害公民的财产安全。
最后,个人信息泄露可能影响个人家庭住宅安全,引发恶性刑事案件。
“App很可能不会主动教育用户,这要靠媒体对App的功能和‘坑’进行科普,政府和司法作为裁判进行定性,比如应该关注什么,哪些说法有问题。普通用户目前想象不到隐私泄露是多么可怕的一件事,商家和用户解释隐私的语言也不一样。”从事移动互联网与社会学跨学科研究的复旦大学计算机科学技术学院副教授陈阳接受第一财经采访时说。
他表示,时代的问题需要跨学科解决,社交网络使用体验与隐私保护同样重要。“以前人们对App的依赖不大,现在会一方面享受好处,另一方面在担心。执法部门需要关注和了解这些问题,至少能做的是提高App开发商侵犯隐私的成本。”
违规App整改进行时
从第一批被点名App反应看,App分为按要求整改和未按要求整改被下架处理两类。
按要求整改的App属于多数。为了统计日活月活数据,“学霸君1对1”安卓App会在用户启动时向第三方分析平台友盟发送设备唯一识别码,因此被认为数据共享给第三方。相关负责人王海红向第一财经记者表示,事发后,学霸君已经解除了和友盟的合作,并且不会再向第三方平台提供相应识别码。
王贝贝提到,《网络安全法》第四十二条规定网络运营者未经被收集者同意,不得向他人提供个人信息,在经营者委托第三方进行统计和分析的同时,第三方也相应知道了用户的详细信息,这种未经允许的行为同样触犯了法律法规。若APP确有需要委托第三方进行数据分析的,应当按照《认定办法》第二项逐一列出被委托的第三方收集信息的目的、方式、用途等。
包括学霸君1对1在内,不少企业存在用
户数据分析的需求,友盟这类第三方数据统计分析平台应运而生。不过,第三方平台如何处理这些数据是关键,第一财经记者就此联系友盟,截至发稿未获回复。
一位信息技术专家向第一财经记者表示,第三方数据营销公司通常会利用这些违法违规获取的数据进行“用户画像”,预判贷款、投资、保险、教育乃至衣食住行各类需求,继而针对特定人群进行精准营销;抑或实施电信网络诈骗。
《司法大数据专题报告之网络犯罪特点和趋势》显示,19.16%的网络诈骗案件是获取公民个人信息后有针对性地实施诈骗犯罪行为。
在第一批被通报的App中,人人视频、春雨计步器和微唱三家企业因未按要求整改而被下架处理。
人人视频向第一财经记者表示,应用内存在部分早期技术问题未解决,导致本次应用下架。人人视频将按时完成整改,提供合法合规版本,确保用户权益不受侵害。
灰色地带更苦恼
对于个人数据隐私的保护,欧盟的立法意识在国际上则是“先行者”。2018年由欧盟起草 的 GDPR (General Data Protection Regulation,通用数据保护条例)生效的9个月以来,来自31个欧洲经济区国家的监管部门报告的案件总数为206326例,主要源于投诉、数据泄露通知以及其他类型。其中,大多数案件(94622例)是基于投诉,管理员的数据泄露有64684例。这些案件中有52%已经结案,另外1%的案件仍值得商榷。
记者注意到,这20多万起调查罚款总额达到5600 万欧元。其中谷歌因在法国违反GDPR在2019年1月被法国国家数据保护委员会处以5000万欧元的巨额罚款(约5680万美元)。法国监管机构国家信息与自由委员会(CNIL)表示,罚款是因为谷歌未能向用户提供有关其数据同意政策的足够信息,也没有向用户提供对自己信息足够的控制权。
和欧盟相比,我国对于个人数据隐私的保护还不够成熟。目前,我国对于个人数据隐私和侵权等问题还存在“灰色地带”。
一位上海用户向第一财经记者反映,在未被告知参与抽奖会分享个人联系方式给商家的情况下,参与某生活服务类App抽奖后,收到了诸多推销电话及短信。他向记者表达了隐私被泄露的愤怒以及和平台沟通中对方对此的漠视和傲慢。
对此,第一财经记者联系了该平台,平台方表示隐私政策中明确列举了中奖会向第三方共享信息用于发放奖品,但此次活动的页面确实存在提示语言不明确的问题,且客服和社群没有及时有效地处理用户的问题。收到用户反馈后,平台已第一时间将该活动下线,并将在活动规则页面进一步优化增强对用户的告知。
令人遗憾的是,该App对为何会出现参与一次抽奖却接到多个商家电话推销避而不谈。不过针对这一案例,王贝贝认为无法界定是否侵权,因为将用户联系方式推给商家是霸道用户协议还是合理使用数据难以定性。
“我们现在发现公众对这个事情意识很弱。他们自愿性让渡了权利,但这是没有办法的办法,因为用户知道个体形成不了影响力,为了要用平台的服务只能够让渡。如果有更好的选择,用户当然会选择安全。”中国节能皓信环境顾问集团有限公司可持续发展部高级经理、全球报告倡议组织(GRI)大中华区顾问袁圆告诉第一财经。
针对这类灰色地带,王贝贝认为App主动进行改善显得非常重要。对于用户感知度方面,App需要完善提醒机制,在获取相关信息时以较为明显的方式,对公众进行告知提醒,对于重要信息的使用可以增强告知“强度”,(即独立于隐私政策文本之外, 在用户注册账号、安装程序、首次使用时弹出告知界面),以突出相关政策的核心内容。同时也要注意提醒的频次和方式,允许用户自主选择相关权限的设置。
监管的未来走向
除了提高用户意识,监管需要更加到位,关键在于标准的制定。
袁圆提到可以参考行业龙头企业的实际操作、其他地区的做法以及基层调查,并在可行性和执行性上进行分析,推出成熟的规则。“我希望我们也有中国版本的GDPR。通过大型的公众调查或者让公众发声,参与到这样的热点或者议题中。他们的反馈就变成了我们跟大型企业谈判,以及跟主管部门谈判的一个方面。”
律师认为,不管是企业自查还是抽查方式,都需要建立一套严明的审查标准,实现网络隐私权监管的系统化和机制化。
目前,《App违法违规收集使用个人信息行为认定方法》详细列举了八项侵犯用户数据的行为,但还有必要进一步细化合规红线。
其次,应当让合规标准真正切实落地,一方面对企业内部来说,应当发挥企业法务部门的自查优势,自行或聘请专业机构根据监管部门的核查方向开展自查自纠行动,让企业法务部门就开发、使用等业务各个流程环节中实现对流程的控制和管理。
除此以外,技术应用也十分重要。上述信息技术专家认为,尽管众多App开发者和运营者都高度重视隐私合规问题,但始终面临着检测标准难对齐、成本难控制、维度不全面、结果不准确的困境。而伴随着App自身版本的频繁迭代和终端系统层面复杂的权限结构,匹配监管要求的核查与修正通常也无从下手。
对此,专家建议可以由大公司牵头,同国家计算机病毒应急处理中心(CVERC)等机构联合与监管要求全面对齐,覆盖App在产品设计、开发测试、上线前安全测试和产品上线后等各个阶段不同的隐私权限合规检测需求。