歐盟有了GDPR，中國人的數(shù)據(jù)安全呢？

　　這兩天，最火爆的行業(yè)新聞莫過于GDPR生效。GDPR（General Data Protection Regulation，通用數(shù)據(jù)保護條例 ），是由歐盟起草的史上最嚴(yán)格的公民隱私數(shù)據(jù)保護條例，旨在保護人們的個人隱私數(shù)據(jù)。在新的條例下，不光用戶的姓名、身份證號、郵箱等常規(guī)數(shù)據(jù)受到保護，用戶的位置、DNA信息等也算個人數(shù)據(jù)，互聯(lián)網(wǎng)企業(yè)要收集這些數(shù)據(jù)，必須經(jīng)過用戶明確同意，不能偷偷使用或者儲存。毫無疑問，GDPR的出臺，為國內(nèi)日益嚴(yán)重的移動互聯(lián)網(wǎng)應(yīng)用（APP）過度收集用戶信息敲響了警鐘。

（資料圖片 來源互聯(lián)網(wǎng)）

　　隨著移動互聯(lián)網(wǎng)的快速發(fā)展，各種手機應(yīng)用軟件呈爆發(fā)式增長，越來越多的消費者在驚嘆其所帶來的各種便利之余，也越發(fā)擔(dān)心自己的個人信息安全。

　　APP玩套路：不授權(quán)不給用

　　不久前，北京市消協(xié)發(fā)布手機APP（應(yīng)用軟件）個人信息安全調(diào)查報告，顯示部分手機APP存在過度收集、違規(guī)使用個人信息的現(xiàn)象。

　　“我想掌握自己的流量使用情況，所以下載了一個某運營商營業(yè)廳APP，結(jié)果要使用它我還得授權(quán)它讀取我的通話記錄，允許它撥打電話，甚至允許它修改我的通話記錄。”提到新近下載的這款掌上營業(yè)廳，杭州的胡先生顯得非常生氣。記者調(diào)查發(fā)現(xiàn)，安裝此APP時，應(yīng)用程序?qū)⒃L問傳輸手機號碼、IMSI、IMEI、MEID、手機型號等設(shè)備信息，系統(tǒng)驗證通過后提供安全免密登錄、讀取用戶位置信息、讀取手機通訊錄、獲取通話記錄、撥打電話、發(fā)短信、修改聯(lián)系人、調(diào)用攝像頭、改變WLAN狀態(tài)及錄音等權(quán)限。如用戶點擊不同意，則自動退出該應(yīng)用。

　　其實這只是當(dāng)下APP越權(quán)過度搜集手機用戶信息，并導(dǎo)致一系列侵權(quán)、信息泄露事件發(fā)生的一個縮影。北京市消協(xié)報告顯示，部分手機APP過度收集、違規(guī)使用個人信息，可能導(dǎo)致個人隱私信息泄露或被竊取。問卷調(diào)查顯示，有89.62%的被調(diào)查者認為手機APP存在過度采集個人信息的問題，41.16%的被調(diào)查者在安裝或使用手機APP之前不看授權(quán)須知等。被調(diào)查者最擔(dān)心的是身份證號和銀行賬號被采集，最擔(dān)心的問題是個人信息被販賣或交換給第三方以及被利用從事詐騙等。但是，消費者對個人信息泄露的維權(quán)意識薄弱，個人信息遭到侵害時，選擇向消協(xié)或主管部門投訴的僅占35.00%。

　　3月29日，央視《經(jīng)濟半小時》欄目對WiFi萬能鑰匙APP作了深度報道，揭露了其帶來的安全隱患。節(jié)目稱，“從個人到商場，從外交大樓到金融重地，萬能鑰匙統(tǒng)統(tǒng)可以輕松竊取密碼”，多個國家機關(guān)、多個金融機構(gòu)和9億用戶如同“裸奔”。

　　1月3日，支付寶推出2017賬單查閱活動，不少消費者紛紛曬出2017年支付寶年度賬單及關(guān)鍵詞。但與此同時，很少有消費者意識到自己“被”簽了一份《芝麻服務(wù)協(xié)議》。有用戶發(fā)現(xiàn)，首次勾選后，再次點進賬單頁面，這個選項就會消失。對此，不少網(wǎng)友表示，打開授權(quán)管理后，發(fā)現(xiàn)會被捆綁共享單車、打車軟件、銀行等諸多授權(quán)。

　　2017年12月25日，由全國人大常委會執(zhí)法檢查組委托中國青年報社社會調(diào)查中心所做的“萬人調(diào)查報告”顯示：有49.6%的受訪者曾遇到過度收集用戶信息現(xiàn)象，其中18.3%的受訪者經(jīng)常遇到過度采集用戶信息現(xiàn)象；有61.2%的人遇到過有關(guān)企業(yè)利用自己的優(yōu)勢地位強制收集、使用用戶信息，如果不接受就不能使用該產(chǎn)品或接受服務(wù)的“霸王條款”；有52.5%的人認為執(zhí)法部門保護用戶信息的成效一般或者不好，不少人反映，在發(fā)現(xiàn)本人信息被泄露或者被濫用后，舉報難、投訴難、立案難現(xiàn)象比較普遍。許多受訪者反映，當(dāng)前免費應(yīng)用程序普遍存在過度收集用戶信息、侵犯個人隱私問題，但幾乎沒有受到任何監(jiān)管和依法懲處。

　　造成這一現(xiàn)象的原因在于，在當(dāng)前互聯(lián)網(wǎng)服務(wù)中，服務(wù)提供商和用戶之間存在明顯不對等的關(guān)系。相對于用戶，服務(wù)提供商明顯占據(jù)優(yōu)勢地位，其在服務(wù)協(xié)議中事先設(shè)置“默認同意”，如果用戶取消勾選同意，將不能享有該項服務(wù)內(nèi)容，用戶處于被動的地位，缺乏充分的自主選擇權(quán)。另外，“默認同意”的法律定性及相應(yīng)法律責(zé)任并不明晰，這給網(wǎng)絡(luò)服務(wù)提供商“鉆空子”“打擦邊球”造成了可乘之機。

　　“強制授權(quán)”折射行業(yè)“數(shù)據(jù)之爭”

　　《人民郵電》報記者就上述“強制授權(quán)”的技術(shù)問題采訪了四葉草安全移動安全專家田銘。田銘認為，某些強制授權(quán)存在一定的必要性，例如基于位置服務(wù)的交友軟件必須開啟定位功能才可以正常使用，電商類軟件則需要獲取用戶設(shè)備的唯一ID，來控制優(yōu)惠券的發(fā)放范圍。

　　田銘說，對一些企業(yè)而言，強制授權(quán)雖是一種必需行為，但也是一項風(fēng)險行為。在大數(shù)據(jù)時代，獲取更多的用戶信息是一個趨勢，例如通過“獲取設(shè)備安裝軟件列表”權(quán)限了解用戶的手機中同時安裝了哪些軟件，既可以了解競爭對手產(chǎn)品的市場占有率，還可以實現(xiàn)對該用戶的標(biāo)簽化，可應(yīng)用在之后推廣營銷信息的分發(fā)中。

　　專家指出，在“大數(shù)據(jù)決勝”的背景下，一些互聯(lián)網(wǎng)企業(yè)將線上消費者視為大數(shù)據(jù)掠奪的重要資源，超范圍攫取用戶隱私已成為行業(yè)潛規(guī)則。

　　上海信息安全行業(yè)協(xié)會專委會副主任張威表示，除手機APP主動索權(quán)外，一些企業(yè)利用格式條款將諸多索權(quán)隱匿在連篇累牘的用戶協(xié)議中，這樣的做法也已是行業(yè)內(nèi)“公開的秘密”。獲取的消費者信息越多，能繪制的消費者畫像越精準(zhǔn)，從而達到流量變現(xiàn)的目的。

　　360企業(yè)安全研究院院長裴智勇認為，企業(yè)通過索權(quán)在取得消費者信息后，數(shù)據(jù)保存和利用也存在安全隱患。一些企業(yè)的數(shù)據(jù)庫缺乏有力的安全防護，在遭遇網(wǎng)絡(luò)攻擊時容易造成用戶數(shù)據(jù)的泄露。他指出，企業(yè)內(nèi)部對數(shù)據(jù)查詢、輸出的授權(quán)也存有安全隱患，近年來多次出現(xiàn)知名互聯(lián)網(wǎng)企業(yè)“內(nèi)鬼”泄露消費者隱私事件。

　　“九龍治水”不知向哪個部門舉報和投訴

　　專家認為，針對互聯(lián)網(wǎng)企業(yè)線上侵權(quán)形式日益多樣化，有關(guān)部門可通過落實監(jiān)管、細化法律法規(guī)、提高行業(yè)準(zhǔn)入門檻等方式維護消費者合法權(quán)益。

　　1.及時出臺相關(guān)法律法規(guī)監(jiān)管APP行為

　　當(dāng)前，手機APP過度采集個人信息已經(jīng)成為網(wǎng)絡(luò)詐騙的源頭之一。但是，目前法律法規(guī)的原則多、細則少，自律規(guī)范多、監(jiān)管規(guī)制少，而且消費者個人信息保護的職責(zé)分散，權(quán)益受到侵害后，救濟渠道不暢通。

　　2017年6月1日，國家《網(wǎng)絡(luò)安全法》正式實施，針對個人信息保護明確規(guī)定：網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的，其提供者應(yīng)當(dāng)向用戶明示并取得同意；涉及用戶個人信息的，還應(yīng)當(dāng)遵守本法和有關(guān)法律、行政法規(guī)關(guān)于個人信息保護的規(guī)定。此外，《互聯(lián)網(wǎng)交易管理辦法》《移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》等均對個人信息保護作出了規(guī)定。建議對APP過度搜集用戶信息行為，制定專門的法律法規(guī)予以規(guī)范。

　　2.與APP相關(guān)的監(jiān)管部門應(yīng)明確職責(zé)

　　如今，網(wǎng)絡(luò)安全監(jiān)管“九龍治水”現(xiàn)象仍然存在，權(quán)責(zé)不清、各自為政、執(zhí)法推諉、效率低下等問題尚未有效解決。一些地方網(wǎng)絡(luò)信息安全多頭管理問題比較突出，但在發(fā)生信息泄露、濫用用戶個人信息等信息安全事件后，用戶又經(jīng)常遇到投訴無門、部門之間推諉扯皮的問題。專家認為，相關(guān)監(jiān)管部門應(yīng)合理定位，準(zhǔn)確厘清部門之間的職責(zé)，形成分工明確、共同發(fā)力的監(jiān)管格局。

　　3.可適當(dāng)引入第三方評估機制

　　盡管美國、歐盟等發(fā)達國家對于個人數(shù)據(jù)權(quán)益的保護出臺了更為系統(tǒng)的法律，但在實際中，互聯(lián)網(wǎng)公司的自身發(fā)展與用戶隱私保護之間的紛爭一直存在。業(yè)內(nèi)人士指出，個人數(shù)據(jù)權(quán)益的保護可以說是在互聯(lián)網(wǎng)公司與用戶等各方的博弈中不斷前進。

　　在歐盟，存在通用的數(shù)據(jù)信息保護條款，相應(yīng)權(quán)利的保護也更加嚴(yán)格。最廣為人知的是數(shù)據(jù)的遺忘權(quán)，即用戶在某平臺注銷了賬戶，其留在該平臺上的所有歷史數(shù)據(jù)記錄需要被同步消除，后期在沒有得到該用戶授權(quán)的情況下，平臺不能繼續(xù)給該用戶提供相應(yīng)的服務(wù)。

　　美國對于隱私權(quán)的理解與歐盟不同，更多地建立在自由的基礎(chǔ)上，以行業(yè)自律為主導(dǎo)。對于個人數(shù)據(jù)權(quán)益保護，美國有多種形式的行業(yè)自律組織。其中，網(wǎng)絡(luò)隱私認證計劃頗具特色：網(wǎng)站提出申請，經(jīng)過第三方隱私認證機構(gòu)認證后，可以在其網(wǎng)頁上放置“信任標(biāo)志”，以此表示將遵守網(wǎng)絡(luò)隱私保護和數(shù)據(jù)收集的原則，以及接受相應(yīng)的監(jiān)督。

　　在國內(nèi)，若有第三方評估機構(gòu)對互聯(lián)網(wǎng)企業(yè)、對個人信息保護等行為進行評測，會給用戶以提醒和支持作用。

　　4. 加大對APP違法行為處罰力度

　　調(diào)查顯示，要對APP進行監(jiān)管，62.1%的受訪者認為應(yīng)加強對違規(guī)APP的處罰力度，51.4%的受訪者希望提高行業(yè)準(zhǔn)入門檻，39.4%的受訪者希望健全對APP的投訴制度，30.4%的受訪者認為應(yīng)對手機APP權(quán)限進行明確界定。

　　手機APP雖然發(fā)展很快，但大部分依托的都是背后的網(wǎng)站。對APP的監(jiān)管可以借鑒桌面互聯(lián)網(wǎng)的監(jiān)管體系，即從“備案”“許可”和“特殊證照”這三個層級對APP進行監(jiān)管。其中，應(yīng)用商店對APP上架負有把關(guān)責(zé)任，應(yīng)該對APP進行全程的追蹤監(jiān)督。

　　對手機APP的管理應(yīng)“適中”。同時應(yīng)有法必依、執(zhí)法必嚴(yán)，加大對違規(guī)APP的處罰力度，提高企業(yè)違法的成本，這樣才能使企業(yè)不敢去觸碰法律的底線。（記者 徐勇）

　　轉(zhuǎn)自：人民郵電報

　　【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品，轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”，違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊，僅代表作者個人觀點，不代表本網(wǎng)觀點和立場。版權(quán)事宜請聯(lián)系：010-65363056。

延伸閱讀