2021世界电信和信息社会日大会日前开幕,工作人员在大会上用手机展示5G网络速度。新华社发
山东泰安防电信诈骗宣传进社区。本报记者 郭俊锋摄/光明图片
光明日报6月5日报道,如今,各种各样的移动互联网应用程序(App)层出不穷,极大满足了人们在社交、购物、娱乐、办公等多方面的需求。与此同时,一些手机App也成了个人信息泄露的“元凶”,有的“偷拍”用户人脸,有的“偷听”用户聊天……不经意间,人们的隐私信息、“网络足迹”等就被“偷走”甚至“滥用”了。
近一段时间以来,多款常用的手机App因“违规收集个人信息”等问题而下架,一些“中招”的用户直呼“细思极恐”,并对此感到担忧。面对各类手机App,我们应怎样加强个人信息保护?
App就像长着“眼睛”和“耳朵”一样
【案例】
“不久前,我和几个朋友在家里聚餐,我们约好一起去厦门玩,提到‘夏天到了,要做好防晒’,第二天就有一些App开始给我推荐各种各样的防晒霜。”来自山东淄博的王柠说,这并不是巧合,身边不少朋友都有过类似的经历,有时自己在网上搜索一款商品,很快也会在一些App上收到相关广告推送,这些App就像长着“眼睛”和“耳朵”一样,对我们的日常生活“了如指掌”。
当人们在手机上下载安装App时,一般都会遇到一个“提示”,即先阅读《用户服务协议》和《隐私政策》,并选择是否同意。人们只有点击“同意”,表示已阅读并同意全部条款,才可以使用该App及其服务;如果选择“不同意”,App便会“任性地”自动退出,且“拒绝”被使用。
在这种情况下,不少人会为了“省事儿”而忽略“提示”、直接点击“同意”,也有一些人虽然会点开《用户服务协议》和《隐私政策》,但仅用几秒钟时间来大致浏览上万字的内容,很难注意到一些“关键信息”。
记者随机查阅多个App的《用户服务协议》和《隐私政策》发现,大量相关条款存在侵权之嫌,比如一些听歌、听书类的App也要获取用户的通讯录、相册、摄像头、麦克风等权限,为违规或超范围收集个人信息打开了“方便之门”。同时,几乎所有的App都提及将对收集的部分信息进行商业利用。
除了“赤裸裸”将授权收集使用个人信息作为正常使用App的前置条件外,一些App也在悄悄地“偷走”人们的隐私信息,并与其他App进行“共享”。正如工业和信息化部副部长刘烈宏所说,当前,一些App在商业利益驱动下,未经用户同意违规获取语音等输入信息,并进行广告精准推送。
有调查显示,从涉嫌侵犯个人隐私的情况来看,直播、社交、外卖、医疗、在线教育等App占比较高。
中国信息通信研究院副院长王志勤介绍,近年来,移动互联网快速发展不断催生新业态、新模式,推动App蓬勃兴起,成为网络应用的主要载体。当前,我国App在架数量和用户规模持续扩大,覆盖经济社会生产生活各个方面。
“虽然近年来我国个人信息保护力度不断加大,但在现实生活中,由于用户个人信息收集使用规则、目的、方式和范围仍存在不明确的地方,个人信息保护仍然面临诸多问题和挑战,尤其是App侵犯个人信息问题突出。”王志勤说,截至2020年年底,我国国内市场上监测到的App数量为345万款。App违法违规处理用户个人信息不仅侵害了人民群众的切身利益,也严重扰乱了数字经济市场秩序。
多款侵害用户权益App“尝到苦果”
【案例】
5月21日,国家互联网信息办公室通报了105款App违法违规收集使用个人信息情况。其中,抖音、快手等短视频类App,搜狗搜索等浏览器类App,以及领英、猎聘等求职招聘类App存在“收集与其提供的服务无关的个人信息”等问题;茄子短视频、360浏览器等App存在“未经用户同意收集使用个人信息”等问题。
5月13日,工业和信息化部依法对天涯社区、大麦、途牛旅游、VIP陪练、脉脉等90款侵害用户权益App进行下架处理。在这90款App中,绝大多数都存在“违规收集个人信息”或“超范围收集个人信息”等问题。
在移动互联网时代,个人信息已成为高价值的数据资源,加强App个人信息保护势在必行。
近年来,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门启动了App违法违规收集使用个人信息治理工作,对用户规模大、问题突出的App采取公开曝光、约谈、下架等处罚措施,并联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,明确了地图导航、网络约车等39类常见App必要个人信息范围,App违法违规收集使用个人信息问题有所改善。
然而,我国App数量庞大,更新频繁,且新应用层出不穷,仍存在App超范围收集个人信息、滥用个人信息等情况,公民合法权益仍受到侵犯。
专家认为,目前,相关部门对App违法违规行为采取的惩罚措施主要以整改、通报、下架、罚款等为主,处罚手段比较有限,惩罚力度也不够。相对于用户个人信息带来的广告收益,“不痛不痒”的罚款起不到太大的惩戒作用。对此,监管部门可以大幅提高罚款金额,让相关企业有痛感。
App个人信息保护问题涉及手机厂商、应用商店、第三方合作伙伴等整个移动生态。要进一步打造完善的生态系统。比如,进一步强化应用商店对App个人信息在安全方面的审核,提高相应标准等。
工业和信息化部表示,将狠抓严查App侵害用户权益行为,紧盯反复出现问题被点名通报的重点企业。推动App开发运营者、应用分发平台、第三方服务提供者、设备厂商、安全厂商自觉履行社会责任。
“我们保护个人信息的态度是坚决的。”工业和信息化部部长肖亚庆说,在个人信息保护过程中,对拒不接受整治的App要坚决下架。同时,要提高技术装备能力,检测出信息保护的漏洞。
保护个人信息离不开良法善治
【案例】
国家互联网应急中心5月26日发布的《2020年我国互联网网络安全态势综述》报告称,近年来,微信小程序发展迅速,但其用户个人信息泄露风险较为严峻。国家互联网应急中心对国内50家银行发布的微信小程序进行了安全性检测。结果显示,平均一个小程序存在8项安全风险,未提供个人信息收集协议的超过80%,个人信息在本地储存和网络传输过程中未进行加密处理的超过60%。
对于保护App个人信息而言,良法善治至关重要。
“长期以来,我国个人信息保护工作都面临着法律实施难题,造成虽然有法律规定但常常束之高阁的情况。”王志勤说,一方面,个人信息保护涉及多个行业监管部门,部门之间职责划分不清,重复执法和执法空白同时存在;另一方面,监管手段和执法力量有限,难以有效实现个人信息保护的立法目的。
在此背景下,4月26日,我国发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称《规定》),界定了适用范围和监管主体,明确了“知情同意”“最小必要”两项原则,即从事App个人信息处理活动的,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示,应当采取非默认勾选的方式征得用户同意;应当具有明确、合理的目的,并遵循最小必要原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。
在王志勤看来,《规定》为App个人信息处理活动明确“红线”,既有利于监管部门明确职责,按照法定权限和程序行使权力;也有利于稳定市场预期,促进我国数字经济发展行稳致远。
专家建议,今后要持续完善行业监管执法建设,强化行业监管职责,细化违规处置流程和具体措施,提升监管的规范性和透明度。同时,要着眼于技术发展规律,以技术产业创新主体为重点压实监管责任,以技术检测平台为依托提升监管能力,以技术标准为核心强化监管要求。坚持体系化共治思维,坚持政府、企业、行业共同参与,构建多层次的App个人信息保护规范体系。
今年4月,十三届全国人大常委会第二十八次会议就个人信息保护法草案二审稿进行了分组审议。与会人员普遍认为,草案二审稿强化超大型互联网平台的个人信息保护义务,明确国家网信部门统筹推进个人信息保护的有关工作职责,为个人信息保护提供了更坚强的法律支撑。
《2020年我国互联网网络安全态势综述》报告预测,随着个人信息保护法即将出台,以及国家、监管部门监督和治理力度不断加大,相关运营企业将更加重视个人信息保护工作,App违法违规收集使用个人信息情况将进一步改善。
向盗用手机信息行为“精准亮剑”
(作者:余晓晖,系中国信息通信研究院院长)
近年来,以移动互联网为代表的现代信息技术日新月异,新一轮科技革命和产业变革蓬勃发展,数字化、网络化、智能化加速推进,不断催生新业态、新模式,推动各类应用程序蓬勃发展,App在架数量和用户规模持续扩大,已成为个人信息保护的关键领域。
各类App在开发、运营、预置、分发等不同环节中涉及的主体较多,个人信息保护责任难以界定。不同环节中相应主体从事的服务类型不同,在App个人信息保护方面既有共通性要求,也有差异性要求。
4月26日,在国家互联网信息办公室的统筹指导下,工业和信息化部会同公安部、国家市场监管总局发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称《规定》)。《规定》以“依法治理、源头治理、系统治理、综合治理”为方法论,以“知情同意”和“最小必要”两项保护原则为纲领,以App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业以及网络接入服务提供者五类监管对象为重点,以标准制定、自律评估、投诉举报以及处置措施作为监管抓手,向违法违规处理App用户个人信息的行为“精准亮剑”。
深入开展App个人信息保护工作,要坚持依法治理,充分衔接现有法律依据,贯彻法治思维和法治方式,以《网络安全法》等上位法为依据,为App个人信息处理活动画出底线和红线,明确App个人信息保护的具体要求。要坚持源头治理,针对App行业发展面临的突出问题、薄弱环节进行规制,对症下药、精准发力。要坚持系统治理,做好整体统筹协调。系统治理要求坚持系统谋划,立足长远。要坚持综合治理,完善多元主体参与机制,实现齐抓共管、群策群力、良性互动。
深入开展App个人信息保护工作,要以App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业以及网络接入服务提供者等主体作为重点监管对象,采取“共性+个性”的规范思路。既要明确各类主体应当共同遵循的个人信息保护总体性要求,也要分别规定各类主体在App个人信息保护方面应当承担的个性化义务,以实现App治理全链条、全主体、全流程规范。
深入开展App个人信息保护工作,要继续完善App治理标准体系。此前,针对App治理中发现的问题,在工业和信息化部的指导下,电信终端产业协会联合终端厂商、互联网企业、安全企业等行业力量,制定发布了《App用户权益保护测评规范》《App收集使用个人信息最小必要评估规范》两个系列标准。今后,要推动将已发布的团体标准上升为行业标准,进一步细化App收集使用个人信息规范要求,推动制定终端等有关权限管控、集成接口、上架明示等配套标准,与App个人信息保护标准做好衔接,为企业合规经营提供明确指引。
深入开展App个人信息保护工作,相关行业组织和专业机构要按照有关法律法规、标准等,开展App个人信息保护能力评估、认证。行业只有通过不断自律发展,更多履行社会责任,才能使行业发展走向良性循环,才能不断满足人民的需要,才能在国际上更具有竞争力。相关行业组织和专业机构要积极运用人工智能、大数据等新技术新手段,组织优势力量,有力保障、持续优化、高效推进评估和认证工作,开展违法行为监测和检测活动,实现线上线下、联防联控管理。
此外,要推动举报投诉工作标准化、规范化。任何组织和个人发现App违法违规行为,可以向监督管理部门或中国互联网协会、中国网络空间安全协会投诉举报,监督管理部门和相关组织应及时受理并调查处理。从事App个人信息处理活动的相关主体应当自觉接受社会监督。同时,要加大对违法行为的处置力度,集中力量对广大人民群众深恶痛疾、反映强烈的违规行为进行严厉打击,并及时公布典型处罚案例,加大对违法行为惩戒的曝光力度,充分发挥反面案例的警示和教育作用。
(原题为《别再让手机App“偷走”个人隐私信息》《向盗用手机信息行为“精准亮剑”》)
