App非法盗取信息,网络时代用户隐私将何去何从?
“上午刚在网页搜了搜新款手机,下午另一个应用就推送了手机测评的文章……”网络大数据带给人们便利的同时,也带来了种种让人头皮发麻的隐私问题。7月11日,央视财经频道《第一时间》播出了一则新闻,让许多观众也随之“后背发凉”。
(《第一时间》节目截图)
采访对象发现,和朋友只在线下闲聊过,并且没有在任何App上搜索过的商品,第二天竟然出现在自己手机应用的推送里。节目中,App专项治理工作组使用个人信息保护的检测工具对某款社交类App进行了深度检测,竟然发现仅仅是下载却没有打开的App,却在已经开始在用户不知情的情况下向外传输数据。
新华社曾在之前调查发现,部分App存在“强制跳转启动”“自启动”“关联启动”等相关问题。如网易邮箱、QQ几乎每天自启百次,滴滴出行启动后在一分钟之内尝试启动9款其他App。部分App会高频访问照片、文件、用户通讯录。
随着网络科技的不断发展,用户隐私泄露的事每天都在发生。数以万计普通人的手机号、身份证号、家庭住址,甚至家人信息都被泄露的一清二楚,毫无隐私可言。
随着全球各个国家在数据合规方面相继推出立法,作为世界首屈一指的互联网大国,我国的数据安全问题也逐步进入大众关注的视野。我国的互联网应用存在什么样的安全风险?我们又将如何进行对其实施规范化?
一、用户隐私泄露问题泛滥成灾
根据《2018网络黑灰产治理研究报告》我国的网络黑灰产业已达千亿元规模。IBM2019年全球数据泄露成本报告表明,目前全球数据泄露的平均成本已达到392万美元(约合人民币2700万元),平均给调研中的受访企业带来445万美元(约合人民币3100万元)的损失。
仅在过去3年,就有超过117亿条企业数据丢失或被盗。黑客通过网络犯罪行为获得巨额非法收入的同时,企业也会蒙受巨大损失。
(安全情报供应商RiskBased Security(RBS)2019年Q3季度报告)
正是因为贩卖用户隐私的收入如此之多,才导致犯罪案件数量也偏多。据了解,我国公安机关在“净网2018”“净网2019”“净网2020”专项行动中,共侦破侵犯公民个人信息案件1.7万余起,而这也许只是网络黑灰产业犯罪数量的冰山一角。
2018年北京警方破获了一起重大用户信息泄露案件,新三板上市公司北京瑞智华胜从2014年开始就一直以竞标的方式,先后与全国多家运营商签订合同,提供系统开发维护的相关服务,从运营商内部窃取用户数据,接连导致百度、腾讯、今日头条等全国96家互联网公司,多达30亿条的用户隐私数据被窃取,几乎国内所有的大型互联网企业均被“雁过拔毛”,堪称我国“史上最大规模数据窃取案”。
除了企业自身为单位主动盗取隐私数据外,企业内部员工非法贩卖用户隐私信息的非法行为也屡禁不绝。
2017年,浙江苍南县警方破获公司“内鬼”售卖用户信息案,苹果公司广州外包公司内部员工为了轻松牟利,以每条10-180元不等的价格非法售卖用户信息。正所谓“天下熙熙皆为利来,天下攘攘皆为利往”,巨额暴利正是企业和员工铤而走险的原因。
二、深究用户隐私泄露背后的原因
01 企业谋利
用户数据本身具有极高的价值,企业拥有的数据越多,随之带来的利益也越大。部分互联网企业不愿通过正规途径合理合法地采购数据,或者暂无能力建立大型用户池去累计数据,于是非法“爬取”竞争对手或未经授权的数据库直接盗取数据从而获取大量用户信息。
除此之外,企业为了更多地掌握用户信息,会试图读取明明没有必要读取的用户隐私内容,暗中收集、使用,而这一切甚至都没有经过用户同意。
我国《网络安全法》第四十一条中规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
武汉元光科技公司正是如此。该公司旗下的公交实时软件“车来了”涉嫌从2014年开始持续盗取谷米科技公司开发的软件“酷米客”后台数据,以便伪造用户数据获得更多融资,导致谷米科技公司相关损失超5000万元。2016年,“车来了”创始人兼CEO邵某等5人被南山区人民检察院以非法获取计算机系统数据罪予以逮捕。
02 用户隐私保护意识薄弱
中国一些App“习惯性”访问用户手机内各种信息,包括但不仅限于定位、通讯录、麦克风等。不少App在刚安装后首次打开时,就会提示读取手机内容。但是由于篇幅过长,许多用户并没有读完就直接跳过,就让许多App公司钻了空子,得以明目张胆地收集用户信息。
目前,部分App存在用户不用手机号验证就无法注册账号的情况。其实在这时,用户的隐私就多了一次被泄露的风险。许多公司虽然没有明文写着,但“用户出让一小部分隐私来换取公司服务”已经成为某些软件的霸王条款了。如果不进行注册、不填入手机号等信息就无法享受服务,用户很多时候都是为了方便流畅使用,最后基本只能无奈妥协。
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条,“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
03 相关部门监管不到位
2018年5月25日,《欧盟数据保护条例(GDPR)》在欧盟国家正式实施。根据条例规定,如果企业违反就会被处以最高可达2000万欧元(约合1.5亿元人民币)或者其全球营业额4%的高额罚金。用户作为信息主体,有权访问、改正、移植和删除其数据,知情权、数据访问权、反对权、限制处理权、反最大化决策权等都得到了强化。并且就算涉事企业不属于欧盟国家,但处理的信息与欧盟公民有关,依旧适用于该条例。
不止欧盟国家,其他国家的市场管理机构对于此类侵犯用户隐私事件也有十分严格的管理体系。例如去年的Facebook泄露用户信息事件,Facebook公司向美国联邦贸易委员会支付了高达50亿美元的罚款。但是对比我国,用户隐私范围界定模糊、处罚金额相对小,导致企业因泄露用户隐私而被处罚的案件数量也相对较少。再比如近期闹得沸沸扬扬的印度抖音被禁一事,这背后也是因为6月29日印度出台了《信息安全法案》。
对比他国企业,我国企业对待用户隐私数据时,还是显得有些随意。如果没有完善的法规和处罚制度,我国的用户隐私管理状态还是会一直处于“亚健康”。虽然去年我国网信办出台《App违法违规收集使用个人信息行为认定方法》,强化了用户的知情权和决定权,但目前我国法律中对公民个人信息范围还未做出明确的划分。
事实上,在我国互联网企业大举出海的背景下,维护用户的数据隐私和数据安全已经不仅仅是一种道德要求,更是企业能否在国际数据安全立法更为严苛的今天不得不面临的生死挑战。
三、三方协力,缺一不可
对于如何更好地保护公民个人隐私,企业、用户和相关部门可以从以下方面加以考量:
在法治时代,企业首先应遵守法律法规,恪守行业规则;建立完善的用户信息保护机制,运用先进的技术手段保护用户隐私,主动接受政府和社会的监督,承担应尽的社会责任。
用户提高保护个人隐私的意识,留心用户隐私的相关条款,谨慎对待App授权,对于强行读取信息的“流氓”App说不。在5G技术逐渐被普及的时代,个人隐私将会变得更加重要,如果用户不能提高隐私保护意识,那么后果将不堪设想。
良好的市场环境离不开监管部门的良性引导。立法和执法部门应尽快完善网络安全保护具体细则,并且建立健全惩戒机制以杜绝隐私数据泄露事件,严格打击企业非法获取数据、企业员工外漏数据、黑客窃取用户数据等恶劣行为。同时加强监管力度,正确引导企业合理合规地运用用户隐私数据。
个人信息无疑是高价值的数据信息,但这并不等于能用金钱来进行买卖交易。如何避免此类事件发生,需要的是全社会的共同付出,更需要监管部门、企业和用户多方的努力,相关部门制定法律,企业规范行为,用户增强防护意识,在这个大数据网络时代,缺一不可。
-----------------------------
页:
[1]