许华秦2021年9月1日,《中华人民共和国数据安全法》(以下简称《数据安全法》)正式施行,标志着我国数据安全进入有法可依、依法建设的新发展阶段。两年来,公众在数据安全领域感受到哪些变化?监管部门执法行动取得哪些成效?南都大数据研究院推出“《数据安全法》两周年成效观察”系列报道,从公众感知、执法案例、政策盘点、专家解读等方面回顾《数据安全法》施行以来取得的成果及社会期望。
本期我们梳理工信部关于侵害用户权益行为App数据,探究问题的实质,提出防范、解决之道。
App未经用户同意收集、使用个人信息,强制或者过度索取权限……这些行为都属违规违法!《中华人民共和国数据安全法》(以下简称《数据安全法》)自2021年9月1日实施以来,工业和信息化部信息通信管理局已通报880余款侵害用户权益行为的移动互联网应用程序(App)及第三方软件开发工具包(SDK)。南都大数据研究院梳理发现,其中涉及“违规收集个人信息”占比最高,为32.5%,其次是“App强制、频繁、过度索取权限”,占比为24.8%。
在浙江大学光华法学院互联网法律研究中心研究员、浙江泽大律师事务所合伙人高云翔律师看来,App收集个人信息具有较强隐蔽性、动态性、随机性,如果仅仅把控App上架阶段、提高市场准入,并非最有效的遏制违规收集行为的方案,从治本角度审查App违规收集个人信息应该有一个长期、稳定的监管机制。
2017年6月1日开始实施的《网络安全法》,为个人信息穿上铠甲,让网上个人信息不再“裸奔”。2021年9月1日开始实施的《数据安全法》,就如何保障个人数据安全、如何对数据进行分级保护等方面提供法律依据,目的在于规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。到2021年11月1日实施的《个人信息保护法》,不仅保护个人信息权益,而且规范个人信息处理活动,促进个人信息合理利用。三部法律共同构建起我国数据治理领域的顶层制度设计。
从2019年12月19日工业和信息化部信息通信管理局通报第一批侵害用户权益行为App开始,此后不定期公布存在问题且未完成整改的App名单,截至目前共通报30批,涉及2354款App及SDK。梳理发现,工信部对App侵犯用户行为最严重的处罚就是“下架”。
南都大数据研究院梳理发现,《数据安全法》实施后第23天,工信部公布了第19批侵害用户权益行为的App,共有334款App未按时限要求完成整改,也是实行通报制度以来曝光侵权App数量最多的一次。
南都大数据研究院梳理《数据安全法》实施以来通报的880余款侵害用户权益行为的App发现,与个人信息相关问题包括“违规收集”“超范围收集”“违规使用”“违规传输”,以及过度索取、强迫收集、欺骗误导等。具体而言,违规收集个人信息占比最高,其次为App强制、频繁、过度索取权限,两者占比均在20%以上,紧随其后的是超范围收集、违规使用个人信息等。
个人信息包含手机号码、身份证号码、银行卡账号、详细住址和工作单位地址等个人基础信息、敏感信息。按照法律规定,个人信息的收集、使用、存储、传输等必须经过个人同意,且要保证安全可靠,不得泄露、损毁、篡改或者丢失。企业必须加强对个人信息的保护,明确企业对个人信息的管理和保护责任,加强对个人信息的安全管理和技术防范措施,防范信息泄露、篡改、丢失等情况发生。
浙江大学光华法学院副教授、浙江大学数字法治研究院副院长高艳东此前提到,App违规行为是对用户隐私权的侵犯,由于个人姓名、联系方式甚至家庭信息的泄露,用户时常遭遇各种广告、骚扰电话、诈骗短信等骚扰,甚至形成个人信息黑色产业链,为不法分子利用电信网络实施诈骗、人肉搜索等互联网违法犯罪提供了“温床”。
那么,App对个人信息违规收集背后,潜藏哪些安全隐患?高云翔向南都记者表示,在手机号码直接作为多个App注册账户的习惯下,违规收集个人信息对被收集者的安全隐患至少包括两个方面:人格权利方面,导致手机号码等社交及电商App账号泄露,用户因此收到大量广告推销、骚扰,更有甚者影响个人隐私安全;财产权利方面,导致个人财产风险提升,个人信息往往绑定微信支付宝银行卡等,增加被电信诈骗的风险。从社会层面来看,违规收集个人信息的App大行其道,造成负面的行业示范,同时减弱公众对互联网产业的信任度,长期而言不利于新兴行业甚至数字经济的持续健康发展。
从侵害用户权益行为App类别来看,主要集中在网络游戏类、实用工具类、学习教育类以及网上购物类,占比均超过10%,其中以网络游戏类占比最高,为12.5%。
2021年5月1日开始实施的《常见类型移动互联网应用程序必要个人信息范围规定》明确,网络游戏类App基本功能服务为“提供网络游戏产品和服务”,必要个人信息为:注册用户移动电话号码。但现实情况是,网络游戏App往往会收集用户设备信息、游戏日志、消费交易记录等个人信息,并索取相机、麦克风等权限。南都大数据研究院梳理发现,被通报侵害用户权益行为的网络游戏类App中,问题集中在违规收集、使用个人信息,强制、频繁、过度索取权限等。
专家认为用户对于信息收集过程缺乏可感知性,而个人信息具有非常大的经济价值,使得某些App铤而走险,违规收集用户信息。目前没有建立对个人信息被侵害的损失计算标准,导致索赔难,因此对所发现的违法行为,鲜有人通过法律途径对App违法者提起诉讼。
为什么网络游戏类App更容易成为违规收集个人信息的“重灾区”,监管方面可以有何对策?高云翔认为网络游戏类App违规收集个人信息行为至少有三个特点:网络游戏类App使用人群广,需求旺,网络游戏服务供给市场繁荣,App种类数量也多,合规程度参差不齐;网络游戏受众年龄跨度较大,存在大量青少年用户,服务品牌选择与个人信息保护意识差;网络游戏账户存在充值类或者装备类虚拟资产,具有较大的违法诱惑。
他建议针对集中度较高的品类,在现有法律法规的框架内探索设立专业化监管机制。一方面,要求App定期对处理个人信息遵守法律、行政法规的情况进行合规审计或个人信息保护影响评估,定期报送辖区监管部门。评估或审计重点内容包括个人信息处理目的、处理方式等是否合法、正当、必要;对用户权益的影响及安全风险;所采取保护措施是否合法、有效并与风险程度相适应。另一方面,引进社会力量,结合第三方合规评估机构的建设情况,以县/市辖区为单位,由属地监管机构引进、委托第三方合规机构开展对本辖区网络游戏类App处理个人信息行为现场合规检查。具体措施包括询问App负责人,调查与个人信息处理活动有关情况;查阅、复制个人信息处理活动有关的合同、记录以及其他有关资料;实施现场检查,对涉嫌违法的个人信息处理活动进行立案调查等。
从侵权App应用市场来源分析,20%来自华为应用市场,其次为应用宝、小米应用商店、vivo应用商店、360手机助手、豌豆荚、OPPO软件商店等。
在这些侵害用户权益行为App通报中,应用开发者出现次数最多的是广州小迈网络科技有限公司,曾被通报侵权App包括智能清理精灵、速连WiFi、手机优化专家、强力清理大师、七彩来电秀、乐享WiFi、吉祥来电秀等,主要问题包括违规收集个人信息、欺骗误导强迫用户等。有专家对此建议在加强对App定期检测、通报与限期整改基础上,进一步落实平台主体责任,督促应用商店完善App上架审核机制,实时自查,发现问题及时清理下架。职能部门要完善对App违规行为的举报监管体系,保证用户维权通道顺畅。
如何从源头上强化审查?有专家建议App应公开其需要获取的用户信息,明示在醒目位置,且列在用户的同意条款,由用户选择是否同意授权,尊重并保障广大用户的知情权。需要进行严格事后审查,一旦发现App有违规行为,则依法严厉查处。
在高云翔看来,App收集个人信息具有较强隐蔽性、动态性和随机性,仅仅把控App上架阶段、提高市场准入,不是最有效的遏制违规收集行为的方案,甚至会对合规,App上架造成不良影响。针对App违规收集个人信息的治理,2019年中央网信办、工业和信息化部、公安部、市场监管总局发布《关于开展App违法违规收集使用个人信息专项治理的公告》,国家认证认可监督管理委员会发布《移动互联网应用程序(App)安全认证实施规则》,国家互联网信息办公室秘书局等部门联合制定《App违法违规收集使用个人信息行为认定方法》。特别是《个人信息保护法》的生效实施,为治理App违规收集个人信息乱象提供了法律支撑,从治本角度审查App违规收集个人信息应有一个长期、稳定的监管机制。
还有专家建议,用户自身也要提升个人信息安全意识,不轻易下载来路不明的App,注意保护账户密码,通过阅读用户协议、隐私保护协议了解相关App对个人信息收集范围,并对过度收集、索要权限App积极举报,维护自身权益,共建共治共享良好数字生活。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Lisa最大的站姐脱粉,无法接受自家爱豆跳脱衣舞,BLACKPINK实惨
19:30,CCTV5直播,中国女排首战乌克兰,2点要做好,丁霞或首发
A股头条:证监会发声!坚决防止市场大幅波动;广州悄然取消楼市“限价令”,业内人士称房价“可涨可跌”
CPU-Z 2.07发布:酷睿Ultra、14代酷睿i、一代酷睿都有了
|