社保掌上通個人查詢和社保掌上通

 | 

●及時出臺《App違法違規收集使用個人信息行為認定方法》,明確違規App行為的具體認定標準,有助于網絡安全法的相關要求真正落地并見實效。

●中央網信辦、工信部、公安部、市場監管總局指導成立App違法違規收集使用個人信息專項治理工作組以來,組織開展的App收集使用個人信息評估工作取得階段性進展。截至4月16日,舉報信息超過3480條,涉及1300多款App。

●建議加快立法進度,立法層面加大對違規App的打擊力度;常態化公布App違規收集個人信息的典型案例,對其他企業起到警示作用;站在維護國家網絡安全的高度,推進網絡安全建設,重視對App非法收集個人信息的治理。

□ 法制日報全媒體記者 侯建斌

時至今日,“社保掌上通”App遭下架已一月有余。

“當用戶通過該App查詢個人社保信息時,用戶信息會被同步發送至一家大數據公司的服務器。”此前,因存在違規違法收集個人信息問題,“社保掌上通”App成為眾矢之的。

更讓不少人心有余悸的是,當用戶使用這款App時,被默認同意一份授權協議,如“您在此充分地、有效地、不可撤銷地、明示同意并授權我們使用您的社保賬戶密碼為您提供服務”,以及“在遵循本協議的條件下,對您的信息進行采集、分析、處理和模擬您登錄人行征信、學信網、社保、公積金、運營商網站等獲取您的個人信息”等條款。

在互聯網消費時代,類似的情形并不鮮見。如今,這一現象有望受到遏制。近日,由中央網信辦、工信部、公安部、市場監管總局指導成立的App專項治理工作組,起草了《App違法違規收集使用個人信息行為認定方法(征求意見稿)》(以下簡稱《認定方法》),將“未經同意收集使用個人信息行為”納入規制范圍。

中國信息安全研究院副院長左曉棟告訴《法制日報》記者,網絡安全法對保護個人信息的規定較為原則,盡管《個人信息安全規范》細化了法律的要求,但從實踐看,仍有大量App在打法律擦邊球。因此,及時出臺《認定方法》,明確違規App行為的具體認定標準,有助于網絡安全法的相關要求真正落地并見實效。

過度收集亂象觸目驚心

消費者在享受移動互聯網帶來的便利時,個人隱私信息泄露、盜用、販賣事件屢屢發生。

2018年8月29日,中國消費者協會發布的《App個人信息泄露情況調查報告》顯示,超八成受訪者曾遭遇個人信息泄露。其中,經營者未經授權收集個人信息和故意泄露信息是造成消費者個人信息泄露的主要途徑。

據統計,個人信息泄露后遭遇推銷電話或短信騷擾的占比最高,高達86.5%,接到詐騙電話的占比75.0%,收到垃圾郵件的占比63.4%。

隨后中消協發布的另一份報告更觸目驚心。2018年11月28日,中消協發布《100款App個人信息收集與隱私政策測評報告》,100款中多達91款存在過度收集用戶個人信息。

近日,App專項治理工作組就《認定方法》公開征求意見,意在為App運營者自查自糾提供指引,為App評估和處置提供參考。

北京師范大學互聯網發展研究院院長助理、中國互聯網協會研究中心秘書長吳沈括教授告訴記者,《認定方法》的出臺,使得監管部門可有針對性地對App違規行為予以治理,也為平衡技術發展與個人信息安全問題提供了有效依據。

新規有望彌補治理短板

記者注意到,《認定方法》將App違法違規收集使用個人信息共分為7種情形。沒有公開收集使用規則;沒有明示收集使用個人信息的目的、方式和范圍;未經同意收集使用個人信息等情形均出現在《認定方法》中。

App沒有隱私政策、用戶協議,App安裝、使用等過程中均未通過彈窗、鏈接等方式提示用戶閱讀隱私政策,均被納入違法違規行為。

“可以說,《認定方法》對App隱私政策的規定非常細致。”令吳沈括欣慰的是,《認定方法》對隱私政策的內容設定、訪問形式等都作了明確要求,這意味著隱私政策不再是徒有其表的虛設,用戶對App中的收集行為更加明確,有利于增強其對網絡空間的信心。

此外,《認定方法》明確規定何為App違法違規收集個人信息,對App服務提供者而言,明晰了過度采集行為及其應當的責任范圍,甚至讓其意識到公民個人信息保護的重要性。

“《認定方法》的出臺,在一定意義上,彌補了對App治理的短板。”在吳沈括看來,盡管我國個人信息管理體系以及技術標準等逐漸完備,但對于App違法違規收集個人信息的行為并未有專項規定予以規制,而《認定方法》著重加強了對App的管制,一定程度上也有利于該行業的有序健康發展。

“《認定方法》將有利于促進網絡健康有序發展。”對此,中國社科院國家文化安全與意識形態建設研究中心副主任兼秘書長朱繼東十分認同。他告訴記者,對有關部門而言,對認定某個App是否構成非法收集個人信息行為,有了科學依據;對廣大App用戶而言,可以清晰了解App是否在違規收集個人信息,可以有針對性地利用這些維護自己的權益,同向有關部門舉報。

讓朱繼東擔憂的是,實踐中這些認定可能存在難點。“個別App會鉆法律的空子,比如用戶如果不同意隱私政策,則拒絕正常使用,逼迫用戶同意不合理的隱私政策,而且難以留存證據。”朱繼東坦言,僅僅依靠認定辦法,還難以對個人信息保護問題進行周延性保護,后續需要將辦法上升到法律層面,嚴厲打擊違規App的非法收集行為。

打擊常遇無法可依情形

始于今年1月的App違法違規收集使用個人信息專項治理已有4個月有余,在推進此項專項治理中是否還存在一些短板?

吳沈括非常關注專項治理中開展自愿性App個人信息安全認證的內容。他認為,自愿性App個人信息安全認證實際效果有待驗證。對大部分App服務提供者而言,在尚未確定該行為的最大利益時,主動實行安全認證積極性并不高。為此,吳沈括建議,采取鼓勵措施,以實際利益等提高服務提供者的積極性。

據悉,中央網信辦、工信部、公安部、市場監管總局指導成立App違法違規收集使用個人信息專項治理工作組以來,組織開展的App收集使用個人信息評估工作取得階段性進展。

截至4月16日,舉報信息超過3480條,涉及1300余款App。對于30款用戶量大、問題嚴重的App,工作組已向其運營者發送了整改通知。

在左曉棟看來,這種整改效果不容樂觀。“專項治理開展后,有些App確實按照要求進行了整改,隱私政策也做了重新修訂,但違法違規收集個人信息方式更加隱蔽。”

左曉棟舉例說,按照要求,App需要明示收集使用個人信息的目的、方式和范圍,許多App把使用范圍擴大至公司及關聯企業,究竟哪些屬于關聯企業,往往沒有明示。依照現有規定,又很難界定其是否違規。

朱繼東同樣認為,專項治理工作存在一些難點。比如在打擊App違規收集行為中,經常出現依據比較模糊或是難以找到相應的法律依據,甚至是無法可依情形,對非法收集個人信息的相關規定有待進一步細化。

為此,朱繼東建議:一要加快立法進度,立法層面加大對違規App的打擊力度;二要常態化公布App違規收集個人信息的典型案例,對其他企業起到警示作用;三要站在維護國家網絡安全的高度,推進網絡安全建設,重視對App非法收集個人信息的治理。

在央視“3·15”晚會上,一款名為“社保掌上通”的APP被點名批評。經主持人測試,用戶填寫各種資料注冊這款APP后,電腦就能夠遠程接收到用戶的所有信息。然而,這款APP通過隱藏的用戶條款竊取用戶社保信息,且未得到官方授權。據稱,工信部已要求騰訊、百度、華為等國內主要應用商店全面下架“社保掌上通”APP。

令人震驚的是,“社保掌上通”在授權協議中,居然要求用戶“在此充分地、有效地、不可撤銷地明示同意并授權我們使用您的社保賬戶密碼為您提供查詢服務”,這等于使用這款軟件服務的用戶已無任何隱私可言,“社保掌上通”成為裸露的信息池,任憑“社保掌上通”及其合作方自由進出,隨意挪用。

“社保掌上通”不過是央視“3·15”晚會曝光的眾多手機APP案例之一。此外,“3·15”晚會曝光的“探針盒子”,能通過Wifi等技術手段發現周圍用戶所使用的手機號碼,并能搜集婚姻、教育程度、收入等個人信息數據,更是引發社會不安。深交所目前已向“社保掌上通”疑似存在關聯關系的麥達數字發去問詢函,要求說明其與杭州遞金的關系。深交所還向藍色光標發出問詢函,要求藍色光標董事會說明,對壁合科技(其招財喵產品涉嫌使用“探針盒子”)的投資金額、持股比例、是否參與壁合科技的日常經營管理、是否使用璧合科技獲取用戶信息等。

公民信息正在成為某些企業的“盤中餐”。曾有研究機構調查后發現,2017年中國大數據核心產業的市場規模約234億元,較2016年增長39.3%,預計到2020年中國大數據市場規模將達578億元。高增長態勢體現出大數據市場需求的旺盛,吸引眾多資本涌入其中。但資本、產業化的出現是把“雙刃劍”,如果缺乏完善的法律保障及強有力的監管執法,不受約束的資本和產業化路徑會把大數據應用演變成作惡的手段,把用戶本應自知的數據隱私轉化為交易代碼,最終演化為灰色產業鏈的一部分。

用戶最大風險在于,無論使用哪類軟件,都面臨信息泄露的風險。一些企業的“數據授權”,正在成為嚴重傷害公眾隱私的利器,公民保護自身信息安全的權利及相關法律的規定,都在“數據授權”的強迫式條款下淪為廢紙。互聯網本身是技術進步與創新的代名詞,如今卻異化為踐踏用戶隱私及隱私信息違法交易的場所,如果再不加以有效遏制,必將造成更加難以想象的后果。

下架“社保掌上通”,只是信息安全保衛戰打響的第一槍。對公眾信息的保護,已經到了加速治理市場亂象的關鍵時刻,僅靠用戶的投訴舉報、媒體的曝光、個別APP下架、相關涉事公司被問詢,遠遠不能解決根本問題。相關部門應盡快對市面上的各類APP進行全面清查,被查出存在問題的APP,應根據其情節輕重,分別處以APP下架、行政罰款、納入黑名單并向全社會公布、鼓勵用戶集體訴訟索賠乃至對涉事公司暫停或永久取締其從業資格、依法追究責任人刑責等處罰。

2017年6月1日起施行的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》明確規定:違反國家有關規定,通過購買、收受、交換等方式獲取公民個人信息,或者在履行職責、提供服務過程中收集公民個人信息的,屬于刑法規定的“以其他方法非法獲取公民個人信息罪”。設立用于實施非法獲取、出售或者提供公民個人信息違法犯罪活動的網站、通訊群組,情節嚴重的,以非法利用信息網絡罪定罪處罰。

法律對于非法竊取、收集公民個人信息的行為已經有了明確規定,司法機關應加大監管力度,對違法企業及相關責任人予以重罰,構建起一道違法成本不斷提高的強力防線,避免公民隱私信息像小商品一樣在“數據市場”被隨意叫賣。

□遠山(財經評論人) 編輯 汪世軍 校對 劉越