据央视新闻报道,有网民手机增加了app隐私记录功能后,发现手机上安装的很多常用社交、办公、娱乐app存在频繁自启动、访问、读取手机信息的现象。有一款移动教学软件十几分钟访问手机照片和文件近2.5万次。我国个人信息泄露情况不容乐观,信息泄露途径和表现形式多样,甚至形成了地下产业链。谨防app过度索取用户隐私,对于个人权益保护与互联网应用良性发展具有积极意义。
高收益低风险:手机app偷窥何以发生
用户数据被手机app任意收集处理的现象实际上由来已久,几乎与移动应用市场相伴而生。中国消费者协会2018年发布的《app个人信息泄露情况调查报告》显示,85.2%的受访者遭遇过个人信息泄露,近七成认为手机app在不必要情况下获取用户隐私权限。其中,经营者未经本人同意收集,经营者或不法分子故意泄露、出售或非法提供,是造成个人信息泄露的前两类原因。这表明,app过度采集个人信息呈现普遍趋势,移动设备的个人隐私保护现状不容乐观。
为保障个人信息安全,有关部门展开了一系列整治市场乱象的行动。2019年1月至12月,中央网信办等四部门在全国范围组织开展app违法违规收集使用个人信息专项治理。而对于app收集使用个人信息的边界,相关政策法规也已明确了合法、正当、必要等原则。
隐私侵犯屡禁不止,这种“明知故犯”的背后,高收益低风险正是主要原因。
所谓“高收益”,来自于用户隐私数据帮助企业精准营销所创造的价值。大数据时代,企业笃信数据即价值的信条,以各种方式对用户上传或留痕的信息实现“变现”。采集app功能需要之外的用户大数据,经过分析后可辅助呈现用户画像,从而实现广告的精准投放。例如,作为被强制获取的最常见数据,地理位置信息可用于提供用户周边的商业服务。手机上安装的其他应用信息有助于企业了解用户生活习惯,智能匹配关联服务。
隐私获利的另一条路径是对外售卖个人信息。部分手机app过度索取数据调用权限,并私自共享给第三方。2019年9月,风靡网络的ai换脸软件zao因被指存在数据泄露风险而被约谈。根据zao用户协议的描述,该app除了可免费使用并修改用户肖像,还可以将它任意授权给想授权的第三方,进行信息贩卖。当然,隐私贩卖的非法性质过于显露,对市场声誉影响大,因而通常不会被正规app直接承认。倘若部分app追逐短期利益,可能私下与关联度高的机构进行内部合作,或者经由少数内部人员之手将隐私信息流通市场。
与此同时,隐私被过度征用的风险,也是app运营商反复突破隐私保护边界的现实考虑。一方面,企业违法成本低,而消费者维权成本高。我国已经制定了信息保护的若干法律规范,如2018年5月实施的《信息安全技术个人信息安全规范》等。但实际操作上存在诸多执法难点与模糊地带,个人信息保护政策未明确违规处罚措施,无法对互联网企业形成有力威慑。多数app的隐私保护政策未达到个人信息安全的规范标准。
另一方面,企业会通过操作隐私协议“制造同意”,寻求隐私收集与处理的合法化,从而在形式上降低了违法风险。现有法律规范指导下,多数app都形成一套隐私政策与隐私协议,供用户浏览并授权。但通常授权与使用相互绑定,用户数据实际上被强制征用;应用权限和隐私政策内容过长、可读性差,导致很少有人仔细阅读;预先勾选、凸显或间接遮蔽部分关键条款,也是app引导用户授权的惯用操作。经由如此授权的隐私采集,并非真正获得了用户的知情同意。
因此,企业对现有政策漏洞的适应进一步降低了违法成本。在精准画像与数据贩卖的丰厚营利驱使下,过度采集、隐私泄露等乱象层出不穷。工业和信息化部赛迪研究院互联网研究所副所长陆峰指出,目前下载量较大的千余款移动app平均申请25项权限,超过30%会申请与自身业务无关的权限。
个人数据交易的灰色产业链
事实上,用户隐私泄露行为远不止手机app自身的参与。一些公开报道显示,在app自身的隐私侵犯行为之外,个人信息买卖已形成一条规模大、链条长、利益大的产业链。中国人民大学法学院博士后刘笑岑介绍,这条灰色产业链结构完整、分工细化,个人信息被明码标价,包含上、中、下游完整的流通变现环节。其中,上游环节负责非法获取或向他人提供个人信息。除了上述app内部合作与黑客非法入侵之外,信息来源大致可以分为三类:
第一类是网络爬虫等方式非法爬取的数据信息。《新京报》曾报道,一些机构以“大数据营销”为名,依靠销售非法爬虫工具获利,从淘宝、京东等电商平台商家爬取数据,还有公司称可以获取任意网页及app访客的手机号。这些网络爬虫业务通过数据贩卖和流量牵引牟利,不仅给用户带来了恶意营销、网络攻击等干扰,也影响了网站的正常服务与用户体验。但随着监管趋向严格和反爬虫技术的进步,此类现象正逐渐减少。
第二类是开发山寨app骗取用户上传数据。山寨app通常仿冒同类知名公司,引诱不明真相的用户上钩,进而窃取并贩卖位置、通讯录、身份证照片等数据,或者是以平台名义联系客户索要手续费等。这背后衍生出包括山寨app开发者、伪造人员等团队参与的一整套产业链。3月,宁波、高平等多地警方发布关于山寨贷款app的风险提示,其核心运作模式正与此相似。
第三类是能够接触到个人信息的内部工作人员盗取出售信息。“内鬼交易”的泄露方式与企业管理制度完善程度和员工个人道德水平有关,多发生在保险、物流等行业。少数员工利用职务之便非法出售高价值信息,为客户隐私带来巨大风险。
这些灰色数据经采集后,中游环节负责对其进行处理与再加工,通过买卖、交换等形式形成规模化市场,随后便将所获个人信息应用于电信诈骗、恶意营销等不法渠道以牟取高额利润。苏宁金融研究院发布的报告指出,数据变现的获利模式主要有工作室合作、倒卖收费与雇佣分成三种。有关组织在qq群、论坛、暗网等各种渠道出售个人信息,同时,不同雇佣人员之间又存在信息倒卖关系。
更复杂的变现手段旨在使用网络技术获取用户私有财产。只要掌握姓名、身份证号、银行卡号、预留手机号等敏感信息,寻找银行网上支付、第三方快捷支付等支付漏洞,就能用盗取的银行卡信息进行盗刷或转账。比如,2019年年末央视网报道称,有qq群提供技术手段帮人破解各类app人脸认证的付费服务,进而破解并倒卖对方的实名社交账号。相比于推销与骚扰,这无疑对用户利益造成了实质性损害。
规范行业乱象,保障用户隐私安全
app对个人信息的不必要索取,是个人信息泄露、非法买卖中的重要出口。不仅直接伤害用户权益,也影响到整体的网络治理效果,不利于互联网应用生态的健康长远发展。面对困扰已久的隐私泄露难题及其衍生的信息交易灰色产业链,有关部门除了敦促app企业自觉自律,还需要采取一系列实质行动规范行业乱象。
第一,提高手机app市场准入门槛,降低用户维权成本,多环节发力规范行业经营模式。不少app把个人授权与功能开放捆绑,打着用户同意的旗号过度收集与处理隐私。强化源头治理,不妨就从app研发、资质审核、上架环节入手,从细化个人授权操作上加以规范。比如,激发手机“应用市场”责任潜力,发挥出类似零售行业进货、上架核查、退货等功能。同时,大幅度降低消费者的维权门槛,如为消费者诉讼企业侵犯隐私开辟绿色通道,包括低成本、高效率的集体诉讼。对消费者因隐私被窃取的赔偿标准,可进一步探索。
第二,完善细化有关法律法规,探索个人信息分级分类保护体系,收集个人重要数据或敏感数据需备案。技术发展倒逼法律完善。进一步规范网络爬虫等自动化手段收集网站数据,对于妨碍网站运营或非法侵占数据的行为,制定明确的处罚措施。同时探索构建分级分类保护体系,引导行业对个人信息进行分类,明确敏感信息与一般信息各自的收集处理机制,避免信息采集主体过多、采集过度。也可以考虑建立收集重要数据备案制度,向网信部门备案。
第三,强化企业动态监管,各方形成监管合力,为行业有序发展提供坚实保障。手机app的监管和个人信息的保护,需要工信、市场监管、公安、网安等部门协同共治、动态监管。明确个人信息保护的监管责任机制,将多家部门的监管效力拧成监管合力,形成对违法企业的强大威慑。加大对个人信息贩卖的黑灰产业链的打击力度,将执法范围辐射到网络边缘地带,促成常态化监管机制。
来源:
试用申请