誰動了我的個人資訊?(法治進行時)
核心閱讀
日前,APP專項治理工作組在中央網信辦、工信部、公安部、市場監管總局指導下,開展了APP違法違規收集使用個人資訊安全評估,發現一些APP存在強制授權、過度索權、超範圍收集個人資訊等問題。
近日,為了明確界定APP收集使用個人資訊方面的違法違規行為,APP專項治理工作組起草的《APP違法違規收集使用個人資訊行為認定方法(徵求意見稿)》向社會公開徵求意見,為APP運營者自查自糾提供指引,為APP評估和處置提供參考。
如今,人們的生活越來越離不開網路,用戶的線上行為被不斷觀察和記錄,由此形成了海量個人數據,但這也給當前個人資訊保護帶來不小挑戰,廣大網民對此反映強烈。
“越界”收集用戶數據現象令人擔憂
記者在手機上打開一款新安裝的旅遊類APP,還未進入程式,啟動頁面上首先就接連跳出多項許可權申請。然而,即使全部選擇禁止,要想進一步使用該APP,在用戶註冊時必須一併同意其附帶的《隱私政策》。細讀這些條款不難發現,其在描述資訊收集類別上不僅比較籠統,而且充斥大量技術專用名詞。
2018年底,中國消費者協會發佈的《100款APP個人資訊收集與隱私政策測評報告》顯示,10類100款APP中,多達91款APP列出的許可權存在涉嫌“越界”過度收集用戶個人資訊的問題。特別是在有關隱私條款上,報告顯示當前許多手機APP存在諸如隱私條款籠統不清,不主動向用戶展示或展示內容晦澀冗長,沒有為用戶提供訪問、更正、刪除個人資訊的途徑,大量收集與所提供服務無直接關聯的個人資訊等典型問題。
“在我們對安卓手機APP的檢測中,可能涉及獲取的隱私許可權包括讀取位置資訊、手機號碼、聯繫人、通話記錄,打開攝像頭、使用話筒錄音等共16項許可權。”360公司安全專家介紹,通過連續幾年對手機安全生態的跟蹤研究顯示,對“讀取聯繫人”許可權的申請佔比從2017年的3.5%攀升至2018年的29.3%,同時2018年申請錄音許可權的APP數量則最多,有47%的APP申請用戶手機的錄音許可權,較2017年的28.6%出現了較大增長。
收集個人資訊的“邊界”在哪,什麼樣的行為又算是“越界”?浙江大學光華法學院教授朱新力介紹,根據網路安全法確立的規則,網路運營者收集、使用個人資訊,應當遵循合法、正當、必要的原則,不得收集與其提供的服務無關的個人資訊,不得違反法律、行政法規的規定和雙方的約定收集、使用個人資訊,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人資訊。
“凈網”!治理整頓,堵住違法源頭
“情節嚴重的,依法暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照。”今年1月,中央網信辦等四部委聯合發佈的《關於開展APP違法違規收集使用個人資訊專項治理的公告》強調,有關主管部門要加強對違法違規收集使用個人資訊行為的監管和處罰。今年3月,為規範APP收集、使用用戶資訊特別是個人資訊的行為,市場監管總局、中央網信辦決定開展APP安全認證工作,並鼓勵搜索引擎、應用商店等明確標識並優先推薦通過認證的APP。
事實上,治理整頓違規收集個人資訊的行為,也是切斷背後“黑灰”産業鏈的一劑猛藥。
2018年8月,一網民出售上海某酒店集團旗下5億條酒店會員數據,引起社會廣泛關注。上海公安成立專案組開展偵查,經過12個晝夜的連續奮戰,成功打掉該竊取公民個人資訊並實施敲詐的職業駭客犯罪團夥。
侵犯個人資訊,常常是電信詐騙、敲詐勒索、惡意註冊賬號等一系列違法犯罪的源頭。“數據洩露會造成用戶人身財産受到威脅,不法分子通過各種途徑收集人們被洩露出去的個人資訊,經過篩選分析用戶特徵,從事電信詐騙、非法討債甚至綁架勒索等精準犯罪活動。”360安全專家表示,如果是國家重點行業、領域的數據被洩露,那不僅對企業來説是致命的,還會對國家安全造成嚴重威脅。
圍繞侵犯公民個人資訊的犯罪行為,公安部、工信部、中央網信辦等部門加大與最高人民法院、最高人民檢察院協作配合力度,形成治理合力。2018年以來,公安部等部門持續開展打擊整治網路侵犯公民個人資訊安全的“凈網”專項行動,有力築牢公民個人資訊防護墻。
制定與時代發展相適應的數據治理政策
打開手機上的導航軟體,紅色、黃色、綠色等標識出了每條道路的擁堵狀況,整個城市交通狀況一目了然,出行有了不錯的參考;今天的人工智慧也越來越聰明,智慧商業、智慧醫療、智慧城市等日新月異,正在迅速改變人們的生活——這些科技創新依賴對用戶數據的海量收集。同時,線上購買機票時疑似出現的“大數據殺熟”,一旦搜索過某商品就會不斷遭遇的“精準行銷”,這背後站著的也是大數據。
“如今,數據已成為重要生産要素,我們需要制定與時代發展相適應的數據治理政策。”朱新力表示,數據安全治理涉及三個維度,包括個體層面的隱私保護,産業層面的科技競爭、創新和發展,以及國家層面的數據安全和全球數字競爭力。
“數據採集並不是數據安全和隱私侵害的‘原罪’,近年來諸如徐玉玉電信詐騙案等社會熱點,暴露出數據安全能力薄弱是數據洩露和隱私侵害的重要原因。”朱新力認為,應當擴大數據擁有者的責任邊界,規定在數據共用、轉移、交易中,數據擁有者應保證數據接受者具備足夠的數據安全能力、履行同等的保護義務,確保數據流通全過程的安全,並藉以提高整個行業的保護水準。
華東政法大學數據法律研究中心主任高富平教授認為,對個人數據保護的正當性不是個人提供或創制了個人數據,而是因為這些數據與個人有聯繫。“當今社會,個人數據保護已經成為共識,在保護個人權利前提下利用數據成為數據驅動型經濟最基本的制度需求。”
兼顧發展與安全,激勵社會更好使用數據
從立法角度來看,關於公民個人資訊保護的規定散見於網路安全法、電子商務法、民法總則、刑法等多部法律中,但尚未出臺專門法律加以保護。目前,根據十三屆全國人大常委會立法規劃,個人資訊保護法已被納入第一類項目,即“條件比較成熟、任期內擬提請審議的法律草案”。
中央財經大學法學院教授吳韜認為,在個人數據保護標準和制度設計上不能照搬照抄,應結合我國實際情況,推進數字産業規範發展和個人數據保護立法工作,兼顧個人數據保護、創新、效率和安全幾個價值目標。
朱新力認為立法應該實現發展與安全之間的平衡,在保護個人權利的同時激勵社會更好地沉澱和使用數據。對此他建議,立法中可以對“個人數據”加以分類,比如以敏感或不敏感為標準,集中力量對敏感個人數據加以保護,對不敏感個人數據則側重流通利用;也可以導入“風險”理念,根據個人數據的性質、使用場景以及産生的風險,來限定用戶同意的範圍和數據二次利用的風險管理機制。
對於如何正當配置數據權利,高富平表示,一個良好的數據經濟基本秩序除了要防止個人數據的濫用行為,也應當確認和保護數據生産者的權利。“一方面,數據持有者對數據的財産化利用必須尊重個人權利,同時也應該激勵數據持有者開放自己的數據供其他主體使用,由此實現數據高效的社會化利用。”高富平説。
《 人民日報 》( 2019年05月30日 19 版)