我們的生活跟手機(jī)、網(wǎng)絡(luò)越來(lái)越親近,但它們是否安全呢?本周,國(guó)家網(wǎng)絡(luò)安全宣傳周,一份來(lái)自權(quán)威機(jī)構(gòu)對(duì)20萬(wàn)中國(guó)網(wǎng)民的調(diào)查報(bào)告披露:我國(guó)近一半網(wǎng)民認(rèn)為網(wǎng)絡(luò)不是那么安全。其中得分比較低的兩個(gè)指標(biāo),一個(gè)是近40%的網(wǎng)民認(rèn)為個(gè)人信息泄露非常多和比較多,另一個(gè)是,近20%的網(wǎng)民認(rèn)為互聯(lián)網(wǎng)企業(yè)履行安全責(zé)任情況不太好或非常不好。同樣是這一天,網(wǎng)信辦、工信部、公安部、市場(chǎng)監(jiān)管總局點(diǎn)名今日頭條、京東金融、云閃付等一批我們常見(jiàn)、常用的手機(jī)應(yīng)用,超范圍采集公民的個(gè)人隱私。而類(lèi)似的點(diǎn)名批評(píng),從今年1月開(kāi)始已經(jīng)開(kāi)展了22次。力度算大,但為何仍屢禁不絕?我們的個(gè)人信息,怎樣更好保護(hù),避免裸奔?企業(yè)和個(gè)人,又都該做些什么?《新聞周刊》本周視點(diǎn)關(guān)注,互聯(lián)網(wǎng)中的個(gè)人信息安全。
被過(guò)分授權(quán)的APP
本周五上午,在天津參觀網(wǎng)絡(luò)安全博覽會(huì)的張小姐,被本臺(tái)記者邀請(qǐng)參加了一項(xiàng)手機(jī)應(yīng)用是否過(guò)度獲取權(quán)限的檢測(cè)。張小姐的手機(jī)里有96款應(yīng)用,結(jié)果發(fā)現(xiàn)92款獲取了與個(gè)人信息相關(guān)的敏感權(quán)限。比如,一個(gè)用于電子消費(fèi)的信用卡APP,獲取了定位、攝像頭、麥克風(fēng)、通訊錄等權(quán)限,甚至一款用來(lái)看視頻的APP也拿到了定位權(quán)限,隨時(shí)知道她在哪兒。
工作人員介紹,這些被過(guò)度獲取的敏感權(quán)限,有些是因?yàn)橛脩?hù)沒(méi)有仔細(xì)閱讀須知,大意授予的,還有一些是被悄悄獲取的。針對(duì)這一現(xiàn)象,今年1月,中央網(wǎng)信辦、工信部、公安部、市場(chǎng)監(jiān)管總局等四部門(mén),聯(lián)合開(kāi)展為期1年的專(zhuān)項(xiàng)治理工作,定期對(duì)市面上的APP進(jìn)行評(píng)估,并每隔1到2周,將違規(guī)、超范圍收集使用用戶(hù)信息的APP,向社會(huì)通報(bào)。在最近公布的名單中,金山詞霸、今日頭條、云閃付、京東金融等,都榜上有名。
國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心 常務(wù)副主任 陳建民:有一種就是說(shuō)它隱私文件壓根就沒(méi)有,它上來(lái)就是你安裝,然后直接采集。還有一種就是說(shuō)我有聲明文件,但是聲明的文件權(quán)限我申請(qǐng)了五項(xiàng),可能實(shí)際過(guò)程中它會(huì)采集十項(xiàng)。中央網(wǎng)信辦一直在研究核心必要的功能,約談這些知名的APP的這種開(kāi)發(fā)者,到底哪些是你必要的功能。
時(shí)至今日,個(gè)人信息已不再僅僅是定位、通話(huà)記錄等傳統(tǒng)內(nèi)容。隨著電子支付、人臉識(shí)別的盛行,面容ID、虹膜、指紋等生物特征成為新的個(gè)人敏感信息。本月初,一款號(hào)稱(chēng)“和偶像同演一臺(tái)戲”的換臉APP,受到了網(wǎng)友追捧。但僅過(guò)一天,公司被曝光將上傳的肖像據(jù)為己有,可隨意使用、再授權(quán),瞬間跌下神壇。更有人一度懷疑:會(huì)不會(huì)有人借此換了我的臉,去盜刷我的錢(qián)?支付寶緊急辟謠,假臉無(wú)法突破他們的風(fēng)控手段,不影響安全,但還是借此向行業(yè)提出倡議,采集用戶(hù)信息時(shí),應(yīng)遵循最少、夠用的原則。
支付寶隱私保護(hù)研究中心主任 李海英: 要盡最大可能盡量少地采集用戶(hù)信息,同時(shí)能夠保證我們業(yè)務(wù)順利進(jìn)行。我們對(duì)于這些信息的授權(quán)不會(huì)進(jìn)行一攬子授權(quán),捆綁授權(quán),同時(shí)也通過(guò)像能夠刪除授權(quán)等等這樣一些情況,提供用戶(hù)一個(gè)退出方式。
對(duì)于互聯(lián)網(wǎng)的頭部企業(yè)來(lái)說(shuō),保護(hù)用戶(hù)個(gè)人信息安全,關(guān)乎聲譽(yù)、命脈,相關(guān)的人力、技術(shù)投入一直不低。但對(duì)于一些創(chuàng)業(yè)期的新興APP,可能就不會(huì)如此樂(lè)觀。如今,大部分APP都在向支付寶、微信等聚合,入住的小程序、服務(wù)會(huì)申請(qǐng)調(diào)用平臺(tái)采集的用戶(hù)信息,如何在授權(quán)時(shí),不發(fā)生泄密,也是必須解決的難題。
本周,在網(wǎng)絡(luò)安全宣傳周新聞發(fā)布會(huì)上,中央網(wǎng)信辦相關(guān)負(fù)責(zé)人表示新的國(guó)家標(biāo)動(dòng)互聯(lián)網(wǎng)應(yīng)用(APP)收集個(gè)人信息基本規(guī)范》,已完成征求意見(jiàn),很快就將出臺(tái)。規(guī)范明確規(guī)定APP收集個(gè)人信息時(shí),應(yīng)遵從“最少信息、最少權(quán)限”原則。即每一類(lèi)應(yīng)用,只可收集規(guī)范中列出的必要信息和權(quán)限,除此之外的任何信息和權(quán)限,用戶(hù)都有權(quán)拒絕提供。并且APP不得以這些拒絕為由,阻礙用戶(hù)使用APP主要功能。比如,地圖導(dǎo)航APP,除了網(wǎng)絡(luò)日志和定位外,其它信息和權(quán)限都不需要獲取。
中國(guó)傳媒大學(xué)政治與法律學(xué)院副院長(zhǎng) 王四新:等于說(shuō)監(jiān)管方和被監(jiān)管方,都有一個(gè)參照。保護(hù)消費(fèi)者的數(shù)據(jù),以什么標(biāo)準(zhǔn)來(lái)保障國(guó)家要監(jiān)管,也不能說(shuō)我想怎么監(jiān)管就怎么監(jiān)管,也不能完全根據(jù)你的主觀愿望,當(dāng)然對(duì)于廣大網(wǎng)民來(lái)講,哪些是不當(dāng)使用的,哪些是被過(guò)度收集的,還有它使用到什么程度,算是對(duì)我權(quán)益的侵犯,有了這個(gè)標(biāo)準(zhǔn)以后,網(wǎng)民心中也有數(shù)。
白巖松
在互聯(lián)網(wǎng)法律逐漸完善的過(guò)程中,哪些用戶(hù)信息是企業(yè)可以獲取的,哪些是不能碰的,獲取到的信息要盡到怎樣的保護(hù)責(zé)任,類(lèi)似的規(guī)定當(dāng)然是在不斷細(xì)化,有了規(guī)則,企業(yè)就要去遵守。而另一方面,互聯(lián)網(wǎng)用戶(hù)對(duì)自己個(gè)人信息要有保護(hù)意識(shí),這也很重要。有這么一組數(shù)據(jù),我國(guó)6-14歲的未成年網(wǎng)民大概是1.7億,互聯(lián)網(wǎng)的普及率超過(guò)93%,對(duì)于00后的他們來(lái)說(shuō),學(xué)習(xí)、娛樂(lè)、社交等等,基本都在互聯(lián)網(wǎng)上完成。2019年青少年藍(lán)皮書(shū)給出提醒:因?yàn)榉婪兑庾R(shí)不強(qiáng),未成年人相關(guān)數(shù)據(jù)已經(jīng)被大量采集并通過(guò)網(wǎng)絡(luò)獲取、儲(chǔ)存。針對(duì)這一問(wèn)題,今年10月1日,我國(guó)首部針對(duì)兒童網(wǎng)絡(luò)保護(hù)的立法,《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》將實(shí)施,這里面具體有哪些信息?能否讓這些互聯(lián)網(wǎng)的小用戶(hù)和監(jiān)護(hù)人真正培養(yǎng)起安全保護(hù)意識(shí)?又能讓成年人在網(wǎng)絡(luò)安全上學(xué)到些什么?
朋友圈曬娃,涉及隱私嗎?
截至2018年7月31日,我國(guó)6至14歲的未成年網(wǎng)民,規(guī)模達(dá)1.69億,未成年人的互聯(lián)網(wǎng)普及率達(dá)到93.7%,今年五月底,中國(guó)社會(huì)科學(xué)院新聞與傳播研究所、中國(guó)少年兒童發(fā)展服務(wù)中心等機(jī)構(gòu)合作發(fā)布了最新的《中國(guó)未成年人互聯(lián)網(wǎng)運(yùn)用報(bào)告》,其中隱私侵害被納入了未成年人互聯(lián)網(wǎng)運(yùn)用中最常見(jiàn)的問(wèn)題之一。
中國(guó)社會(huì)科學(xué)院新聞與傳播研究所 副所長(zhǎng) 季為民:我認(rèn)為它的最大危害,是有些互聯(lián)網(wǎng)平臺(tái)會(huì)利用未成年人的隱私,獲得不法利益。比方說(shuō)美國(guó)的臉書(shū),在今年7月12日,就被美國(guó)貿(mào)易聯(lián)邦委員會(huì)處予50億美元的罰款,主要是他們泄露了用戶(hù)的信息,并且用這些信息,來(lái)?yè)Q得他們的商業(yè)利益。這其中,就有一部分案例,是未成年人的信息泄露。
未成年人個(gè)人信息不能被大范圍交易,不能涉及暴力和色情,否則將受到法律的制裁,這是全世界通用且明確的底線(xiàn),但在觸碰到法律的紅線(xiàn)之前,隱私侵犯的標(biāo)準(zhǔn)存在許多爭(zhēng)議,取決于人們的容忍度和對(duì)隱私的認(rèn)知。有人覺(jué)得只有觸犯法律才是侵犯隱私,有人覺(jué)得未經(jīng)同意在朋友圈或群里,發(fā)別人家的娃就是侵犯隱私。
何女士在一家英國(guó)教育咨詢(xún)機(jī)構(gòu)工作,也是一位自媒體運(yùn)營(yíng)者,經(jīng)常分享一些海外育兒的經(jīng)驗(yàn),在中英兩國(guó)生活,她深刻感受到兩地對(duì)未成年人隱私保護(hù)上存在的差異。
育兒博主何女士:我覺(jué)得朋友圈曬娃這件事情,其實(shí)中西方之間的觀點(diǎn)差距還蠻大的。出國(guó)之前,我在朋友圈上面發(fā)發(fā)自己和別的孩子照片,也沒(méi)有覺(jué)得有什么不妥。但是出國(guó)以后,我對(duì)于隱私的這種敏感度會(huì)更高,你涉及到其他孩子的肖像權(quán),還是一些個(gè)人信息數(shù)據(jù)也好,都是需要經(jīng)過(guò)對(duì)方家長(zhǎng)的同意。
英國(guó)人對(duì)于隱私的保護(hù),是比較嚴(yán)格的,一方面也是來(lái)自于他們自己的意識(shí),另一方面也來(lái)自法律的規(guī)定。我女兒在英國(guó)上過(guò)三個(gè)私立學(xué)校,每一個(gè)學(xué)校都有自己關(guān)于照片,影片如何使用,這些都有非常細(xì)致規(guī)定,比如說(shuō)學(xué)校里面的演出,這個(gè)是絕對(duì)不可以錄像的,只有學(xué)校官方錄像錄完了以后,他可能會(huì)刻成DVD,但是家長(zhǎng)也不可以把里面的視頻翻錄上傳到網(wǎng)上。
不久前,《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》出臺(tái),這是我國(guó)在兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)方面制定的首部專(zhuān)門(mén)立法,將在十月一日正式實(shí)施,其中明確提到,兒童監(jiān)護(hù)人應(yīng)當(dāng)正確履行監(jiān)護(hù)職責(zé),教育引導(dǎo)兒童增強(qiáng)個(gè)人信息保護(hù)意識(shí)和能力,保護(hù)兒童個(gè)人信息安全。但專(zhuān)家表示,有些情況下,未成年人是在監(jiān)護(hù)人的允許下,將個(gè)人信息發(fā)布在網(wǎng)絡(luò)空間。
中國(guó)社會(huì)科學(xué)院新聞與傳播研究所 副研究院 楊斌艷:母嬰社交網(wǎng)站會(huì)希望媽媽持續(xù)發(fā)孩子的,所以會(huì)是一個(gè)孩子到出生,到孩子長(zhǎng)很大紀(jì)錄的東西,全部都有。你覺(jué)得,我只是片斷,零散供了那些,但是5年、10年以后,可能通過(guò)這些,他得到的遠(yuǎn)遠(yuǎn)不是你想象的信息內(nèi)容。
中國(guó)社會(huì)科學(xué)院新聞與傳播研究所 副所長(zhǎng) 季為民:在互聯(lián)網(wǎng)素養(yǎng)方面,我們國(guó)家還有很多,亟待提高的地方。比方說(shuō)我們未成年人在學(xué)校應(yīng)該加強(qiáng)他們未成年人網(wǎng)絡(luò)素養(yǎng)的課程培養(yǎng),以培養(yǎng)他們自我保護(hù)的意識(shí),另外也要提高家長(zhǎng)和教師網(wǎng)絡(luò)保護(hù)的這種意識(shí)。
白巖松
我們大多知道手機(jī)上的各種應(yīng)用程序?qū)ξ覀儌€(gè)人信息和隱私的獲取已經(jīng)非常過(guò)分了,但現(xiàn)實(shí)是:比我們想象的更加過(guò)分。比如根據(jù)我們看手機(jī)的角度,能了解我們的視力狀況,比如根據(jù)我們每天拿手機(jī),行走等等很多因素確定我們的運(yùn)動(dòng)習(xí)慣和健康。還有麥克風(fēng)授權(quán)扮演著對(duì)我們一定的監(jiān)聽(tīng)角色,然后推薦你感興趣的東西等等等等。這次被點(diǎn)名的應(yīng)用程序當(dāng)中還有金融領(lǐng)域的,這就格外讓我們擔(dān)心與財(cái)產(chǎn)有關(guān)的安全問(wèn)題。其實(shí)往深了說(shuō),企業(yè)越來(lái)越多的信息數(shù)據(jù)都上了云,這會(huì)不會(huì)成為黑客公布攻擊的新目標(biāo),連帶著我們都成為受害者?
正在完善的法律體系
今年8月底,北京某互聯(lián)網(wǎng)公司的法人代表、股東以及5名員工被提起公訴,罪名是涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)。據(jù)了解,從2014年開(kāi)始,該公司先后與全國(guó)十多個(gè)省市的電信、移動(dòng)、聯(lián)通、鐵通、廣電等大型運(yùn)營(yíng)商,簽訂了通過(guò)數(shù)據(jù)分析進(jìn)行精準(zhǔn)廣告營(yíng)銷(xiāo)的協(xié)議,在獲取運(yùn)營(yíng)商服務(wù)器的遠(yuǎn)程登錄權(quán)限后,開(kāi)始通過(guò)黑客手段,盜取服務(wù)器中的用戶(hù)數(shù)據(jù)。
有調(diào)查報(bào)道稱(chēng),這96家被竊取信息的受害者,幾乎是涵蓋了國(guó)內(nèi)所有核心互聯(lián)網(wǎng)企業(yè),用戶(hù)在網(wǎng)上瀏覽過(guò)什么信息,去過(guò)哪兒,買(mǎi)了什么東西等等,一舉一動(dòng)都在該公司的掌控之中,他們甚至還會(huì)隨意登陸用戶(hù)的社交賬號(hào),利用加粉、刷量、加群、推廣等手段獲取利潤(rùn)。
據(jù)《2018中國(guó)企業(yè)上云報(bào)告》顯示,近10年時(shí)間,中國(guó)企業(yè)上云率從2009年的3%已經(jīng)增長(zhǎng)到2018年的超過(guò)30%,這意味著企業(yè)通過(guò)云端可以積累大量的用戶(hù)數(shù)據(jù),而從這起號(hào)稱(chēng)是“國(guó)內(nèi)最大規(guī)模的數(shù)據(jù)竊取”案件中,我們也不難想象,這些聚合在一起的用戶(hù)數(shù)據(jù)和個(gè)人信息,已經(jīng)成為網(wǎng)絡(luò)犯罪團(tuán)伙眼中的一座座金山。
中國(guó)傳媒大學(xué)政治與法律學(xué)院副院長(zhǎng) 王四新:各種各樣的數(shù)據(jù),各種各樣的信息,匯聚到一個(gè)平臺(tái),這也是互聯(lián)網(wǎng)發(fā)展的一個(gè)產(chǎn)業(yè)現(xiàn)象,在2012年,(法律建設(shè))就轉(zhuǎn)向?qū)€(gè)人數(shù)據(jù),就是網(wǎng)絡(luò)上數(shù)據(jù)的保護(hù),到了2013年,2014年以后,我們?cè)诨ヂ?lián)網(wǎng)立法工作,開(kāi)始往體系化方向發(fā)展,代表就是(2017年)《網(wǎng)絡(luò)安全法》的制定。
2015年,侵犯公民個(gè)人信息罪列入我國(guó)《刑法修正案(九)》,2017年,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施,其中明確要求,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)確保其收集的個(gè)人信息安全,防止信息泄露、毀損、丟失,并對(duì)收集的個(gè)人信息數(shù)據(jù)進(jìn)行匿名化處理,保證脫敏后的數(shù)據(jù)不能再識(shí)別出特定個(gè)人,并且信息不可通過(guò)技術(shù)手段復(fù)原。
個(gè)人信息和用戶(hù)數(shù)據(jù),在進(jìn)入大數(shù)據(jù)時(shí)代后,所產(chǎn)生和附加的商業(yè)價(jià)值不斷增值,這也意味著,企業(yè)收集個(gè)人信息的原動(dòng)力在增加,而構(gòu)建完善的法律體系就必須跟得上網(wǎng)絡(luò)技術(shù)發(fā)展速度,2018年,《個(gè)人信息保護(hù)法》、《數(shù)據(jù)安全法》兩部法律已經(jīng)被明確列入立法規(guī)劃。
從移動(dòng)支付到智能家居,從智慧城市到數(shù)字政府建設(shè),我們希望生活越來(lái)越便捷,前提是個(gè)人信息的安全有效防護(hù),代價(jià)則是企業(yè)對(duì)用戶(hù)數(shù)據(jù)價(jià)值的不斷挖掘開(kāi)發(fā)。魚(yú)和熊掌,我們能兼得嗎?
中國(guó)傳媒大學(xué)政治與法律學(xué)院副院長(zhǎng) 王四新:國(guó)家來(lái)講,它肯定是要完善相關(guān)的法律制度,從企業(yè)這個(gè)角度來(lái)講,它需要對(duì)標(biāo)國(guó)家的這種要求,有一個(gè)相對(duì)完善的預(yù)警,還有風(fēng)險(xiǎn)管控的機(jī)制,當(dāng)然對(duì)于個(gè)人來(lái)講,不要過(guò)分泄露個(gè)人信息,不要隨隨便便就搞一攬子授權(quán)等等這些,做好信息的防范工作,它還是要形成一個(gè)全網(wǎng)合力的這種狀態(tài),也是一個(gè)全社會(huì)的一種系統(tǒng)工程。
白巖松
這一次對(duì)一些知名公司的點(diǎn)名是來(lái)自于一個(gè)專(zhuān)項(xiàng)行動(dòng)。這個(gè)專(zhuān)項(xiàng)行動(dòng),始于今年的1月份,主要針對(duì)的是違法違規(guī)收集使用個(gè)人信息。這4個(gè)部門(mén)都具有相當(dāng)大的影響力:是網(wǎng)信辦,工信部,公安部和市場(chǎng)監(jiān)管總局,但4個(gè)部門(mén)聯(lián)合起來(lái),卻似乎沒(méi)對(duì)有關(guān)公司產(chǎn)生足夠的震懾力。1月份以來(lái),點(diǎn)了22次名,一共有180多個(gè)網(wǎng)站被點(diǎn)名,但真正改變的有多少?這一次點(diǎn)名的除了其中的一個(gè)應(yīng)用程序,其它的連回應(yīng)都很少有。如果犯了錯(cuò)的,懲治時(shí)不能讓它真疼,毫無(wú)疑問(wèn)錯(cuò)會(huì)再犯。而個(gè)人隱私保護(hù),我們現(xiàn)在如何看重它都不為過(guò),因?yàn)橛行?yīng)用程序?qū)ξ覀儌€(gè)人信息的采集已經(jīng)超乎了我們的想象,也有著更大的危險(xiǎn)。所以對(duì)違法違規(guī)者,請(qǐng)真正的懲治,請(qǐng)讓他們真的疼。