原标题:个人信息安全面临双重挑战
“当前,APP的安全状况仍不容乐观。很多APP由于存在大量安全漏洞和缺乏安全措施,被不法分子二次打包后,或被直接仿冒,或植入广告、恶意代码,甚至加入违法内容,重新投放应用市场,严重危害用户隐私与财产安全,网络‘黑产’链条也开始滋生。”在日前广东省公安厅向社会发布的《移动互联网应用安全白皮书(2017)》中就指出,有大量的APP在用户不知情的情况下收集用户个人隐私信息。而记者此前实测45款APP后也发现,有八成APP默认访问电话和位置信息,而大量“可有可无”的用户信息被“APP们”收集在手上,他们到底意欲何为?
◎ APP收集的用户信息成网络黑产“最爱”
据统计,仅从2015年下半年到2016年上半年,我国网民因垃圾信息、诈骗信息、个人信息泄漏等遭受的经济损失就高达915亿元,网络黑产诈骗已成为影响互联网健康发展的“毒瘤”。精准到个人各种详尽信息的诈骗手法层出不穷,除了让用户防不胜防外,更是体现了“黑产”链条的威力,而众多被APP所收集的用户个人信息,无疑是网络“黑产”的最爱。
据南方日报记者了解,如今的互联网行业中,“用户信息”作为商品来贩卖早已经不是新鲜事,而提供这些“用户信息”商品的“来源”也是五花八门,其中各式各样APP收集所得则是其中的重要组成部分。
“相对于其他形式的个人信息收集,APP收集的个人信息更为全面和丰富,价值也更高。”据一位不愿意透露姓名的APP开发者向南方日报记者表示,APP启动后收集的数据包含了位置、通讯录甚至短信信息,这对于用户的“画像”会更为精准,对于对个人信息有需求的“买家”而言价值也更大。大量被APP收集的数据成为“黑产”链条的源头,成为可售卖的商品,不仅侵害了用户的个人隐私,同时也会对个人用户的信息安全造成危害。“这种高精度的个人信息被用在网络诈骗等方面时,会让受害者难以辨识,更容易中招。”
在1月18日广东省公安厅通报的“安网2017”专项行动成果里,全年共侦破网络犯罪案件4588起,抓获犯罪嫌疑人1.2万名,缴获被泄露、窃取、买卖的公民个人信息高达7.1亿余条。
“不过用户对于APP收集的信息安全也不必过分担忧,因为目前国家是有健全的法律法规进行监管和要求的,存在问题的更多是非正规和来路不明的APP应用。”中国电子商务研究中心法律权益部分析师姚建芳表示,目前个人信息泄露主要三种原因:即拥有个人信息资料的商业机构被外部窃取或内部泄露;技术漏洞所致,造成用户大量隐私内容曝光;用户个人由于信息保管不当,被不法分子获得等。
据网络安全领域人士介绍,随着我国《网络安全法》的实施,在如何更好地对个人信息进行保护这一问题上有了相当大的突破。它确立了网络运营者在收集、使用个人信息过程中的合法、正当、必要原则。形式上,进一步要求通过公开收集、使用规则,明示收集、使用信息的目的、方式和范围,经被收集者同意后方可收集和使用数据。另一方面,《网络安全法》加大了对网络诈骗等不法行为的打击力度,特别对网络诈骗严厉打击的相关内容,切中了个人信息泄露乱象的要害,充分体现了保护公民合法权利的立法原则。此外,针对目前个人信息非法买卖、非法分享的社会乱象,《网络安全法》规定了未经被收集者同意,网络运营者不得泄露、篡改、毁损其收集的个人信息的义务。
◎用户信息成大数据与人工智能“原材料”
当你打开安居客APP,你看到的都是你最希望了解地段的房子信息;当你打开转转APP,你会发现原来身边的小伙伴都在淘好货;当你打开中华英才网APP,你会发现你最想跳槽的企业恰好在招人……如今在大数据和人工智能的“帮助”下,每一个APP都开始越来越懂得用户,让用户能够看到和了解到最符合自己需要的内容,而背后则是“APP们”的数据收集的“魔力”所在。
在大数据和人工智能的热潮下,数据已经成为互联网领域最有价值的“原材料”,而APP通过向用户搜集个人信息数据,一方面来扩充自己的数据库资源,另一方面则为大数据分析和人工智能的应用提供数据基础。
“个人信息安全受到技术和商业模式的双重挑战,尤其是在大数据时代,我们无法拒绝个人信息被收集,但前提应以个人敏感信息的无害传播为原则。”北京大学法学院教授、互联网法律中心主任张平此前在谈到大数据时代的个人信息安全时表示:“当前是人工智能和大数据时代,我们无法拒绝个人信息被收集,但我们必须关注个人信息是如何被收集的,以及收集过程和程度是否符合法律的规定,所以我的结论是,个人信息的收集应以人身权利或敏感信息不受伤害为基本原则。”在业内人士看来,在大数据时代个人用户信息的保护更应该保障用户的知情权和选择权。
“默认勾选,应该不只是支付宝一家的做法,它是互联网行业内部通行做法,几乎是一个明规则。”针对近期支付宝年度用户“个人账单”采用了“默认勾选”允许芝麻信用收集信息的做法,中国政法大学传播法研究中心副主任朱巍表示,我国目前没有把个人信息和大数据进行区分,可识别的信息属于个人信息,属于隐私权范畴;不可识别的信息属于大数据,属于知识产权范畴,商家可以随便拿来用没有问题。“比如浏览了什么页面,浏览次数多少,这些不可识别到个人的信息,不需要征求用户个人同意;但是,到底是谁浏览了,叫什么名字,这些信息必须要事先告知用户,征求用户同意之后才可以用。而个人信息和大数据之间的界限,我们国家实际上是非常模糊的。正是因为模糊,所以很多网络服务提供者把随意收集信息当作商业惯例,根本就不说清楚,自己用的是个人信息还是大数据,混为一谈对商家是极为有利的。”