互聯(lián)網(wǎng)用戶信息泄露不僅對(duì)用戶日常生活造成困擾,嚴(yán)重者更是導(dǎo)致用戶的財(cái)產(chǎn)和人身安全受到侵害。因此,用戶信息安全保護(hù)工作刻不容緩。但是也應(yīng)該看到,用戶信息安全保護(hù)問題將隨著技術(shù)不斷革新而不斷演變出新的挑戰(zhàn)。所以,這一問題的解決將是一項(xiàng)保護(hù)互聯(lián)網(wǎng)用戶信息安全的長(zhǎng)期工作。
信息泄露現(xiàn)象突出
你是否遇到過這樣的情形:一款你從未使用過的APP給你發(fā)來(lái)指名道姓的短信,稱有好友標(biāo)記了你的生日、還給你發(fā)送了一段視頻。這些短信背后,是當(dāng)前互聯(lián)網(wǎng)產(chǎn)品過度獲取用戶信息以及對(duì)個(gè)人信息保護(hù)力度嚴(yán)重不足的現(xiàn)實(shí)。
“安卓手機(jī)所安裝的APP中,90%都存在漏洞,平均每款A(yù)PP的漏洞達(dá)到7個(gè)。漏洞被發(fā)現(xiàn)后,修復(fù)時(shí)間往往長(zhǎng)達(dá)3個(gè)月到半年。”在去年底召開的“2017年個(gè)人信息安全大會(huì)”上,賽迪智庫(kù)網(wǎng)絡(luò)安全研究所所長(zhǎng)劉權(quán)表示,當(dāng)前一些手機(jī)APP等互聯(lián)網(wǎng)產(chǎn)品對(duì)用戶信息的保護(hù)嚴(yán)重不足,一些APP甚至存在惡意加載功能的現(xiàn)象,其目的就是為了獲取用戶的個(gè)人信息。
國(guó)家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部工程師賈子驍說(shuō),受到互聯(lián)網(wǎng)黑客產(chǎn)業(yè)鏈的利益驅(qū)動(dòng),用戶信息泄露現(xiàn)象愈演愈烈,木馬攻擊、安全漏洞利用、惡意程序開發(fā)等現(xiàn)象十分突出,其危害正在不斷加劇。“通過監(jiān)測(cè)發(fā)現(xiàn),從2012年開始,移動(dòng)惡意程序呈現(xiàn)爆發(fā)增長(zhǎng)趨勢(shì),網(wǎng)絡(luò)黑客產(chǎn)業(yè)鏈活動(dòng)猖獗。隨著智能穿戴設(shè)備進(jìn)一步普及,各種數(shù)據(jù)遍布在云上,大眾面臨的個(gè)人信息保護(hù)形勢(shì)非常嚴(yán)峻。”賈子驍說(shuō)。
事實(shí)上,即使沒有惡意獲取用戶信息,大部分互聯(lián)網(wǎng)產(chǎn)品的隱私保護(hù)也難以讓用戶放心。南都個(gè)人信息保護(hù)研究中心近日發(fā)布的《2017個(gè)人信息保護(hù)年度報(bào)告》顯示,互聯(lián)網(wǎng)平臺(tái)隱私政策透明度是呈陡峭的金字塔型,即透明度高的互聯(lián)網(wǎng)平臺(tái)極少,透明度低的占比超過80%,在互聯(lián)網(wǎng)金融類平臺(tái)和購(gòu)物類平臺(tái)中,低透明度的占比甚至超過90%。
值得注意的是,在透明度最高的10個(gè)互聯(lián)網(wǎng)平臺(tái)中,大部分是大型互聯(lián)網(wǎng)企業(yè)旗下產(chǎn)品,也是2017年7月份中央網(wǎng)信辦等4部委組織隱私政策評(píng)審的首批參評(píng)對(duì)象。此次專項(xiàng)行動(dòng)之后,京東、淘寶、支付寶等平臺(tái)紛紛調(diào)整隱私政策,對(duì)個(gè)人信息的使用均作出了相關(guān)規(guī)范。不過,在報(bào)告涉及的1550個(gè)平臺(tái)中,其知名度和隱私政策透明度并非成正比,大量高知名度互聯(lián)網(wǎng)平臺(tái)的隱私政策透明度排名靠后。
報(bào)告還發(fā)現(xiàn),有些重要條款在互聯(lián)網(wǎng)平臺(tái)中普遍缺失,這些條款內(nèi)容無(wú)一例外都指向企業(yè)責(zé)任,條款的缺失減輕了企業(yè)責(zé)任,最終侵害到的是用戶利益。比如,用戶對(duì)平臺(tái)提供的附加功能應(yīng)有選擇權(quán),即使用戶拒絕也不能影響使用平臺(tái)核心功能;若平臺(tái)將用戶信息用于此前聲明以外的新目的,必須獲得用戶的再次同意。此外,報(bào)告中涉及的互聯(lián)網(wǎng)平臺(tái)隱私政策普遍存在用戶權(quán)利條款缺失、文本雷同、更新緩慢、暗藏格式條款等弊病。
多元共治有效追責(zé)
對(duì)于用戶、企業(yè)和國(guó)家來(lái)說(shuō),能否有效遏制用戶信息泄露,意義重大。在用戶方面,信息一旦泄露,可能會(huì)涉及人身安全和財(cái)產(chǎn)安全;在企業(yè)方面,用戶信息數(shù)據(jù)是其核心商業(yè)財(cái)產(chǎn),也是保證其長(zhǎng)遠(yuǎn)健康發(fā)展的重要因素;在國(guó)家層面,信息安全是網(wǎng)絡(luò)安全的重要內(nèi)容,與國(guó)家安全息息相關(guān)。
用戶信息安全與多主體相關(guān),其保護(hù)工作也需要多元共治。其中,國(guó)家的法規(guī)政策是用戶信息安全保護(hù)體系的重要支撐,相關(guān)法規(guī)政策是否精準(zhǔn)有效,對(duì)于保護(hù)用戶信息安全、推動(dòng)互聯(lián)網(wǎng)產(chǎn)業(yè)健康發(fā)展至關(guān)重要。
2017年,從法規(guī)政策完善出發(fā),有關(guān)部門在保護(hù)公眾信息安全方面動(dòng)作頻繁。2017年5月份,兩高發(fā)布了《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》;6月1日,《網(wǎng)絡(luò)安全法》正式實(shí)施。7月份,國(guó)家網(wǎng)信辦等4部委啟動(dòng)個(gè)人信息保護(hù)專項(xiàng)行動(dòng)。盡管如此,對(duì)于公民信息安全的保護(hù),法規(guī)政策層面面臨的挑戰(zhàn)依然不小。
北京一中院民二庭副庭長(zhǎng)丁宇翔認(rèn)為,個(gè)人信息的范疇非常大,隨著信息技術(shù)的發(fā)展,個(gè)人信息的內(nèi)涵將會(huì)越來(lái)越豐富,基于這樣一種現(xiàn)狀,司法實(shí)踐對(duì)于個(gè)人信息的保護(hù)很可能沒辦法把每種利益都界定得特別清楚。
對(duì)于一些數(shù)據(jù)產(chǎn)業(yè)領(lǐng)域的企業(yè),往往會(huì)產(chǎn)生其正常業(yè)務(wù)是否會(huì)受到信息安全保護(hù)法規(guī)政策影響的擔(dān)憂。“就執(zhí)法層面而言,希望有關(guān)部門能有效區(qū)分合法合規(guī)的數(shù)字產(chǎn)業(yè)和打著大數(shù)據(jù)旗號(hào)的黑色產(chǎn)業(yè),然后有針對(duì)性地予以打擊。”螞蟻金服首席隱私官聶正軍表示,信息安全與隱私保護(hù)是一個(gè)非常復(fù)雜的系統(tǒng)性問題。在立法過程中,要平衡好發(fā)展與保護(hù)的關(guān)系以及發(fā)展與安全的關(guān)系,做到這兩類平衡,關(guān)鍵在于把決定權(quán)交還給用戶,因?yàn)槿魏未碛脩艋蛘叽嬗脩舻囊坏肚惺揭?guī)則,都有可能打破這個(gè)平衡。
此外,聶正軍認(rèn)為,從司法層面看,盡管路徑方向很明確,但實(shí)踐中還有很多障礙,最大的問題在于受害者很難舉證,難以勝訴,或者即便勝訴,也可能輸了金錢和時(shí)間,得到的收益與投入不對(duì)等,這些問題需要解決。
劉權(quán)認(rèn)為,要遏制個(gè)人信息泄露現(xiàn)象,應(yīng)當(dāng)建立有效的追溯和追責(zé)機(jī)制,“目前用戶使用的400多萬(wàn)款A(yù)PP中,究竟有多少款可以實(shí)現(xiàn)追溯?是誰(shuí)開發(fā)的??jī)?nèi)容檢測(cè)是誰(shuí)負(fù)責(zé)的?在哪個(gè)應(yīng)用商店下載的?是否提示用戶APP有沒有得到認(rèn)可的第三方機(jī)構(gòu)檢測(cè)?如果可以有效追溯這些環(huán)節(jié),厘清責(zé)任歸屬,或許可以從根本上解決這一問題”。
挑戰(zhàn)亟待有效應(yīng)對(duì)
互聯(lián)網(wǎng)用戶信息安全問題是互聯(lián)網(wǎng)產(chǎn)業(yè)高速發(fā)展的副產(chǎn)品,也必然面臨信息技術(shù)不斷革新帶來(lái)的全新挑戰(zhàn)。
移動(dòng)互聯(lián)網(wǎng)之后,物聯(lián)網(wǎng)將是未來(lái)信息流動(dòng)的重要載體。據(jù)預(yù)計(jì),2018年全球物聯(lián)網(wǎng)產(chǎn)業(yè)規(guī)模將超過1000億美元,這也意味著互聯(lián)網(wǎng)設(shè)備將越來(lái)越多。“以前的智能設(shè)備是手機(jī)、計(jì)算機(jī),未來(lái)的無(wú)人機(jī)、智能玩具、智能穿戴設(shè)備、掃地機(jī)器人等都將變成智能設(shè)備,指紋、面部特征、行為信息等也將成為人的特征信息。”南都個(gè)人信息保護(hù)研究中心研究員李玲表示,新的設(shè)備和新的信息都將給用戶信息安全保護(hù)帶來(lái)新的挑戰(zhàn)。
此外,互聯(lián)網(wǎng)產(chǎn)業(yè)格局的發(fā)展和變化也給用戶信息安全帶來(lái)了一定影響。隨著互聯(lián)網(wǎng)巨頭不斷并購(gòu)和布局上下游的周邊業(yè)務(wù),其擁有的用戶數(shù)據(jù)也面臨著如何與第三方共享、如何與用戶形成協(xié)議等問題。“我們研究發(fā)現(xiàn),在用戶協(xié)議中,有的互聯(lián)網(wǎng)企業(yè)提出經(jīng)用戶同意才把數(shù)據(jù)分享給第三方,有的表示會(huì)跟第三方簽訂保密協(xié)議,或者對(duì)這些數(shù)據(jù)做去標(biāo)識(shí)化處理。但也有的互聯(lián)網(wǎng)企業(yè)表示,在不經(jīng)用戶同意的情況下,即與關(guān)聯(lián)公司和合作伙伴進(jìn)行數(shù)據(jù)分析??梢钥吹剑髽I(yè)在實(shí)踐中沒有統(tǒng)一的處理辦法。”李玲說(shuō)。
去年下半年,風(fēng)光一時(shí)的共享單車出現(xiàn)倒閉潮,也引發(fā)了一個(gè)引人關(guān)注的問題,在共享單車企業(yè)倒閉后,用戶的銀行賬號(hào)、騎行地址等數(shù)據(jù)如何處理?在互聯(lián)網(wǎng)創(chuàng)業(yè)的風(fēng)潮中,企業(yè)的興衰頻率極高,這樣一些快速崛起又迅速倒閉的企業(yè)不在少數(shù),如何處理其遺留的用戶數(shù)據(jù),這一問題已經(jīng)不容忽視。對(duì)此問題,目前行業(yè)還沒有達(dá)成共識(shí),政府的監(jiān)管也還處在模糊地帶。