據(jù)央視新聞報(bào)道,有網(wǎng)民手機(jī)增加了APP隱私記錄功能后��,發(fā)現(xiàn)手機(jī)上安裝的很多常用社交��、辦公����、娛樂APP存在頻繁自啟動(dòng)�、訪問��、讀取手機(jī)信息的現(xiàn)象�����。有一款移動(dòng)教學(xué)軟件十幾分鐘訪問手機(jī)照片和文件近2.5萬次。我國(guó)個(gè)人信息泄露情況不容樂觀�,信息泄露途徑和表現(xiàn)形式多樣����,甚至形成了地下產(chǎn)業(yè)鏈��。謹(jǐn)防APP過度索取用戶隱私�����,對(duì)于個(gè)人權(quán)益保護(hù)與互聯(lián)網(wǎng)應(yīng)用良性發(fā)展具有積極意義。
高收益低風(fēng)險(xiǎn):手機(jī)APP偷窺何以發(fā)生
用戶數(shù)據(jù)被手機(jī)APP任意收集處理的現(xiàn)象實(shí)際上由來已久,幾乎與移動(dòng)應(yīng)用市場(chǎng)相伴而生�����。中國(guó)消費(fèi)者協(xié)會(huì)2018年發(fā)布的《APP個(gè)人信息泄露情況調(diào)查報(bào)告》顯示,85.2%的受訪者遭遇過個(gè)人信息泄露��,近七成認(rèn)為手機(jī)APP在不必要情況下獲取用戶隱私權(quán)限�����。其中����,經(jīng)營(yíng)者未經(jīng)本人同意收集��,經(jīng)營(yíng)者或不法分子故意泄露��、出售或非法提供��,是造成個(gè)人信息泄露的前兩類原因���。這表明��,APP過度采集個(gè)人信息呈現(xiàn)普遍趨勢(shì),移動(dòng)設(shè)備的個(gè)人隱私保護(hù)現(xiàn)狀不容樂觀。
為保障個(gè)人信息安全����,有關(guān)部門展開了一系列整治市場(chǎng)亂象的行動(dòng)�。2019年1月至12月���,中央網(wǎng)信辦等四部門在全國(guó)范圍組織開展APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理�����。而對(duì)于APP收集使用個(gè)人信息的邊界��,相關(guān)政策法規(guī)也已明確了合法、正當(dāng)、必要等原則���。
隱私侵犯屢禁不止,這種“明知故犯”的背后,高收益低風(fēng)險(xiǎn)正是主要原因�。
所謂“高收益”�,來自于用戶隱私數(shù)據(jù)幫助企業(yè)精準(zhǔn)營(yíng)銷所創(chuàng)造的價(jià)值�。大數(shù)據(jù)時(shí)代,企業(yè)篤信數(shù)據(jù)即價(jià)值的信條����,以各種方式對(duì)用戶上傳或留痕的信息實(shí)現(xiàn)“變現(xiàn)”���。采集APP功能需要之外的用戶大數(shù)據(jù)�����,經(jīng)過分析后可輔助呈現(xiàn)用戶畫像��,從而實(shí)現(xiàn)廣告的精準(zhǔn)投放����。例如�����,作為被強(qiáng)制獲取的最常見數(shù)據(jù)�����,地理位置信息可用于提供用戶周邊的商業(yè)服務(wù)。手機(jī)上安裝的其他應(yīng)用信息有助于企業(yè)了解用戶生活習(xí)慣�,智能匹配關(guān)聯(lián)服務(wù)�。
隱私獲利的另一條路徑是對(duì)外售賣個(gè)人信息�。部分手機(jī)APP過度索取數(shù)據(jù)調(diào)用權(quán)限,并私自共享給第三方�����。2019年9月�,風(fēng)靡網(wǎng)絡(luò)的AI換臉軟件ZAO因被指存在數(shù)據(jù)泄露風(fēng)險(xiǎn)而被約談。根據(jù)ZAO用戶協(xié)議的描述��,該APP除了可免費(fèi)使用并修改用戶肖像,還可以將它任意授權(quán)給想授權(quán)的第三方,進(jìn)行信息販賣。當(dāng)然,隱私販賣的非法性質(zhì)過于顯露��,對(duì)市場(chǎng)聲譽(yù)影響大�����,因而通常不會(huì)被正規(guī)APP直接承認(rèn)����。倘若部分APP追逐短期利益����,可能私下與關(guān)聯(lián)度高的機(jī)構(gòu)進(jìn)行內(nèi)部合作����,或者經(jīng)由少數(shù)內(nèi)部人員之手將隱私信息流通市場(chǎng)。
與此同時(shí)��,隱私被過度征用的風(fēng)險(xiǎn)��,也是APP運(yùn)營(yíng)商反復(fù)突破隱私保護(hù)邊界的現(xiàn)實(shí)考慮��。一方面,企業(yè)違法成本低����,而消費(fèi)者維權(quán)成本高����。我國(guó)已經(jīng)制定了信息保護(hù)的若干法律規(guī)范���,如2018年5月實(shí)施的《信息安全技術(shù)個(gè)人信息安全規(guī)范》等��。但實(shí)際操作上存在諸多執(zhí)法難點(diǎn)與模糊地帶����,個(gè)人信息保護(hù)政策未明確違規(guī)處罰措施��,無法對(duì)互聯(lián)網(wǎng)企業(yè)形成有力威懾�。多數(shù)APP的隱私保護(hù)政策未達(dá)到個(gè)人信息安全的規(guī)范標(biāo)準(zhǔn)����。
另一方面,企業(yè)會(huì)通過操作隱私協(xié)議“制造同意”����,尋求隱私收集與處理的合法化,從而在形式上降低了違法風(fēng)險(xiǎn)。現(xiàn)有法律規(guī)范指導(dǎo)下����,多數(shù)APP都形成一套隱私政策與隱私協(xié)議��,供用戶瀏覽并授權(quán)。但通常授權(quán)與使用相互綁定,用戶數(shù)據(jù)實(shí)際上被強(qiáng)制征用��;應(yīng)用權(quán)限和隱私政策內(nèi)容過長(zhǎng)�����、可讀性差���,導(dǎo)致很少有人仔細(xì)閱讀����;預(yù)先勾選����、凸顯或間接遮蔽部分關(guān)鍵條款,也是APP引導(dǎo)用戶授權(quán)的慣用操作�����。經(jīng)由如此授權(quán)的隱私采集����,并非真正獲得了用戶的知情同意��。
因此,企業(yè)對(duì)現(xiàn)有政策漏洞的適應(yīng)進(jìn)一步降低了違法成本�。在精準(zhǔn)畫像與數(shù)據(jù)販賣的豐厚營(yíng)利驅(qū)使下����,過度采集��、隱私泄露等亂象層出不窮。工業(yè)和信息化部賽迪研究院互聯(lián)網(wǎng)研究所副所長(zhǎng)陸峰指出,目前下載量較大的千余款移動(dòng)APP平均申請(qǐng)25項(xiàng)權(quán)限,超過30%會(huì)申請(qǐng)與自身業(yè)務(wù)無關(guān)的權(quán)限��。
個(gè)人數(shù)據(jù)交易的灰色產(chǎn)業(yè)鏈
事實(shí)上����,用戶隱私泄露行為遠(yuǎn)不止手機(jī)APP自身的參與。一些公開報(bào)道顯示,在APP自身的隱私侵犯行為之外�,個(gè)人信息買賣已形成一條規(guī)模大����、鏈條長(zhǎng)�、利益大的產(chǎn)業(yè)鏈。中國(guó)人民大學(xué)法學(xué)院博士后劉笑岑介紹��,這條灰色產(chǎn)業(yè)鏈結(jié)構(gòu)完整�、分工細(xì)化,個(gè)人信息被明碼標(biāo)價(jià),包含上、中��、下游完整的流通變現(xiàn)環(huán)節(jié)����。其中,上游環(huán)節(jié)負(fù)責(zé)非法獲取或向他人提供個(gè)人信息。除了上述APP內(nèi)部合作與黑客非法入侵之外,信息來源大致可以分為三類:
第一類是網(wǎng)絡(luò)爬蟲等方式非法爬取的數(shù)據(jù)信息?���!缎戮﹫?bào)》曾報(bào)道�,一些機(jī)構(gòu)以“大數(shù)據(jù)營(yíng)銷”為名����,依靠銷售非法爬蟲工具獲利,從淘寶、京東等電商平臺(tái)商家爬取數(shù)據(jù)����,還有公司稱可以獲取任意網(wǎng)頁及APP訪客的手機(jī)號(hào)。這些網(wǎng)絡(luò)爬蟲業(yè)務(wù)通過數(shù)據(jù)販賣和流量牽引牟利����,不僅給用戶帶來了惡意營(yíng)銷��、網(wǎng)絡(luò)攻擊等干擾,也影響了網(wǎng)站的正常服務(wù)與用戶體驗(yàn)��。但隨著監(jiān)管趨向嚴(yán)格和反爬蟲技術(shù)的進(jìn)步�����,此類現(xiàn)象正逐漸減少��。
第二類是開發(fā)山寨APP騙取用戶上傳數(shù)據(jù)。山寨APP通常仿冒同類知名公司����,引誘不明真相的用戶上鉤����,進(jìn)而竊取并販賣位置�����、通訊錄���、身份證照片等數(shù)據(jù)����,或者是以平臺(tái)名義聯(lián)系客戶索要手續(xù)費(fèi)等�����。這背后衍生出包括山寨APP開發(fā)者、偽造人員等團(tuán)隊(duì)參與的一整套產(chǎn)業(yè)鏈。3月����,寧波��、高平等多地警方發(fā)布關(guān)于山寨貸款A(yù)PP的風(fēng)險(xiǎn)提示�����,其核心運(yùn)作模式正與此相似。
第三類是能夠接觸到個(gè)人信息的內(nèi)部工作人員盜取出售信息�����?���!皟?nèi)鬼交易”的泄露方式與企業(yè)管理制度完善程度和員工個(gè)人道德水平有關(guān),多發(fā)生在保險(xiǎn)���、物流等行業(yè)。少數(shù)員工利用職務(wù)之便非法出售高價(jià)值信息���,為客戶隱私帶來巨大風(fēng)險(xiǎn)。
這些灰色數(shù)據(jù)經(jīng)采集后��,中游環(huán)節(jié)負(fù)責(zé)對(duì)其進(jìn)行處理與再加工�,通過買賣、交換等形式形成規(guī)?����;袌?chǎng)�����,隨后便將所獲個(gè)人信息應(yīng)用于電信詐騙、惡意營(yíng)銷等不法渠道以牟取高額利潤(rùn)。蘇寧金融研究院發(fā)布的報(bào)告指出�,數(shù)據(jù)變現(xiàn)的獲利模式主要有工作室合作����、倒賣收費(fèi)與雇傭分成三種����。有關(guān)組織在QQ群、論壇��、暗網(wǎng)等各種渠道出售個(gè)人信息���,同時(shí)��,不同雇傭人員之間又存在信息倒賣關(guān)系�����。
更復(fù)雜的變現(xiàn)手段旨在使用網(wǎng)絡(luò)技術(shù)獲取用戶私有財(cái)產(chǎn)。只要掌握姓名、身份證號(hào)���、銀行卡號(hào)、預(yù)留手機(jī)號(hào)等敏感信息,尋找銀行網(wǎng)上支付�����、第三方快捷支付等支付漏洞����,就能用盜取的銀行卡信息進(jìn)行盜刷或轉(zhuǎn)賬。比如,2019年年末央視網(wǎng)報(bào)道稱����,有QQ群提供技術(shù)手段幫人破解各類APP人臉認(rèn)證的付費(fèi)服務(wù)���,進(jìn)而破解并倒賣對(duì)方的實(shí)名社交賬號(hào)。相比于推銷與騷擾,這無疑對(duì)用戶利益造成了實(shí)質(zhì)性損害����。
規(guī)范行業(yè)亂象���,保障用戶隱私安全
APP對(duì)個(gè)人信息的不必要索取�����,是個(gè)人信息泄露�����、非法買賣中的重要出口。不僅直接傷害用戶權(quán)益,也影響到整體的網(wǎng)絡(luò)治理效果,不利于互聯(lián)網(wǎng)應(yīng)用生態(tài)的健康長(zhǎng)遠(yuǎn)發(fā)展。面對(duì)困擾已久的隱私泄露難題及其衍生的信息交易灰色產(chǎn)業(yè)鏈,有關(guān)部門除了敦促APP企業(yè)自覺自律�,還需要采取一系列實(shí)質(zhì)行動(dòng)規(guī)范行業(yè)亂象�����。
第一,提高手機(jī)APP市場(chǎng)準(zhǔn)入門檻,降低用戶維權(quán)成本,多環(huán)節(jié)發(fā)力規(guī)范行業(yè)經(jīng)營(yíng)模式�。不少APP把個(gè)人授權(quán)與功能開放捆綁��,打著用戶同意的旗號(hào)過度收集與處理隱私。強(qiáng)化源頭治理,不妨就從APP研發(fā)�����、資質(zhì)審核���、上架環(huán)節(jié)入手�,從細(xì)化個(gè)人授權(quán)操作上加以規(guī)范。比如,激發(fā)手機(jī)“應(yīng)用市場(chǎng)”責(zé)任潛力,發(fā)揮出類似零售行業(yè)進(jìn)貨、上架核查�����、退貨等功能�����。同時(shí),大幅度降低消費(fèi)者的維權(quán)門檻�����,如為消費(fèi)者訴訟企業(yè)侵犯隱私開辟綠色通道���,包括低成本��、高效率的集體訴訟����。對(duì)消費(fèi)者因隱私被竊取的賠償標(biāo)準(zhǔn)�,可進(jìn)一步探索。
第二�����,完善細(xì)化有關(guān)法律法規(guī)�,探索個(gè)人信息分級(jí)分類保護(hù)體系,收集個(gè)人重要數(shù)據(jù)或敏感數(shù)據(jù)需備案���。技術(shù)發(fā)展倒逼法律完善。進(jìn)一步規(guī)范網(wǎng)絡(luò)爬蟲等自動(dòng)化手段收集網(wǎng)站數(shù)據(jù)����,對(duì)于妨礙網(wǎng)站運(yùn)營(yíng)或非法侵占數(shù)據(jù)的行為�,制定明確的處罰措施���。同時(shí)探索構(gòu)建分級(jí)分類保護(hù)體系���,引導(dǎo)行業(yè)對(duì)個(gè)人信息進(jìn)行分類���,明確敏感信息與一般信息各自的收集處理機(jī)制�,避免信息采集主體過多����、采集過度。也可以考慮建立收集重要數(shù)據(jù)備案制度�����,向網(wǎng)信部門備案。
第三�,強(qiáng)化企業(yè)動(dòng)態(tài)監(jiān)管�,各方形成監(jiān)管合力��,為行業(yè)有序發(fā)展提供堅(jiān)實(shí)保障����。手機(jī)APP的監(jiān)管和個(gè)人信息的保護(hù)�,需要工信、市場(chǎng)監(jiān)管�����、公安����、網(wǎng)安等部門協(xié)同共治、動(dòng)態(tài)監(jiān)管��。明確個(gè)人信息保護(hù)的監(jiān)管責(zé)任機(jī)制����,將多家部門的監(jiān)管效力擰成監(jiān)管合力�,形成對(duì)違法企業(yè)的強(qiáng)大威懾。加大對(duì)個(gè)人信息販賣的黑灰產(chǎn)業(yè)鏈的打擊力度,將執(zhí)法范圍輻射到網(wǎng)絡(luò)邊緣地帶��,促成常態(tài)化監(jiān)管機(jī)制�����。
(作者:人民網(wǎng)新媒體智庫(kù)研究員 張力�、見習(xí)助理研究員 郭雨璠)
(責(zé)編:袁勃��、陳泰然)
陜公網(wǎng)安備 61019602000052號(hào)