互聯網用戶信息泄露不但對用戶日常生活造成了困擾,嚴重者更是導致用戶的財產安全和人身安全受到侵害,因此,用戶信息安全保護工作刻不容緩,不容懈怠。但是也應該看到,用戶信息安全保護問題將隨著技術的不斷革新而不斷演變出新的挑戰,因此,這一問題絕非能夠一勞永逸。
互聯網用戶信息泄露現象突出
你是否遇到過這樣的情形:一款你從未使用過的APP給你發來指名道姓的短信,稱有好友標記了你的生日、給你發送了一段視頻?這些短信背后,是當前互聯網產品過度獲取用戶信息以及對個人信息保護力度嚴重不足的現實。
“安卓手機所安裝的APP中,90%都存在漏洞,平均每款APP的漏洞達到7個。而且漏洞被發現后,修復時間往往長達三個月到半年。”12月28日,在南方都市報社和中國人民大學未來法治研究院等聯合主辦的“2017年個人信息安全大會”上,賽迪智庫網絡安全研究所所長劉權表示,當前,一些手機APP等互聯網產品對用戶信息的保護嚴重不足,一些APP甚至存在惡意加載功能的現象,其目的就是為了獲取用戶的個人信息。
國家互聯網應急中心運行部工程師賈子驍表示,受到互聯網黑客產業鏈的利益驅動,用戶信息泄露現象愈演愈烈,木馬攻擊、安全漏洞利用、惡意程序開發等現象十分突出,其危害正在不斷加劇。“我們通過監測發現,從2012年開始,移動惡意程序呈現爆發增長趨勢,網絡黑客產業鏈活動猖獗。隨著智能穿戴設備的進一步普及,各種數據遍布在云上,我們面臨的個人信息保護形勢非常嚴峻。”賈子驍說。
事實上,即使沒有惡意獲取用戶信息,大部分互聯網產品的隱私保護也難以讓用戶放心。南都個人信息保護研究中心近日發布的《2017個人信息保護年度報告》顯示,互聯網平臺隱私政策透明度的分布是陡峭的金字塔型,即透明度高的互聯網平臺極少,透明度低的占比超過80%,在互聯網金融類平臺和購物類平臺中,低透明度的占比甚至超過90%。
值得注意的是,在透明度最高的10個互聯網平臺中,大部分都是大型互聯網企業旗下產品,并且也是2017年7月中央網信辦等四部委組織隱私政策評審的首批參評對象。此次專項行動之后,京東、淘寶、支付寶等平臺紛紛調整隱私政策,對個人信息的使用均作出了相關規范。不過,在報告涉及的1550個平臺中,其知名度和隱私政策透明度并非絕對正相關,大量高知名度互聯網平臺的隱私政策透明度排名靠后。
報告還發現,有些重要條款在互聯網平臺中普遍缺失,這些條款內容無一例外都指向企業責任,條款的缺失便減輕了企業責任,最終可能侵害用戶利益。比如用戶對平臺提供的附加功能應有選擇權,即使用戶拒絕也不能影響使用平臺核心功能;若平臺將用戶信息用于此前聲明以外的新目的,必須獲得用戶的再次同意。此外,報告中涉及的互聯網平臺的隱私政策普遍存在用戶權利條款缺失、文本雷同、更新緩慢、暗藏格式條款等弊病。
多元共治 有效追責
對于用戶、企業和國家來說,能否有效遏制用戶信息泄露,意義重大。對于用戶來說,信息一旦泄露,可能會涉及到人身安全和財產安全。對企業來講,用戶信息數據是其核心商業財產,也是保證其長遠健康發展的重要因素。從國家層面來講,信息安全是網絡安全的重要內容,與國家安全息息相關。
用戶信息安全與多主體相關,其保護工作也需要多元共治。其中,國家的法規政策是用戶信息安全保護體系的重要支撐,相關法規政策是否精準有效,對于保護用戶信息安全、推動互聯網產業健康發展至關重要。
2017年,從法規政策完善出發,有關部門在保護公眾信息安全方面動作頻繁。2017年5月,最高人民法院和最高人民檢察院發布《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》;6月1日,《網絡安全法》正式實施。7月,國家網信辦等四部委啟動個人信息保護專項行動。盡管如此,對于公民信息安全保護來說,法規政策層面面臨的挑戰依然不小。
北京市第一中級人民法院民二庭副庭長丁宇翔表示,個人信息的范疇非常大,隨著信息技術的發展,個人信息的內涵將會越來越豐富,基于這樣一種現狀,司法實踐對于個人信息的保護很可能沒辦法把每種利益都界定得特別清楚。
對于一些數據產業領域的企業來說,則往往會產生其正常業務是否會受到信息安全保護法規政策影響的擔憂。“從執法層面來說,我們希望有關部門能有效區分合法合規的數字產業和打著大數據旗號的黑色產業,然后有針對性地進行打擊。”螞蟻金服首席隱私官聶正軍表示,信息安全與隱私保護是一個非常復雜的系統性問題,立法過程中,要平衡好發展與保護的關系以及發展與安全的關系,要做到這兩類平衡,關鍵在于把決定權交還給用戶,因為任何代表用戶或者代替用戶做出的一刀切規則,都有可能打破這個平衡。
此外,聶正軍認為,從司法層面來說,盡管路徑方向很明確,但是實踐起來還有很多障礙,最大的問題在于受害者很難舉證,難以勝訴,或者即便勝訴,也可能輸了金錢和時間,得到的收益與投入不對等,司法層面的這些問題應該得到完善。
劉權則認為,要遏制個人信息泄露現象,應當建立有效的追溯和追責機制,“目前用戶使用的400多萬款APP中,究竟有幾款可以實現追溯?是誰開發的?內容檢測是誰負責的?在哪個應用商店下載的?是否提示用戶APP有沒有得到認可的第三方機構檢測?如果可以有效追溯這些環節,厘清責任歸屬,也許可以從根本上解決這個問題。”
更多挑戰亟需應對
互聯網用戶信息安全問題是互聯網產業高速發展的副產品,也必然面臨著不斷革新的信息技術帶來的全新挑戰。
移動互聯網之后,物聯網將是未來信息流動的重要載體,據預計,2018年,全球物聯網產業規模將會超過1000億美元,這也意味著互聯網設備將越來越多。“以前的智能設備是手機、計算機,未來的無人機、智能玩具、智能穿戴設備、掃地機器人等都將變成智能設備,指紋、面部特征、行為信息等都將成為人的特征信息。”南都個人信息保護研究中心研究員李玲表示,新的設備和新的信息都將為用戶信息安全保護帶來新的挑戰。
此外,互聯網產業格局的發展和變化也會給用戶信息安全帶來一定影響。隨著互聯網巨頭不斷并購和布局上下游周邊業務,其擁有的用戶數據也面臨著如何與第三方共享、如何與用戶形成協議等問題。“我們的研究發現,在用戶協議中,有的互聯網企業提出經用戶同意就把數據分享給第三方,有的互聯網企業表示會跟第三方簽保密協議,或者表示會對這些數據做去標識化處理。但是有的互聯網企業提出,不經過用戶同意就與關聯公司和合作伙伴進行數據分析。可以看到,企業在實踐中,還沒有統一的處理辦法。”李玲說。
今年下半年,風極一時的共享單車出現了倒閉潮,也引發了一個引人關注的問題,在貢獻單車企業倒閉后,用戶的銀行賬號、騎行地址等數據如何處理?在互聯網創業的風潮中,企業的興衰頻率空前加快,這樣一些快速崛起又迅速倒掉的企業不在少數,如何處理其遺留的用戶數據這一問題已經不容忽視。對此問題,目前行業還沒有達成共識,政府的監管也仍然處于模糊地帶。
京公網安備 11010502049343號