个人信息在“裸奔”
10月21日,知名在线信用卡管理平台-51信用卡被警方上门调查,多位业内人士推测,与其利用爬虫技术不正当获取用户信息,及采取非法暴力形式催收有关。无独有偶,2019年9月中旬,公信宝、存信数据、魔蝎科技等多家公司遭警方贴封条,勒令停止运营商爬虫服务,其中大多与为网贷提供数据、爬虫抓数据、洗数据、购买黑数据有关。
在大数据时代,数据即石油、数据是黄金。大数据时代个人信息随处可见,个人信息的内涵、处理方式、技术手段和侵权形式已发生巨大的变化,个人信息在被各类主体竞相挖掘和利用的同时,其保护不足的问题也日益凸显,因公民信息泄露带来的侵权问题、欺诈事件愈益严重,针对用户信息的非法收集、窃取、贩卖和利用行为日渐猖獗,国内倒卖用户信息的地下产业链总规模已超过百亿。在2018年十大消费侵权事件中,个人信息被收集、使用、贩卖就占据了两条,分别是:“大数据杀熟”多领域多平台泛滥;个人信息被兜售,互联网用户在“裸奔”。
1.个人信息非法收集现状
(1)经济利益驱动下的过度收集
在移动互联时代,如果单从收集环节来看个人信息保护来看,最突出的问题应是大众应用程序过度收集用户的个人信息。网络运营者如违反了《中华人民共和国网络安全法》关于“不得收集与其提供的服务无关的个人信息”的规定,掌握了本不该获得的个人信息,一旦发生信息的滥用、误用,或发生了信息的泄露、毁损、丢失,对用户合法权益造成的损害将成倍地放大。
一是隐瞒收集个人信息的功能、类型、范围等,非法收集个人信息。
一方面直接面向用户的网络运营者会非法收集,另一方面第三方开发者在提供功能模块或组件时非法嵌入收集个人信息的指令或功能,试图“搭便车”收集个人信息,个人信息泄露防不胜防。这些行为与《中华人民共和国网络安全法》第22条第2款:“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”第41条第1款:“网络运营者不得收集与其提供的服务无关的个人信息”都是相违背的。
二是通过“一揽子协议”强制用户授权,从而非法收集个人信息。
“一揽子协议”可分为两个方面:服务或功能捆绑,以及故意扩大服务或功能所必需的个人信息。面对“一揽子协议”,用户在缺乏法律保护的情况下,要么只能全盘接受,要么只能全盘否定,严重影响用户使用效率和体验。实践中,在第二种明示方式下,往往个人用户只能一次性给出对第二方开发者和第三方开发者的同意授权,因此存在“服务或功能强制捆绑搭售”的情况,个人用户的同意实际上被架空。
(2)手机App过度收集个人信息
移动互联网应用程序(App)得到广泛应用,在促进经济社会发展、服务民生等方面发挥了不可替代的作用。同时,App强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的问题十分突出。
2.我国个人信息的法律法规
个人信息应该受到法律严格保护,非经信息主体知情同意不得收集、处理和利用;对滥用个人信息的行为,应有强有力的法律约束和监管惩戒。因此,尽快制定个人隐私保护相关法规,是切实保护公民基本权利和促进网络经济健康发展的迫切需求。
我国对于个人数据保护的立法起步较晚,目前还没有专门的个人信息保护法,但在个人信息保护方面已有了相关的法律法规、司法解释、部门规章和规范性文件,主要有《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《刑法修正案(九)》《消费者权益保护法》《民法总则》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等。
2019年1月25日,在中央网信办、工信部、公安部、市场监管总局四部门召开的新闻发布会上,联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》。中央网信办等四部门开展的App专项治理行动截止到2019年9月份共开展了四项工作:一是指导成立了App专项治理工作组,研究制定了一系列个人信息保护相关技术指导文件和政策文件,如《App违法违规收集使用个人信息行为认定办法》、国家标准《移动互联网应用(App)收集个人信息基本规范(草案)》等。二是开发了举报平台,建立专门针对App违法违规收集使用个人信息的举报渠道。至今,已收到近8000条举报信息,其中实名举报占到近1/3。三是将400余款下载量大、用户常用App纳入了评估,向100多家App运营企业发送了整改建议函,评估发现的问题得到整改落实。四是通过微信、网站等渠道加大宣传普及力度,配合央视“3·15”晚会对典型App违法违规收集个人信息行为进行曝光,其目的是为了促进App运营企业加紧整改。
3.个人信息主要做法
对个人信息进行保护,不仅是在公共领域和私人领域全面保护个人人格利益的需要,而且直接关系到国家的数据主权、文化主权以及经济发展。第一,个人信息的所有处理行为要坚持合法合规原则,在最少且必须的原则下进行收集和处理,信息的收集范围、使用范围、保存期限和销毁应受到相应的限制;第二,个人信息应当准确、完整和适时更新;第三,在个人信息保护问题上,数据控制者必须承担个人信息保护的主要责任,要将个人信息保护内化于其业务流程和技术设计中,同时采取必要的安全防范措施保护个人信息,防止数据丢失或未经授权的访问、销毁、使用、修改或泄漏,并承担相应的责任;第四,充分保障个人信息主体的知情权、查询权、修改权、删除权和可携带权等。
免责声明:本站内容来源于互联网公开信息,仅供学习和参考使用。如涉及版权问题,请联系我们,我们将在核实后第一时间删除相关内容。