5月28日,《数据安全管理办法(征求意见稿)》(以下简称“意见稿”)由国家互联网信息办公室发布。“意见稿”重点明确了网络运营者收集个人信息、数据收集处理应用的细则,特别对网络运营者在数据收集、处理使用、安全监督管理三方面做出了具体要求。

  在个人隐私严重泄露的今天,“意见稿”要求网络运营者不能默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。办法的执行或许可以对APP信息泄露源头上进行一定程度的控制。特别是在骚扰电话“治而不止”的当下,堵住信息泄露的来源,对于全社会全行业共同整治骚扰电话有一定的推动作用。

  信息泄露惹人忧,APP过度索要是泄露重要途径

  在大数据时代,我们一边享受着便利,一边冒着被“窥视”的风险,因为大家的个人信息都呈现“半透明”状态。

  2013年10月,国内安全漏洞监测平台“乌云网”披露,自称是中国最大的酒店数字客房服务商浙江慧达驿站公司,因为安全漏洞问题,使与其有合作关系的大批酒店的开房记录在网上泄露,涉4500家酒店22万条个人信息。

  2015年2月,喜达屋等7家知名酒店被曝开房记录泄露,每家酒店泄露的数据量都达千万条以上。而其他小范围内的酒店用户信息泄露事件,也不时被媒体曝光。

  2018年8月,暗网中文论坛上出现一则出售华住酒店数据的帖子,涉及1.3亿人身份及开房信息的数据被标价为8比特币或520门罗币(约等于37万人民币)出售。发帖人发布的内容显示,被出售的数据包含汉庭、美爵、宜必思、怡莱、海友等酒店。

  事实上,以上信息泄露的事件仅是冰山一角。

  根据2018年8月29日中国消费者协会发布的《App个人信息泄露情况调查报告》,目前个人信息泄露总体情况比较严重,在共计5458份有效问卷中,有此遭遇的受访者占比达85.2%。

  来源:中消协《App个人信息泄露情况调查报告》

  报告显示,个人信息泄露的主要途径包括经营者未经本人同意收集个人信息,经营者或不法分子故意泄露、出售或者非法向他人提供个人信息,网络服务系统存有漏洞,不法分子通过木马病毒、钓鱼网站等手段盗取、骗取个人信息和经营者收集不必要的个人信息等。

  另外,用户在使用App时,不经意间同意的一些授权协议,也会导致个人信息泄露。

  App过度索要授权是个人信息泄露的导火索之一。2018年底,中国消费者协会发布的《100款APP个人信息收集与隐私政策测评报告》显示,10类100款APP中,多达91款APP列出的权限存在涉嫌“越界”过度收集用户个人信息的问题。特别是在有关隐私条款上,报告显示当前许多手机APP存在诸如隐私条款笼统不清,不主动向用户展示或展示内容晦涩冗长,没有为用户提供访问、更正、删除个人信息的途径,大量收集与所提供服务无直接关联的个人信息等典型问题。

  信息泄露危害大,是骚扰电话“治而不止”的根源

  那么,个人信息泄露有哪些危害呢?在互联网时代,用户个人隐私的价值是不言而喻。往小了说会导致骚扰电话和垃圾短信。再往大点说,个人信息泄露,常常是电信诈骗、敲诈勒索、恶意注册账号等一系列违法犯罪的源头。业内人士指出,信息泄露会造成用户人身财产受到威胁,不法分子通过各种途径收集人们被泄露出去的个人信息,经过筛选分析用户特征,从事电信诈骗、非法讨债甚至绑架勒索等精准犯罪活动。

  拿目前困扰大多数用户的骚扰电话来说,相关部门、运营商十分重视并不断强化拦截、加大打击力度,但骚扰电话却仍然增加且变换花样。其主要原因还在于个人用户信息泄露不断,成为骚扰电话不断滋长的温床。

  来源:中消协《App个人信息泄露情况调查报告》

  有业内人士提出,“以被骚扰的电话号码来源为例,原来经常有互联网企业被曝信息泄露,互联网企业一句‘被撞库,已报案’就完事了,但埋下的是无穷无尽的雷,这些号码会被重复买卖,甚至归类卖给不同的营销企业。”

  据一些媒体调查,由于个人信息泄露难防和信息检索技术升级,电话营销产业链不断壮大,可得利润也随之走高。

  因此,根治骚扰电话,重要的是从源头上治理,从源头上堵住拨打号码的来源。

  严控收集是“意见稿”关键词,或规范APP信息收集

  “网络运营者通过网站、应用程序等产品收集使用个人信息,应当分别制定并公开收集使用规则。收集使用规则应当明确具体、简单通俗、易于访问,突出网络运营者基本信息等。”在“意见稿”中,公开是数据收集的主要关键词。

  而在数据安全监督管理方面,“意见稿”则指出,发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时以电话、短信、邮件或信函等方式告知个人信息主体,并按要求向行业主管监管部门和网信部门报告。

  根据国家标准化管理委员会等部门去年实施的《信息安全技术个人信息安全规范》,不仅身份证信息和电话号码属于个人敏感信息,个人指纹、声纹等生物识别信息,邮箱地址、网页浏览记录、精准定位信息都属于个人敏感信息范畴。

  同时,按照“意见稿”,“不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息,而拒绝提供核心业务功能服务”,这或对APP等收集个人信息方面起到规范作用。可以说,在对个人信息保护方面的规范上有所进步。

  业内人士认为,从“不知道谁掌握敏感信息”到“收集前需要备案”,备案制无论从数据安全还是用户隐私保护来看,都是一种进步。中国信息安全研究院副院长左晓栋表示,这样可以对收集者追根溯源,从源头保护个人信息安全。

  做好个人信息保护,清除骚扰电话源头和土壤

  事实上,治理整顿违规收集个人信息的行为,是切断背后“黑灰”产业链的一剂猛药。更能从源头上堵住骚扰电话违法的来源。

  对于电信运营商而言,治理骚扰电话是义不容辞的责任,三大运营商在抵制骚扰电话方面也一直未有松懈,各种技术持续推进。

  但正如独立电信分析师付亮说的,“光靠运营商封号治理骚扰电话没戏。”号码的源头不制止消除,相当于滋长的温床还在。

  因此,做好个人信息保护,不仅事关个人,更涉及整个社会的整体利益。当然,消除骚扰电话也不能靠一方之力,需要全社会多方协作。

  除了自我保护,企业规范自律外,政府监管更是缺失不得。此次网信办的《数据安全处理办法(征求意见稿)》已经在监管制度设计更进一步,显然是一种进步。

  不过,虽然个人信息保护已经成为共识,但在大数据时代,信息数据也是重要生产要素,也应该在在保护个人权利的同时激励社会更好地沉淀和使用数据,需要在发展与安全之间找到平衡点。