信息安全已经越来越受到重视。
7月5日,国家网信办发布公告,对“运满满”“货车帮”“BOSS直聘”实施网络安全审查。过去几年,国家网信办、工信部以及各地通信管理局多次对App收集个人信息下达过文件,并多次对违规App进行通报、约谈,甚至下架。可是App违规收集使用个人信息仍屡禁不止。那么,App收集用户信息的边界在哪里?为何久受诟病的违规收集使用个人信息仍然屡禁不止?网络安全审查都审查哪些内容?传达了哪些信号?成为值得关注的问题。
中国传媒大学人类命运共同体研究院副院长王四新接受红星新闻记者采访时表示,App只能收集保证它功能发挥的必要信息,超范围的信息必须征得个人同意。中国政法大学传播法研究中心副主任、中国互联网协会法律工作委员会专家委员朱巍则表示,网络安全审查,将会成为一种网络安全的监管常态。
App为什么要收集个人信息?边界何在?
专家:个人信息具有潜在商业价值
在互联网时代,大数据在提供各种便利的同时也面临着信息泄露的隐患。身份证号码、手机号码、购买记录、行车路线等个人信息都在数据库里一览无余。消费记录被购物App分析,出行住宿被旅行App掌握,行车线路也被导航App知道得一清二楚……
过去几年国家网信办、国家工信部以及各地通信管理局多次对App收集个人信息下达过文件,并多次对违规App进行通报、约谈,甚至下架。但是,App违规收集使用个人信息仍屡禁不止。
App收集用户个人信息的动力是什么?中国传媒大学人类命运共同体研究院副院长王四新接受红星新闻记者采访时表示:“收集个人信息是每一个App都很愿意干的事情,因为信息越丰富,对用户的画像就越具体,各类数据信息交叉比对,产生的潜在商业价值就越大。不论是App自身变现,还是通过广告等商业途径变现,都需要收集这类信息。”
那么App收集用户信息的边界在哪里?王四新表示,我国App收集个人信息方面有一些基本的原则,比如收集想要的信息要和用户之间有明确的协议,而且这个协议要明示同意。不同类型的APP,国家法律规定了有明确的收集范围,也就是说App只能收集保证它功能发挥的必要信息。比如打车软件,地理位置信息就是必要信息,但是如果收集其他方面的信息,显然就超范围了。超范围的信息必须征得个人同意。
2019年1月25日,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称《公告》)。公告称,App运营者收集使用个人信息时要严格履行《网络安全法》规定的责任义务,对获取的个人信息安全负责,采取有效措施加强个人信息保护。遵循合法、正当、必要的原则,不收集与所提供服务无关的个人信息;收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则,并经个人信息主体自主选择同意;不以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得违反法律法规和与用户的约定收集使用个人信息。倡导App运营者在定向推送新闻、广告时,为用户提供拒绝接收定向推送的选项。
2019年初,为落实《公告》相关部署,受四部门委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App违法违规收集使用个人信息专项治理工作组(以下简称“App专项治理工作组”),具体推动App违法违规收集使用个人信息评估工作。
此外,《公告》提出了处罚方式,对强制、过度收集个人信息,未经消费者同意、违反法律法规规定和双方约定收集、使用个人信息,发生或可能发生信息泄露、丢失而未采取补救措施,非法出售、非法向他人提供个人信息等行为,按照《网络安全法》《消费者权益保护法》等依法予以处罚,包括责令App运营者限期整改;逾期不改的,公开曝光;情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。
2019年12月,国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅联合印发《App违法违规收集使用个人信息行为认定方法》(以下简称《认定方法》)。该《认定方法》可以说更系统地回答了“App收集用户信息的边界在哪里?”的问题。
《认定方法》对上述《公告》中提到的“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则,收集与其提供的服务无关的个人信息”、“未经同意向他人提供个人信息”、“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”六种违规做出了更加详尽的解释。
比如,哪些行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”?《认定方法》提到:1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;4.收集个人信息的频度等超出业务功能实际需要;5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
这种专项评估和整治的方式,属于一种事后审查,审查的范围主要是:“问题反映集中、用户数量大、与民众生活密切相关的App”。那么国家相关部门是否有所有App在上线时就作出评估和审查?对此,王四新表示,对于App上线时的审查,国家有不同层次的要求。除了社交舆论功能的App肯定要经过安全评估和安全审查,其他App不是所有的都要经过这一程序。过去App好多都属于野蛮生长的模式,最近两年我国加强了监管,苹果、华为、小米的应用商店或者入口端的商店,会根据自己平台的宗旨和这些App之间的协议,包括平台与用户之间的协议来确定这些App收集信息的范围,哪些可以收集,哪些不可以收集。对他们收集信息的行为进行管理。
网络安全审查如何启动?
专家:网络安全审查启动有两种程序,以后将成为监管常态
那么,近日连续启动的网络安全审查又传达了哪些信息?中国政法大学传播法研究中心副主任、中国互联网协会法律工作委员会专家委员朱巍告诉红星新闻记者:“从大的时代走向来看,这更加说明我们正逐步从过去粗放追求经济效率的模式,逐步过渡到了在安全的基础上去追求效益。”
“没有了安全的前提,追求经济效率其实是没有意义的。”朱巍称,按照过去对网络平台安全的治理模式,几乎多为出问题后再治理,再追责。其次,从有的《网络安全法》和《数据安全法》的治理重点来看,可以很清晰地发现,网络安全已经成为当前网络数据建设的短板和重点,因此通过本次敲响警钟,其背后释放出一个比较重要的信号在于,现在要追求的不是网络信息保护的事后安全,更多在于事前安全体系的构建,要做到未雨绸缪。
那么,本次整治为何是从“Boss直聘”、“运满满”、“货车帮”等APP开始?对此,朱巍分析认为,对于boss直聘等平台的治理原因,或与今年3·15释放的信号有关。
红星新闻记者了解到,在今年的3·15晚会上,多个数字网络经济领域的黑色产业链被集中曝光,其中就包括用户人脸信息等个人隐私被非法采集,个人简历在招聘网站被下载后大量流向黑市等。晚会同时披露,只要在一些招聘网站注册企业账号,在支付一定费用后就可以随意下载信息详尽的个人简历。由此,大量的个人简历信息流入不法分子的黑手,甚至被用作精准诈骗的实施。
对于网络安全审查的启动程序,王四新介绍说,有两种启动程序,第一种是企业自己申请,企业认为购买的服务或者核心产品可能会出现问题,可以申请国家相关部门审查或者自己请业界专家进行评估。另一种方法是根据《网络安全审查办法》,国家网信办、工信部、公安部、民政部等12个部门可以根据本领域管理的要求,如果认为App可能存在安全隐患,可以主动提起安全审查。
王四新表示,今年可能成为网络安全审查元年。去年出台的《网络安全审查办法》可以说有了一个详细的行动方案,一个程序性规定,一个操作规程。
“这可以看作是第一批审查对象,但未来很大可能会有第二批、第三批对更多平台的审查工作开展,这将会成为一种网络安全的监管常态。“朱巍说。
网络安全审查有哪些内容?传达了什么信号?
专家:大型网络平台成为基础信息服务者,要防患于未然
那么,网络安全审查主要审查什么?朱巍告诉红星新闻记者,从目前国内多数网络平台来看,其所暴露出的问题已经不仅是个人信息的泄漏,还包括信息过渡索权、个人信息使用不透明等不法行为,而根据《个人信息保护法》的规定,过渡搜集个人信息、擅自披露个人信息、非法买卖个人信息等行为都将成为重点审查对象。
“网络安全审查,其实更多是建立起一种评估机制,制定统一的评估标准。”朱巍指出,比如微信、滴滴这样的大网络平台,如今已然成为大型基础信息的提供服务者,那么这些大平台所承担的网络安全责任实际也同样比其他平台大很多。“过去采取的治理模式是出了问题再调查,再治理;但现在更看中防患于未然,所以需要进行安全审查,制定评估标准,对网络数据安全进行风险评估、进行应急预案处置等等。”
2020年4月,国家互联网信息办公室有关负责人就《网络安全审查办法》相关问题答记者问。答问中明确提到网络安全审查的内容。其中提到,网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险,包括:产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章情况;其他可能危害关键信息基础设施安全和国家安全的因素。”
王四新解释说,近年来网络领域的一些数据问题,实际上可能涉及到很多行业。很多数据涉及到个人隐私或者数据权益的行使方式。还有一些数据越来越上升到了国家安全、公共安全的角度。这些数据存储、使用的过程中,潜在的风险很大。这次审查,其实就是要给这些企业传达一个强烈的信号。以后这些企业涉及到数据收集处理的,必须得有安全意识,采取安全措施。
在朱巍看来,本次中央层面对网络安全审查的重锤落下,能让更多人、更多企业都意识到,个人信息安全无小事。从另二方面也说明,现有的无论是《网络安全法》还是《数据安全法》、《国家安全法》乃至《民法典》中对个人信息的保护,都绝不是一纸空文。
“法律一定要长出‘牙齿’来,本次治理是敲响警钟,我相信未来的审查和管理一定会更加严格。”
红星新闻记者 吴阳 杨雨奇 北京报道
编辑 柴畅
