近日,国家网信办发布两则通报,对“滴滴出行”“运满满”“货车帮”“BOSS直聘”等实施网络安全审查。调查期间,有关App要停止新用户注册,有的还从应用商店下架。
这些App被审查的事由中,出现了“违法违规收集使用个人信息”“防范国家数据安全风险”等字眼。这是什么意思呢?
“滴滴出行”资料图(图源:视觉中国)
一
App超范围收集个人信息、过度使用个人信息的情况,近年来屡见不鲜。相信不少人都有这样的疑问:明明只是一个功能简单的App,为啥要读取这么多用户信息,包括通讯录、定位甚至是机器识别码、人脸识别信息?要知道,这增加了用户隐私信息泄露风险,甚至催生了交易用户数据的黑色产业链。
针对App过度收集使用个人信息的乱象,2019年起,相关部委就已开始多批次专项整顿。今年6月,工信部发布侵害用户权益行为的App通报第14批次;5-6月,国家网信办发布了4批次App违法违规收集使用个人信息情况通报,涉及App超300款,包括Keep、抖音等知名手机应用。
相关App被责令限期整改;拒不整改的,通知应用商店下架处理。
梳理今年工信部和网信办的通报,可以得出这些App的一些共性问题,大致分为“违规收集”和“违规使用”用户个人信息两个层面。
所谓“违规收集”,重点指这些App私自收集个人信息、超范围收集个人信息。例如,未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前,App就收集用户个人信息;或是在非服务所必需或无合理应用场景,超范围、超频次收集个人信息。先前发布的整改名单中,印象笔记、前程无忧51job等知名App涉及此问题。
“违规使用”,主要指私自共享用户信息至第三方、强制用户使用定向推送功能等。在App中,用户会产生搜索记录、浏览记录、使用习惯等个人信息,App未经用户同意与其他应用共享、使用用户个人信息,或者未向用户明确标示就用于不可关闭的定向推送或精准营销,都属于违规使用个人信息。熊猫优选、花椒等App,就曾因此问题被要求整改。
这次的滴滴出行App,被网信办称为“存在严重违法违规收集使用个人信息问题”。“严重违法违规”到什么程度,需要等相关官方通报。
二
数据是互联网经济和实体产业发展的重要推动力。有人说,大数据时代,数据的战略价值就跟此前的石油一样。
但在海量的数据规模、快速的数据流转带来前所未有的“数据价值”时,数据权益归属与利益分配不明,极容易引发数据获取、共享、交易等法治风险与困境。
中国信息通信研究院副院长、信息通信行业反诈中心负责人魏亮认为,App违规或超范围收集而来的个人信息,容易进入网络黑产链条,被不法分子用来施展网络诈骗。他表示,当前,“赌博杀猪盘”“刷单贷款”“投资理财”等诈骗行为频繁发生,诈骗呈现从电话诈骗向互联网诈骗转移的趋势,个人数据安全形势依然严峻。
2020年4月,国家网信办成立了网络安全审查办公室,这是依据同期12部门联合发布的《网络安全审查办法》所设的新机构。发布这一办法的机构,包括国家网信办、发改委、工信部、公安部、国家安全部、财政部、商务部、央行、市场监管总局、广电总局、国家保密局、国家密码管理局等,可见广泛。
更值得注意的是,在《办法》中,对数据安全的重视,上升到了“关键信息基础设施供应链安全”“国家安全”等层面。
国家网信办有关负责人表示:“关键信息基础设施,对国家安全、经济安全、社会稳定、公众健康和安全至关重要,中国建立网络安全审查制度,目的是及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害,保障关键信息基础设施供应链安全。”
有业内分析人士认为,根据《网络安全审查办法》有关条例,一些被审查的机构及App,可能被认定为“关键信息基础设施运营者”。国家网信办此前表示,“使用网络安全审查未通过的产品和服务,由有关主管部门责令停止使用,处采购金额1倍以上10倍以下罚款;对直接负责的主管人员和其他直接责任人员,处1万元以上10万元以下罚款”。
据中国信息通信研究院安全研究所数据安全研究部副主任陈湉介绍,截至去年6月底,有关数据安全风险监测机制已对主流应用商店分发渠道的4万多款App进行了监测,其中,92.97%的App存在“中高危”数据安全风险,“力保数据安全已刻不容缓”。
在陈湉看来,重要数据保护工作可从几个方面切入:
一是建立重要数据动态识别机制,及时研判数据是否因汇聚、整合、分析而“升级”为重要数据,及时调整保护策略;二是主抓数据活动关键环节,严防重要数据影响国家安全、公共利益;三是健全数据安全保障技术手段,健全覆盖数据生命周期的数据安全技术保障手段,与安全管理规程、人员管理等工作协同配合,实现对重要数据的全方位、立体式保护。
数据安全的刹车,必须时刻紧握在手。