“偷拍”使用者人臉、下架產品中八成涉嫌隱私違規、聲紋恐成下一洩露隱私“重災區”……作為移動網際網路的主要介面,近年來App洩露個人隱私屢禁不止,個人資訊頻頻“被裸奔”,而處罰一直以下架、整改等為主,難遏其“窺私”衝動。手機裡的個人隱私,到底應該如何保護?
1、隱私洩露成App“第一大罪”,有的竟新增“偷拍”技能
記者日前從國家計算機病毒應急處理中心獲悉,該中心上半年通報下架的違法有害移動App達638款,其中,涉及隱私違規的有531款,佔八成以上。
7月初,工業和資訊化部資訊通訊管理局公佈《關於侵害使用者權益行為的App通報(2020年第二批)》。記者梳理該局今年通報的前兩批31款App同樣發現,其中涉及“私自收集個人資訊”的App有23款,如果算上“過度索取許可權”等問題,比例則更高。
由中央網信辦等四部門指導成立的App專項治理工作組5月釋出的《App違法違規收集使用個人資訊專項治理報告(2019)》顯示,從舉報量來看,App“超範圍收集與功能無關個人資訊”位居前列。對此,多位專家表示,洩露隱私已成為當前App的第一大問題。
記者調查發現,今年以來違法App的種類在發生變化。從國家計算機病毒應急處理中心下架的App來看,上半年,直播、社交、外賣、醫療、線上教育等App涉嫌侵犯個人隱私佔到很大比重。
“網路案件與App結合也越來越緊密,通過竊取公民通訊錄、簡訊等隱私資訊進行敲詐勒索、網路詐騙等案件高發。”國家計算機病毒應急處理中心移動安全部部長張鑫說。
更為嚴重的是,資訊洩露開始從一般資訊向生物識別資訊蔓延。360烽火實驗室日前監控到9款共計90個版本的App非法收集個人隱私。與以往不同,這些App嘗試偷拍使用者的人臉照片。
“這類軟體使用開源的無預覽拍照工具,在使用者開啟登入介面時,根據機型呼叫前置或後置攝像頭,進行靜默拍照。”360烽火實驗室的安全專家說,即便開啟拍照快門提示音和閃光燈,App偷拍時也不會發出提示音與閃光,避免讓使用者發現。
2、“罰酒三杯”,擋不住黑手偷窺衝動
儘管違法App洩露個人資訊日益嚴重,但記者梳理髮現,目前對其還是以行政處罰為主。《App違法違規收集使用個人資訊專項治理報告(2019)》顯示,目前相關部門對App違法行為採取的懲罰措施主要有整改、通報、下架、罰款、查處、行政約談等。
對此,中國資訊保安研究院副院長左曉棟認為,這樣的懲罰力度明顯不夠。“中國相關部門在去年的一次行動中,查處1400多起案件的罰沒款總額才1946萬元,處罰手段也比較有限。”左曉棟說。
2018年,小紅書App將隱私設定定為預設允許其他人加為好友並瀏覽到好友部分個人隱私資訊,致使使用者關注的筆記以及興趣愛好被陌生人了解。最終,其公司僅被罰款5萬元。
業內人士指出,使用者個人資訊帶來的精準廣告投放、個人資訊的地下交易等,可以獲得巨大收益,目前的罰款力度相對收益來說起不到太大的懲戒作用。
除罰款外,整改也是常用的處罰手段。2019年底,QQ閱讀等App因“私自收集個人資訊”“私自共享給第三方”等問題被工業和資訊化部通報,被要求限期整改。千千音樂等多款App在今年5月也被要求限期整改。
上海交通大學資料法律研究中心執行主任何淵等多位專家認為,目前相關部門對於違法違規收集個人資訊的處罰手段有限,主要依靠企業自律,或是監管部門採取限期整改、約談和下架等方式。這也就意味著沒有鋒利的“牙齒”能震懾這類行為。
左曉棟說:“雖然也有個別案件被立為刑事案件開展偵查,但總體來看,目前下架幾乎是最重的處罰了。”
3、懲治違法行為,不能止於“下架”隨著科技的發展,App所涵蓋的個人資訊也越來越豐富。近年來,中國建設銀行等銀行將聲紋識別應用到銀行App的登入、轉賬等環節。清華大學人工智慧研究院聽覺智慧研究中心等單位釋出的《中國聲紋識別產業發展白皮書(2019)》顯示,中國建設銀行的這款App目前線上有效使用者數已超過100萬,呼叫聲紋識別的業務筆數逾2億次。
對此,愛加密移動安全研究院副院長魏超表示,聲紋等個人資訊如果洩露,產生的危害會更大,需要提高違法成本,加大處罰力度。一些網民也留言認為,大資料時代,資料成為重要的資產,如果任由“科技樹”越長越歪,恐怕會“人人自危”了。
專家認為,要針對網際網路企業的體量加大經濟處罰力度。左曉棟認為,鑑於一些重要App與網民生活息息相關,已經成為手機的“基礎設施”,下架有一定難度,監管部門可以大幅提高罰款金額,既讓企業有痛感,又不會影響網民生活。同時,監管機構要細化裁量基準,做出相應處罰。
張鑫認為,各行業主管部門、協會、聯盟應根據自身行業特點,有針對性地開展個人資訊保護方面的工作,依法依規收集使用使用者個人資訊,規範隱私協議條款,強化網路資料和使用者個人資訊保安保護。
App個人資訊保護問題還涉及手機廠商、應用商店、第三方合作伙伴等整個移動生態。專家建議進一步打造有利於個人資訊保護的完善的生態系統。比如,進一步強化應用商店對App個人資訊在安全方面的稽核,提高相應標準等。
此外,左曉棟認為,可以更多地讓洩露個人資訊的網際網路企業適用刑法,進一步加大對相關責任人的處罰力度。