互联网用户信息泄露不但对用户日常生活造成了困扰,严重者更是导致用户的财产安全和人身安全受到侵害,因此,用户信息安全保护工作刻不容缓,不容懈怠。但是也应该看到,用户信息安全保护问题将随着技术的不断革新而不断演变出新的挑战,因此,这一问题绝非能够一劳永逸。
互联网用户信息泄露现象突出
你是否遇到过这样的情形:一款你从未使用过的APP给你发来指名道姓的短信,称有好友标记了你的生日、给你发送了一段视频?这些短信背后,是当前互联网产品过度获取用户信息以及对个人信息保护力度严重不足的现实。
“安卓手机所安装的APP中,90%都存在漏洞,平均每款APP的漏洞达到7个。而且漏洞被发现后,修复时间往往长达三个月到半年。”12月28日,在南方都市报社和中国人民大学未来法治研究院等联合主办的“2017年个人信息安全大会”上,赛迪智库网络安全研究所所长刘权表示,当前,一些手机APP等互联网产品对用户信息的保护严重不足,一些APP甚至存在恶意加载功能的现象,其目的就是为了获取用户的个人信息。
国家互联网应急中心运行部工程师贾子骁表示,受到互联网黑客产业链的利益驱动,用户信息泄露现象愈演愈烈,木马攻击、安全漏洞利用、恶意程序开发等现象十分突出,其危害正在不断加剧。“我们通过监测发现,从2012年开始,移动恶意程序呈现爆发增长趋势,网络黑客产业链活动猖獗。随着智能穿戴设备的进一步普及,各种数据遍布在云上,我们面临的个人信息保护形势非常严峻。”贾子骁说。
事实上,即使没有恶意获取用户信息,大部分互联网产品的隐私保护也难以让用户放心。南都个人信息保护研究中心近日发布的《2017个人信息保护年度报告》显示,互联网平台隐私政策透明度的分布是陡峭的金字塔型,即透明度高的互联网平台极少,透明度低的占比超过80%,在互联网金融类平台和购物类平台中,低透明度的占比甚至超过90%。
值得注意的是,在透明度最高的10个互联网平台中,大部分都是大型互联网企业旗下产品,并且也是2017年7月中央网信办等四部委组织隐私政策评审的首批参评对象。此次专项行动之后,京东、淘宝、支付宝等平台纷纷调整隐私政策,对个人信息的使用均作出了相关规范。不过,在报告涉及的1550个平台中,其知名度和隐私政策透明度并非绝对正相关,大量高知名度互联网平台的隐私政策透明度排名靠后。
报告还发现,有些重要条款在互联网平台中普遍缺失,这些条款内容无一例外都指向企业责任,条款的缺失便减轻了企业责任,最终可能侵害用户利益。比如用户对平台提供的附加功能应有选择权,即使用户拒绝也不能影响使用平台核心功能;若平台将用户信息用于此前声明以外的新目的,必须获得用户的再次同意。此外,报告中涉及的互联网平台的隐私政策普遍存在用户权利条款缺失、文本雷同、更新缓慢、暗藏格式条款等弊病。
多元共治 有效追责
对于用户、企业和国家来说,能否有效遏制用户信息泄露,意义重大。对于用户来说,信息一旦泄露,可能会涉及到人身安全和财产安全。对企业来讲,用户信息数据是其核心商业财产,也是保证其长远健康发展的重要因素。从国家层面来讲,信息安全是网络安全的重要内容,与国家安全息息相关。
用户信息安全与多主体相关,其保护工作也需要多元共治。其中,国家的法规政策是用户信息安全保护体系的重要支撑,相关法规政策是否精准有效,对于保护用户信息安全、推动互联网产业健康发展至关重要。
2017年,从法规政策完善出发,有关部门在保护公众信息安全方面动作频繁。2017年5月,最高人民法院和最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》;6月1日,《网络安全法》正式实施。7月,国家网信办等四部委启动个人信息保护专项行动。尽管如此,对于公民信息安全保护来说,法规政策层面面临的挑战依然不小。
北京市第一中级人民法院民二庭副庭长丁宇翔表示,个人信息的范畴非常大,随着信息技术的发展,个人信息的内涵将会越来越丰富,基于这样一种现状,司法实践对于个人信息的保护很可能没办法把每种利益都界定得特别清楚。
对于一些数据产业领域的企业来说,则往往会产生其正常业务是否会受到信息安全保护法规政策影响的担忧。“从执法层面来说,我们希望有关部门能有效区分合法合规的数字产业和打着大数据旗号的黑色产业,然后有针对性地进行打击。”蚂蚁金服首席隐私官聂正军表示,信息安全与隐私保护是一个非常复杂的系统性问题,立法过程中,要平衡好发展与保护的关系以及发展与安全的关系,要做到这两类平衡,关键在于把决定权交还给用户,因为任何代表用户或者代替用户做出的一刀切规则,都有可能打破这个平衡。
此外,聂正军认为,从司法层面来说,尽管路径方向很明确,但是实践起来还有很多障碍,最大的问题在于受害者很难举证,难以胜诉,或者即便胜诉,也可能输了金钱和时间,得到的收益与投入不对等,司法层面的这些问题应该得到完善。
刘权则认为,要遏制个人信息泄露现象,应当建立有效的追溯和追责机制,“目前用户使用的400多万款APP中,究竟有几款可以实现追溯?是谁开发的?内容检测是谁负责的?在哪个应用商店下载的?是否提示用户APP有没有得到认可的第三方机构检测?如果可以有效追溯这些环节,厘清责任归属,也许可以从根本上解决这个问题。”