App非法盜取信息，網絡時代用戶隱私將何去何從？

科技閻羅

“上午剛在網頁搜了搜新款手機，下午另一個應用就推送了手機測評的文章……”網絡大數據帶給人們便利的同時，也帶來了種種讓人頭皮發(fā)麻的隱私問題。

7月11日，央視財經頻道《第一時間》播出了一則新聞，讓許多觀眾也隨之“后背發(fā)涼”。

登錄/注冊后可看大圖

（《第一時間》節(jié)目截圖）



采訪對象發(fā)現(xiàn)，和朋友只在線下閑聊過，并且沒有在任何App上搜索過的商品，第二天竟然出現(xiàn)在自己手機應用的推送里。節(jié)目中，App專項治理工作組使用個人信息保護的檢測工具對某款社交類App進行了深度檢測，竟然發(fā)現(xiàn)僅僅是下載卻沒有打開的App，卻在已經開始在用戶不知情的情況下向外傳輸數據。

新華社曾在之前調查發(fā)現(xiàn)，部分App存在“強制跳轉啟動”“自啟動”“關聯(lián)啟動”等相關問題。如網易郵箱、QQ幾乎每天自啟百次，滴滴出行啟動后在一分鐘之內嘗試啟動9款其他App。部分App會高頻訪問照片、文件、用戶通訊錄。

隨著網絡科技的不斷發(fā)展，用戶隱私泄露的事每天都在發(fā)生。數以萬計普通人的手機號、身份證號、家庭住址，甚至家人信息都被泄露的一清二楚，毫無隱私可言。

隨著全球各個國家在數據合規(guī)方面相繼推出立法，作為世界首屈一指的互聯(lián)網大國，我國的數據安全問題也逐步進入大眾關注的視野。我國的互聯(lián)網應用存在什么樣的安全風險？我們又將如何進行對其實施規(guī)范化？



一、用戶隱私泄露問題泛濫成災

根據《2018網絡黑灰產治理研究報告》我國的網絡黑灰產業(yè)已達千億元規(guī)模。IBM2019年全球數據泄露成本報告表明，目前全球數據泄露的平均成本已達到392萬美元（約合人民幣2700萬元），平均給調研中的受訪企業(yè)帶來445萬美元（約合人民幣3100萬元）的損失。

僅在過去3年，就有超過117億條企業(yè)數據丟失或被盜。黑客通過網絡犯罪行為獲得巨額非法收入的同時，企業(yè)也會蒙受巨大損失。

登錄/注冊后可看大圖

（安全情報供應商RiskBased Security(RBS)2019年Q3季度報告）


正是因為販賣用戶隱私的收入如此之多，才導致犯罪案件數量也偏多。據了解，我國公安機關在“凈網2018”“凈網2019”“凈網2020”專項行動中，共偵破侵犯公民個人信息案件1.7萬余起，而這也許只是網絡黑灰產業(yè)犯罪數量的冰山一角。

2018年北京警方破獲了一起重大用戶信息泄露案件，新三板上市公司北京瑞智華勝從2014年開始就一直以競標的方式，先后與全國多家運營商簽訂合同，提供系統(tǒng)開發(fā)維護的相關服務，從運營商內部竊取用戶數據，接連導致百度、騰訊、今日頭條等全國96家互聯(lián)網公司，多達30億條的用戶隱私數據被竊取，幾乎國內所有的大型互聯(lián)網企業(yè)均被“雁過拔毛”，堪稱我國“史上最大規(guī)模數據竊取案”。

除了企業(yè)自身為單位主動盜取隱私數據外，企業(yè)內部員工非法販賣用戶隱私信息的非法行為也屢禁不絕。

2017年，浙江蒼南縣警方破獲公司“內鬼”售賣用戶信息案，蘋果公司廣州外包公司內部員工為了輕松牟利，以每條10-180元不等的價格非法售賣用戶信息。正所謂“天下熙熙皆為利來，天下攘攘皆為利往”，巨額暴利正是企業(yè)和員工鋌而走險的原因。

二、深究用戶隱私泄露背后的原因


01 企業(yè)謀利

用戶數據本身具有極高的價值，企業(yè)擁有的數據越多，隨之帶來的利益也越大。部分互聯(lián)網企業(yè)不愿通過正規(guī)途徑合理合法地采購數據，或者暫無能力建立大型用戶池去累計數據，于是非法“爬取”競爭對手或未經授權的數據庫直接盜取數據從而獲取大量用戶信息。

除此之外，企業(yè)為了更多地掌握用戶信息，會試圖讀取明明沒有必要讀取的用戶隱私內容，暗中收集、使用，而這一切甚至都沒有經過用戶同意。

我國《網絡安全法》第四十一條中規(guī)定：網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。

武漢元光科技公司正是如此。該公司旗下的公交實時軟件“車來了”涉嫌從2014年開始持續(xù)盜取谷米科技公司開發(fā)的軟件“酷米客”后臺數據，以便偽造用戶數據獲得更多融資，導致谷米科技公司相關損失超5000萬元。2016年，“車來了”創(chuàng)始人兼CEO邵某等5人被南山區(qū)人民檢察院以非法獲取計算機系統(tǒng)數據罪予以逮捕。


02 用戶隱私保護意識薄弱

中國一些App“習慣性”訪問用戶手機內各種信息，包括但不僅限于定位、通訊錄、麥克風等。不少App在剛安裝后首次打開時，就會提示讀取手機內容。但是由于篇幅過長，許多用戶并沒有讀完就直接跳過，就讓許多App公司鉆了空子，得以明目張膽地收集用戶信息。

登錄/注冊后可看大圖

目前，部分App存在用戶不用手機號驗證就無法注冊賬號的情況。其實在這時，用戶的隱私就多了一次被泄露的風險。許多公司雖然沒有明文寫著，但“用戶出讓一小部分隱私來換取公司服務”已經成為某些軟件的霸王條款了。如果不進行注冊、不填入手機號等信息就無法享受服務，用戶很多時候都是為了方便流暢使用，最后基本只能無奈妥協(xié)。

《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第一條，“公民個人信息”是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。


03 相關部門監(jiān)管不到位

2018年5月25日，《歐盟數據保護條例（GDPR）》在歐盟國家正式實施。根據條例規(guī)定，如果企業(yè)違反就會被處以最高可達2000萬歐元（約合1.5億元人民幣）或者其全球營業(yè)額4%的高額罰金。用戶作為信息主體，有權訪問、改正、移植和刪除其數據，知情權、數據訪問權、反對權、限制處理權、反最大化決策權等都得到了強化。并且就算涉事企業(yè)不屬于歐盟國家，但處理的信息與歐盟公民有關，依舊適用于該條例。

不止歐盟國家，其他國家的市場管理機構對于此類侵犯用戶隱私事件也有十分嚴格的管理體系。例如去年的Facebook泄露用戶信息事件，F(xiàn)acebook公司向美國聯(lián)邦貿易委員會支付了高達50億美元的罰款。但是對比我國，用戶隱私范圍界定模糊、處罰金額相對小，導致企業(yè)因泄露用戶隱私而被處罰的案件數量也相對較少。再比如近期鬧得沸沸揚揚的印度抖音被禁一事，這背后也是因為6月29日印度出臺了《信息安全法案》。

登錄/注冊后可看大圖

對比他國企業(yè)，我國企業(yè)對待用戶隱私數據時，還是顯得有些隨意。如果沒有完善的法規(guī)和處罰制度，我國的用戶隱私管理狀態(tài)還是會一直處于“亞健康”。雖然去年我國網信辦出臺《App違法違規(guī)收集使用個人信息行為認定方法》，強化了用戶的知情權和決定權，但目前我國法律中對公民個人信息范圍還未做出明確的劃分。

事實上，在我國互聯(lián)網企業(yè)大舉出海的背景下，維護用戶的數據隱私和數據安全已經不僅僅是一種道德要求，更是企業(yè)能否在國際數據安全立法更為嚴苛的今天不得不面臨的生死挑戰(zhàn)。


三、三方協(xié)力，缺一不可


對于如何更好地保護公民個人隱私，企業(yè)、用戶和相關部門可以從以下方面加以考量：

在法治時代，企業(yè)首先應遵守法律法規(guī)，恪守行業(yè)規(guī)則；建立完善的用戶信息保護機制，運用先進的技術手段保護用戶隱私，主動接受政府和社會的監(jiān)督，承擔應盡的社會責任。

用戶提高保護個人隱私的意識，留心用戶隱私的相關條款，謹慎對待App授權，對于強行讀取信息的“流氓”App說不。在5G技術逐漸被普及的時代，個人隱私將會變得更加重要，如果用戶不能提高隱私保護意識，那么后果將不堪設想。

良好的市場環(huán)境離不開監(jiān)管部門的良性引導。立法和執(zhí)法部門應盡快完善網絡安全保護具體細則，并且建立健全懲戒機制以杜絕隱私數據泄露事件，嚴格打擊企業(yè)非法獲取數據、企業(yè)員工外漏數據、黑客竊取用戶數據等惡劣行為。同時加強監(jiān)管力度，正確引導企業(yè)合理合規(guī)地運用用戶隱私數據。

個人信息無疑是高價值的數據信息，但這并不等于能用金錢來進行買賣交易。如何避免此類事件發(fā)生，需要的是全社會的共同付出，更需要監(jiān)管部門、企業(yè)和用戶多方的努力，相關部門制定法律，企業(yè)規(guī)范行為，用戶增強防護意識，在這個大數據網絡時代，缺一不可。

-----------------------------