中共天津市委网络安全和信息化委员会办公室

天津市互联网信息办公室

|

注册

App屡屡泄露隐私,治理岂能总靠“罚酒三杯”?

新华社 | 2020年07月20日 17:16

“偷拍”用户人脸、下架产品中八成涉嫌隐私违规、声纹恐成下一泄露隐私“重灾区”……作为移动互联网的主要接口,近年来App泄露个人隐私屡禁不止,个人信息频频“被裸奔”,而处罚一直以下架、整改等为主,难遏其“窥私”冲动。手机里的个人隐私,到底应该如何保护?


隐私泄露成App“第一大罪”,有的竟新增“偷拍”技能


日前从国家计算机病毒应急处理中心获悉,该中心上半年通报下架的违法有害移动App达638款,其中,涉及隐私违规的有531款,占八成以上。


7月初,工业和信息化部信息通信管理局公布《关于侵害用户权益行为的App通报(2020年第二批)》。通过梳理该局今年通报的前两批31款App同样发现,其中涉及“私自收集个人信息”的App有23款,如果算上“过度索取权限”等问题,比例则更高。


由中央网信办等四部门指导成立的App专项治理工作组5月发布的《App违法违规收集使用个人信息专项治理报告(2019)》显示,从举报量来看,App“超范围收集与功能无关个人信息”位居前列。对此,多位专家表示,泄露隐私已成为当前App的第一大问题。


调查发现,今年以来违法App的种类在发生变化。从国家计算机病毒应急处理中心下架的App来看,上半年,直播、社交、外卖、医疗、在线教育等App涉嫌侵犯个人隐私占到很大比重。


“网络案件与App结合也越来越紧密,通过窃取公民通讯录、短信等隐私信息进行敲诈勒索、网络诈骗等案件高发。”国家计算机病毒应急处理中心移动安全部部长张鑫说。


更为严重的是,信息泄露开始从一般信息向生物识别信息蔓延。360烽火实验室日前监控到9款共计90个版本的App非法收集个人隐私。与以往不同,这些App尝试偷拍用户的人脸照片。


“这类软件使用开源的无预览拍照工具,在用户打开登录界面时,根据机型调用前置或后置摄像头,进行静默拍照。”360烽火实验室的安全专家说,即便开启拍照快门提示音和闪光灯,App偷拍时也不会发出提示音与闪光,避免让用户发现。


“罚酒三杯”,挡不住黑手偷窥冲动


尽管违法App泄露个人信息日益严重,但通过梳理发现,目前对其还是以行政处罚为主。《App违法违规收集使用个人信息专项治理报告(2019)》显示,目前相关部门对App违法行为采取的惩罚措施主要有整改、通报、下架、罚款、查处、行政约谈等。


对此,中国信息安全研究院副院长左晓栋认为,这样的惩罚力度明显不够。“我国相关部门在去年的一次行动中,查处1400多起案件的罚没款总额才1946万元,处罚手段也比较有限。”左晓栋说。


2018年,小红书App将隐私设置定为默认允许其他人加为好友并浏览到好友部分个人隐私信息,致使用户关注的笔记以及兴趣爱好被陌生人了解。最终,其公司仅被罚款5万元。


业内人士指出,用户个人信息带来的精准广告投放、个人信息的地下交易等,可以获得巨大收益,目前的罚款力度相对收益来说起不到太大的惩戒作用。


除罚款外,整改也是常用的处罚手段。2019年底,QQ阅读等App因“私自收集个人信息”“私自共享给第三方”等问题被工业和信息化部通报,被要求限期整改。千千音乐等多款App在今年5月也被要求限期整改。


上海交通大学数据法律研究中心执行主任何渊等多位专家认为,目前相关部门对于违法违规收集个人信息的处罚手段有限,主要依靠企业自律,或是监管部门采取限期整改、约谈和下架等方式。这也就意味着没有锋利的“牙齿”能震慑这类行为。


左晓栋说:“虽然也有个别案件被立为刑事案件开展侦查,但总体来看,目前下架几乎是最重的处罚了。”


惩治违法行为,不能止于“下架”


随着科技的发展,App所涵盖的个人信息也越来越丰富。近年来,中国建设银行等银行将声纹识别应用到银行App的登录、转账等环节。清华大学人工智能研究院听觉智能研究中心等单位发布的《中国声纹识别产业发展白皮书(2019)》显示,中国建设银行的这款App目前在线有效用户数已超过100万,调用声纹识别的业务笔数逾2亿次。


对此,爱加密移动安全研究院副院长魏超表示,声纹等个人信息如果泄露,产生的危害会更大,需要提高违法成本,加大处罚力度。一些网民也留言认为,大数据时代,数据成为重要的资产,如果任由“科技树”越长越歪,恐怕会“人人自危”了。


专家认为,要针对互联网企业的体量加大经济处罚力度。左晓栋认为,鉴于一些重要App与网民生活息息相关,已经成为手机的“基础设施”,下架有一定难度,监管部门可以大幅提高罚款金额,既让企业有痛感,又不会影响网民生活。同时,监管机构要细化裁量基准,做出相应处罚。


张鑫认为,各行业主管部门、协会、联盟应根据自身行业特点,有针对性地开展个人信息保护方面的工作,依法依规收集使用用户个人信息,规范隐私协议条款,强化网络数据和用户个人信息安全保护。


App个人信息保护问题还涉及手机厂商、应用商店、第三方合作伙伴等整个移动生态。专家建议进一步打造有利于个人信息保护的完善的生态系统。比如,进一步强化应用商店对App个人信息在安全方面的审核,提高相应标准等。


此外,左晓栋认为,可以更多地让泄露个人信息的互联网企业适用刑法,进一步加大对相关责任人的处罚力度。