“偷拍”用户人臉、下架產品中八成涉嫌隱私違規、聲紋恐成下一泄露隱私“重災區”……作為移動互聯網的主要接口,近年來App泄露個人隱私屢禁不止,個人信息頻頻“被裸奔”,而處罰一直以下架、整改等為主,難遏其“窺私”衝動。手機裏的個人隱私,到底應該如何保護?
隱私泄露成App“第一大罪”,有的竟新增“偷拍”技能
記者日前從國家計算機病毒應急處理中心獲悉,該中心上半年通報下架的違法有害移動App達638款,其中,涉及隱私違規的有531款,佔八成以上。
7月初,工業和信息化部信息通信管理局公佈《關於侵害用户權益行為的App通報(2020年第二批)》。記者梳理該局今年通報的前兩批31款App同樣發現,其中涉及“私自收集個人信息”的App有23款,如果算上“過度索取權限”等問題,比例則更高。
由中央網信辦等四部門指導成立的App專項治理工作組5月發佈的《App違法違規收集使用個人信息專項治理報告(2019)》顯示,從舉報量來看,App“超範圍收集與功能無關個人信息”位居前列。對此,多位專家表示,泄露隱私已成為當前App的第一大問題。
記者調查發現,今年以來違法App的種類在發生變化。從國家計算機病毒應急處理中心下架的App來看,上半年,直播、社交、外賣、醫療、在線教育等App涉嫌侵犯個人隱私佔到很大比重。
“網絡案件與App結合也越來越緊密,通過竊取公民通訊錄、短信等隱私信息進行敲詐勒索、網絡詐騙等案件高發。”國家計算機病毒應急處理中心移動安全部部長張鑫説。
更為嚴重的是,信息泄露開始從一般信息向生物識別信息蔓延。360烽火實驗室日前監控到9款共計90個版本的App非法收集個人隱私。與以往不同,這些App嘗試偷拍用户的人臉照片。
“這類軟件使用開源的無預覽拍照工具,在用户打開登錄界面時,根據機型調用前置或後置攝像頭,進行靜默拍照。”360烽火實驗室的安全專家説,即便開啓拍照快門提示音和閃光燈,App偷拍時也不會發出提示音與閃光,避免讓用户發現。
“罰酒三杯”,擋不住黑手偷窺衝動
儘管違法App泄露個人信息日益嚴重,但記者梳理發現,目前對其還是以行政處罰為主。《App違法違規收集使用個人信息專項治理報告(2019)》顯示,目前相關部門對App違法行為採取的懲罰措施主要有整改、通報、下架、罰款、查處、行政約談等。
對此,中國信息安全研究院副院長左曉棟認為,這樣的懲罰力度明顯不夠。“我國相關部門在去年的一次行動中,查處1400多起案件的罰沒款總額才1946萬元,處罰手段也比較有限。”左曉棟説。
2018年,小紅書App將隱私設置定為默認允許其他人加為好友並瀏覽到好友部分個人隱私信息,致使用户關注的筆記以及興趣愛好被陌生人瞭解。最終,其公司僅被罰款5萬元。
業內人士指出,用户個人信息帶來的精準廣告投放、個人信息的地下交易等,可以獲得巨大收益,目前的罰款力度相對收益來説起不到太大的懲戒作用。
除罰款外,整改也是常用的處罰手段。2019年底,QQ閲讀等App因“私自收集個人信息”“私自共享給第三方”等問題被工業和信息化部通報,被要求限期整改。千千音樂等多款App在今年5月也被要求限期整改。
上海交通大學數據法律研究中心執行主任何淵等多位專家認為,目前相關部門對於違法違規收集個人信息的處罰手段有限,主要依靠企業自律,或是監管部門採取限期整改、約談和下架等方式。這也就意味着沒有鋒利的“牙齒”能震懾這類行為。
左曉棟説:“雖然也有個別案件被立為刑事案件開展偵查,但總體來看,目前下架幾乎是最重的處罰了。”
懲治違法行為,不能止於“下架”
隨着科技的發展,App所涵蓋的個人信息也越來越豐富。近年來,中國建設銀行等銀行將聲紋識別應用到銀行App的登錄、轉賬等環節。清華大學人工智能研究院聽覺智能研究中心等單位發佈的《中國聲紋識別產業發展白皮書(2019)》顯示,中國建設銀行的這款App目前在線有效用户數已超過100萬,調用聲紋識別的業務筆數逾2億次。
對此,愛加密移動安全研究院副院長魏超表示,聲紋等個人信息如果泄露,產生的危害會更大,需要提高違法成本,加大處罰力度。一些網民也留言認為,大數據時代,數據成為重要的資產,如果任由“科技樹”越長越歪,恐怕會“人人自危”了。
專家認為,要針對互聯網企業的體量加大經濟處罰力度。左曉棟認為,鑑於一些重要App與網民生活息息相關,已經成為手機的“基礎設施”,下架有一定難度,監管部門可以大幅提高罰款金額,既讓企業有痛感,又不會影響網民生活。同時,監管機構要細化裁量基準,做出相應處罰。
張鑫認為,各行業主管部門、協會、聯盟應根據自身行業特點,有針對性地開展個人信息保護方面的工作,依法依規收集使用用户個人信息,規範隱私協議條款,強化網絡數據和用户個人信息安全保護。
App個人信息保護問題還涉及手機廠商、應用商店、第三方合作伙伴等整個移動生態。專家建議進一步打造有利於個人信息保護的完善的生態系統。比如,進一步強化應用商店對App個人信息在安全方面的審核,提高相應標準等。
此外,左曉棟認為,可以更多地讓泄露個人信息的互聯網企業適用刑法,進一步加大對相關責任人的處罰力度。(記者張建新、王井懷)