最近,隨著支付寶推出火爆全國的抽“中國錦鯉”活動,各地商家紛紛跟進蹭熱度,其中不少“錦鯉”活動已經被證實抽獎是假,騙粉是真。以“杭州錦鯉”為例,涉嫌虛假廣告宣傳,且在騙粉過程中輕易收集公民個人信息36萬條。
這些被不良商家收集的個人信息將如何使用?是否會被洩露?一直以來,個人信息保護都是社會關注的熱點。如何保障公民個人信息安全?上海市人大代表於廣輝表示,目前對企業採集個人信息的行為尚未形成完善的監管體系,主要還是依靠企業自律,為此他建議將企業採集個人信息納入備案管理,推廣第三方平臺提供用戶身份驗證機制,以減少個人信息在其他系統中的留存。
企業過度採集個人信息缺乏監管
隨著信息化社會的飛速發展,越來越多的企業習慣於用信息化系統來解決問題,“譬如有的企業要求用戶提供身份證掃描件或者複印件電子版;有的企業要求用戶填寫個人姓名、家庭住址、電話號碼等信息。這些數據的採集用戶有時無法拒絕。”於廣輝代表表示,很多企業過度採集公民個人信息。
由於企業缺乏有效的保護措施,個人信息被記載在各種平臺的數據庫中,隨時面臨被洩露的風險。“信息化時代的信息複製和傳播越容易,管理起來也就越麻煩。”於廣輝代表說。
於廣輝代表認為,個人信息洩露主要通過兩個途徑,“一是黑客入侵網站非法獲取;二是各行各業的內部人員洩露信息。侵犯公民個人信息的犯罪已經形成了從非法收集、提供竊取、交易到交換各個環節完整的利益鏈。”
今年8月,中國消費者協會發布的《App個人信息洩露情況調査報告》顯示,超八成受訪者遭遇個人信息洩露問題。據全國消協組織受理消費者投訴情況統計,今年上半年,電商平臺、社交平臺軟件等非法蒐集消費者個人信息現象已成投訴新熱點。該報告顯示,當個人信息洩露後,大約三分之一的受訪者可能基於無力應對,接受現狀,選擇了“自認倒黴”。
個人信息洩露社會危害巨大,然而目前對企業採集、使用個人信息的行為還缺少相關的法律規定和有效的監管措施。“相關部門還沒有完善的監管體系,完全依靠企業自律。”
建議明確保護措施,加強備案監管
2017年6月1日實施的《中華人民共和國網絡安全法》規定:網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。
雖然網絡安全法對網絡運營者收集、使用個人信息有明確規定,但是對如何使用以及應該承擔的責任,現有法律、法規中卻沒有相應的規定。
在監管方面,於廣輝代表表示,目前對於政府類信息系統和網站,有建立安全等級保護制度的要求,對安全漏洞有定期檢查及提醒機制,但是對非政府網站及信息系統,沒有任何安全規範的要求。
如何避免企業過度採集個人信息,降低個人信息洩露的風險,於廣輝代表認為,政府部門應該加強監管,“對企業採集個人數據的行為進行備案管理,特別是針對採集身份證照片或掃描件信息的企業行為。”對未提供備案證明並要求採集用戶信息的企業系統,用戶可以投訴或舉報。另外,對用戶眾多、種類繁雜的手機App,在現有監控網站的基礎上,也應擴大監控範圍,加強監管,並出臺法律明確規定。
推廣第三方平臺身份驗證機制降低洩露風險
除此之外,於廣輝代表還建議推廣第三方平臺提供用戶身份驗證機制。“企業採集個人信息,很大程度上是為了驗證用戶身份。隨著網絡實名制的推進,越來越多的第三方平臺支持用戶身份驗證,有些App直接使用微信、支付寶等賬號登錄。目前缺乏的是政府權威部門的身份驗證,”於廣輝代表表示,如果社保或者公安等權威部門提供第三方驗證機制或服務,將減少個人信息在其他系統的留存,從而大大降低個人信息洩露的風險。
對於廣輝代表的立法建議,上海市網信辦在答覆中稱,全國人大常委會法工委正加緊研究論證對個人信息保護立法的相關問題,針對互聯網大數據發展的新特點、新形勢,進一步完善個人信息保護法律制度。
與此同時,上海正加大對企業收集個人信息的監管力度。據媒體報道,該市網信辦近期對本地最常用的23個App獲取用戶個人信息等相關權限申請情況開展抽查。從被抽查的App情況來看,現在上線的App幾乎都有過度索取用戶個人信息的問題。其中,約30%與所提供的服務沒有對應關係,屬於不合理範圍。上海市網信辦隨後分別約談了運營這些App的23家企業,要求認真整改。
閱讀更多 舟山檢察 的文章
