今年的3·15晚會現場,曝光了一款名為“社保掌上通”的App。據介紹,該App在沒有提前告知用戶的情況下,大量、非法搜搜集用戶的社會保障號、社保查詢密碼等個人敏感信息,並在用戶註冊並查詢社保信息時,將以上個人隱私信息傳送至第三方服務器。
用戶在使用第三方App註冊、查詢社保信息時,第三方平臺會對用戶的隱私信息進行採集處理,輕則會向用戶推送商業廣告,重則可能將相關隱私信息以金錢交易等方式轉移給其他機構,並且對用戶可能出現的損失不承擔任何責任。
該事件被曝光之後,工信部立即啟動“應用商店聯動處置機制”,要求騰訊、百度、華為、小米、OPPO、vivo、360等國內主要應用商店全面下架“社保掌上通”App,對“社保掌上通”手機App的責任主體杭州遞金網絡科技有限公司進行核查處理,並全力組織對同類App進行排查檢測,對類似問題一併要求整改。
疑問一:用戶為什麼要用“山寨貨”?
<strong>
工信部直接介入後,國內主要的手機應用商店已無法下載上述涉事“社保掌上通”。然而,留給我們的疑問是,用戶為何要下載該非官方“山寨”社保應用呢?
證券時報記者在手機360應用商店輸入“社保掌上通”關鍵詞,已找不到相關應用。輸入關鍵詞“社保”後,默認排在前列的產品分別是58同城、社保、社保(同名App)、社保查詢、啟信寶、查悅社保、全國社保查詢、我的社保、51愛社保、查社保等10個App,值得注意的是,“58同城”和“啟信寶”App與記者搜索的主題毫無相關,且有淺色字體的“廣告”二字。排在第六位的“查悅社保”、第八位的“我的社保”以及第九位的“51愛社保”均標有360應用商店的官方認證字樣。
記者隨後在豌豆莢應用商店做“社保”關鍵詞搜索,依序出現的是社保、愛城市網(標註為官方)、全國社保查詢、社保認證、社保一點通12333(標註官方)、社保查詢、社保公積金管家(標註官方)、社保網絡認證等App。
然而,上述社保類App的開發者卻良莠不齊。記者發現,“查悅社保”由北京天笑科技有限公司開發,其公司官網內容多與社保、公積金等有關,看起來還算正規;“我的社保”由廣州閃聘網絡科技股份有限公司開發,其公司官網顯示為一家“面向藍領及打工群體的移動招工和招聘應用”,與社保尚有一定關聯,但核心業務並非社保相關;“51愛社保”由杭州煎餅網絡技術有限公司開發,其主推產品包括“51公積金”等。
在360應用商店及豌豆莢皆被標註為官方App的“社保一點通12333”,其開發者是玉豐普惠(廈門)金融信息服務有限公司,天眼查信息顯示,該公司專注於為國內中低收入階層(藍領、高校學生和初級白領)提供小額借貸與理財撮合服務,打造國內技術先進的,以大數據分析為核心風控模型的移動互聯網金融平臺。 雖然“用戶評價”均較為正面,但證券時報記者下載安裝社保一點通App後,發現消息推送開關被鎖定,試圖關閉均失敗。記者嘗試註冊時,仔細閱讀“社保一點通平臺註冊協議”發現,這份全文11000餘字的協議中,仍存在與本次曝光的“社保掌上通”類似的霸王條款。
其相應條款第6條稱——您同意,社保一點通平臺有權在未告知您的情形下使用您的註冊信息、用戶名、密碼等信息,登錄進入您的註冊賬戶,進行證據保全,包括但不限於公證、見證等。
另有條款稱——有權要求用戶同意社保一點通平臺可自行或委託第三方信息服務……查詢、採集、使用、識別、處理……包括但不限於個人基本信息、行蹤軌跡、借貸交易信息、銀行卡交易信息、手機賬單信息、通訊記錄信息、短信信息、電商交易信息、公積金、公用事業信息、央行徵信報告、能夠聯繫到個人的實體地址、電子郵箱地址、微信號、反欺詐信息等。
該協議條款還稱——我們還會記錄您在使用我們服務時自願提供的信息。例如……個人財務或賬務信息、資產狀況、社保公積金賬戶和密碼、電子郵箱賬戶和密碼、網銀賬戶和密碼以及個人相關征信信息等。
對此,記者只是簡單檢索了相關協議,已發現諸多涉嫌過度採集用戶個人隱私甚至是與財產、人身安全等有關的重要信息。
事實上,無論是在哪個移動應用商店,均存在海量的此類涉嫌違規App。可以認為,絕大部分應用商店平臺均有對App審查不嚴的法律責任。對於用戶來說,一方面是難有大量精力研讀用戶協議,而一旦想要錙銖必較“挑刺”,可能就無法使用相關應用。正如記者想要主動關閉“社保一點通12333”App的廣告消息推送功能,但卻被強行阻止一樣,用戶在良莠難辨的龐雜App當中,很難挑選到真正的官方應用,便只有無奈選擇“山寨貨”。
疑問二:社保部門為何不阻止“非法登陸”?
<strong>
2019年3.15晚會上,央視曝光了手機App通過獲取用戶授權,蒐集用戶隱私信息的亂象。晚會現場做了一項測試,主持人準備了一份真實的社保信息,然後通過“社保掌上通”App進行登錄,並輸入相關信息。與此同時,一位專家在旁邊通過電腦將主持人現場輸入的社保人信息全部截取下來。
專家現場表示,這個APP在用戶使用的時候,通過隱秘的隱私條款,獲得了用戶的授權,將用戶的信息全部截取了。專家現場提醒,查社保、查違章、訂票等,需要注意甄別,要使用官方出品的應用。
分析人士指出,晚會現場做測試用的“社保掌上通”App,實際上並不是社保部門推出的官方查詢工具,也沒有獲得相關授權,實際是第三方公司所提供的高仿“山寨”產品,並存在在相關授權協議上設置陷阱“強制索權”的風險。
那麼,對於此類以查詢公民社保信息等為主要用途的手機App,國家社保部門在允許其接入官方數據庫之前,是否有義務核查一下相關企業的資質或檢驗一下該App應用的功能?這些過度搜集用戶信息的App企業,可能將這些非法獲取的數據用於何處?
北京金誠同達(上海)律師事務所合夥人王良律師告訴記者,“社保掌上通”(或其他類似App)取得用戶“授權”後訪問社保官網抓取數據,形成社保數據庫後,供註冊用戶查詢相關信息。其衍生出來的業務,大致還包括社保代繳、信用卡辦理等互聯網金融相關業務。
“這些查詢社保官網的軟件可以自動實現登錄、採集數據,不必經社保局同意。其頻繁登錄一般只會造成其他用戶訪問網站速度變慢。但社保局一旦察覺大量非正常訪問,則應提高網絡安全等級。”王良律師對證券時報記者表示。他說,社保掌上通一類的App在搜搜集用戶信息時,違反了“合法”“正當”“必要”三個原則,並妨礙了用戶的知情權。如果數據使用範圍超越正常,就嚴重違反《中華人民共和國網絡安全法》。
記者查詢相關法律發現,2017年6月實施的《網絡安全法》第六十四條規定,網絡運營者、網絡產品或者服務的提供者違反本法第二十二條第三款、第四十一條至第四十三條規定,侵害個人信息依法得到保護的權利的,由有關主管部門責令改正,可以根據情節單處或者並處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款;情節嚴重的,並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。
記者注意到,這一“黑洞”被曝光後,工信部快速反應,責令國內主要應用商店全面下架“社保掌上通”App,後續將對該App的責任主體杭州遞金網絡科技有限公司進行核查處理。實際上,工信部作為主管部門,正是依據上述法規規定中“情節嚴重”的情形,實施全網關閉App的決定。
“那些沒有考慮清楚商業模式的創業者,往往認為蒐集的信息越多越好。其實是需要先明確使用目的和範圍後,才去蒐集用戶信息。對此,數據蒐集者有相關的證明義務。”王良律師表示。
本文源自證券時報網
更多精彩資訊,請來金融界網站(www.jrj.com.cn)
閱讀更多 金融界 的文章
