我國個人信息安全亂象及治理措施研究

王超 張博卿

摘? ?要：在大數(shù)據(jù)時代，個人信息收集亂象突出，個人信息泄露事件頻發(fā)，數(shù)據(jù)黑色產(chǎn)業(yè)鏈逐漸完善，我國個人信息安全面臨著嚴峻的挑戰(zhàn)。與此同時，我國在個人信息保護方面還存在著法律法規(guī)原則分散、政府監(jiān)管能力不足、企業(yè)安全管理不規(guī)范等痛點難點問題，對此文章從國家、企業(yè)、個人三個維度，提出了加強個人信息保護的措施建議。

關(guān)鍵詞：信息收集亂象;信息泄露;數(shù)據(jù)黑色產(chǎn)業(yè)鏈;個人信息保護

Abstract： In the era of big data， the chaos of personal information collection is prominent， incidents of personal information leaks are frequent， and the data black industry chain is gradually improved， Chinas personal information security is facing severe challenges. At the same time， there are still some pain points and difficulties in the protection of personal information in China， such as decentralized laws and regulations， insufficient government supervision capabilities， and irregular corporate security management. In this regard， this paper proposes measures to strengthen the protection of personal information from the three dimensions of the state， the enterprise and the individual.

Key words： information collection chaos; information leakage; data black industry chain;? personal information protection

1 引言

在大數(shù)據(jù)時代，數(shù)據(jù)是一種重要的社會資源，并逐步成為重塑國家競爭優(yōu)勢、推進經(jīng)濟高質(zhì)量發(fā)展的重要動能。然而，不斷凸顯的個人信息安全問題已成為影響數(shù)據(jù)價值釋放的“絆腳石”。當(dāng)前，個人信息收集亂象叢生，諸多APP利用隱私條款的默認勾選、霸王條款獲取用戶信息，甚至在用戶未經(jīng)授權(quán)時奪取用戶信息;不法分子利用系統(tǒng)漏洞和黑客技術(shù)盜取個人信息，頻繁造成個人信息泄露;以數(shù)據(jù)交易、數(shù)據(jù)清洗、數(shù)據(jù)分析為核心的數(shù)據(jù)黑色產(chǎn)業(yè)鏈條也在逐漸完善。與此同時，我國個人信息保護還存在諸多痛點、難點問題，亟需研究解決。

2 我國個人信息安全面臨嚴峻挑戰(zhàn)

2.1 個人信息收集亂象突出

2.1.1 通過“默認勾選”“套取”個人信息

近年來，默認勾選已成為業(yè)內(nèi)信息收集、捆綁銷售的“通用”做法。2018年1月，支付寶引發(fā)年度賬單事件，支付寶在年度賬單的首頁左下方利用小字體、接近背景色和默認勾選同意，讓相當(dāng)多的用戶在不知情的情況下“被同意”接受芝麻信用。3月，支付寶又由于默認勾選“授權(quán)淘寶獲取你線下交易信息并展示”的選項，并將交易信息提供給支付寶、淘寶、天貓，而被用戶起訴，索賠2元。

2.1.2 利用“霸王條款”“強取”個人信息

APP通過過度索權(quán)、強制授權(quán)兩套組合拳，能輕易迫使用戶開通APP要求的各種權(quán)限，用戶若不同意則強制退出。2018年，一些網(wǎng)絡(luò)安全機構(gòu)在對中國電信APP進行檢測時發(fā)現(xiàn)，用戶在初次安裝使用該APP時僅有存儲、電話、通訊錄和位置信息四項權(quán)限提示，但是隨后其還要獲取其他70項子權(quán)限，且修改通訊錄、讀取聯(lián)系人、錄音、修改通話記錄、撥打電話、發(fā)送短信等敏感項并不顯示通知，如用戶點擊不同意時，則應(yīng)用自動退出。在2019年中央廣播電視總臺3·15晚會上，曝光了部分查社保、查違章的APP通過不平等、不合理條款的授權(quán)協(xié)議，強制索取用戶個人信息的亂象。

2.1.3 未經(jīng)授權(quán)，“奪取”個人信息

未經(jīng)用戶許可私自獲取用戶數(shù)據(jù)也是部分APP的慣用伎倆。2017年12月，國家計算機病毒應(yīng)急處理中心通過對互聯(lián)網(wǎng)監(jiān)測，發(fā)現(xiàn)《歡聊》（版本V2.0.1_0edd508）、《仿Iphone來電閃光》（版本V2.1.32）款移動應(yīng)用均存在危險行為代碼，存在竊取用戶隱私信息，造成用戶隱私泄露資費消耗的情況。根據(jù)騰訊社會研究中心和DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心聯(lián)合發(fā)布的《2018年度網(wǎng)絡(luò)隱私及網(wǎng)絡(luò)欺詐行為研究分析報告》顯示，2017年上半年，25.3%的安卓系統(tǒng)APP存在越界獲取用戶隱私的行為;2018年上半年，該比例降低到5.1%;到2018年下半年，僅有2.0%的APP存在越界獲取手機隱私權(quán)限的行為。

2.2 個人信息成為數(shù)據(jù)泄露的重災(zāi)區(qū)

2.2.1 漏洞是數(shù)據(jù)泄露的重要源頭

2018年，F(xiàn)acebook全年三次被曝發(fā)生數(shù)據(jù)泄露事件，兩次都與系統(tǒng)漏洞直接相關(guān)，涉及約1億用戶。2018年9月，F(xiàn)acebook因安全漏洞遭黑客攻擊，導(dǎo)致3千萬用戶信息泄露，包括1.4千萬用戶的姓名、聯(lián)系方式、搜索記錄、登錄位置等敏感信息。12月，F(xiàn)acebook再次被曝因軟件漏洞可能導(dǎo)致6.8千萬用戶的私人照片泄露。2015年4月，我國超過30個省市的社保系統(tǒng)、戶籍查詢系統(tǒng)、疾控中心等系統(tǒng)被曝存在漏洞，可能導(dǎo)致個人身份證、社保參保信息、房屋產(chǎn)權(quán)、個人聯(lián)系方式等個人信息泄露，影響范圍數(shù)千萬人。此外，美國票務(wù)巨頭Ticketfly、面包連鎖店P(guān)anerabread以及谷歌等企業(yè)均因系統(tǒng)漏洞導(dǎo)致數(shù)據(jù)泄露。

4.2.2 切實承擔(dān)起保護用戶個人數(shù)據(jù)的責(zé)任

企業(yè)應(yīng)加強對處理個人信息的員工的約束，明確其安全職責(zé)，加強對員工的安全培訓(xùn);對訪問個人信息的內(nèi)部數(shù)據(jù)操作人員進行嚴格的訪問權(quán)限控制;加強審計，確保數(shù)據(jù)操作雁過留痕。企業(yè)應(yīng)將個人信息保護理念融入企業(yè)運營管理的全流程，在產(chǎn)品及服務(wù)設(shè)計階段進行風(fēng)險預(yù)測，將必要的隱私設(shè)計納入產(chǎn)品及服務(wù)的最初設(shè)計之中。定期開展個人信息安全影響評估，根據(jù)評估結(jié)果采取適當(dāng)措施，降低侵害個人隱私安全風(fēng)險。

4.2.3 管理和技術(shù)手段結(jié)合保護用戶個人信息

針對云計算、大數(shù)據(jù)等新技術(shù)新業(yè)務(wù)帶來的個人信息保護挑戰(zhàn)，企業(yè)應(yīng)進一步加強大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)安全防護技術(shù)手段建設(shè)，推進大數(shù)據(jù)環(huán)境下防攻擊、防泄露、防竊取的監(jiān)測、預(yù)警、控制和應(yīng)急處置能力建設(shè)，提升重大安全事件應(yīng)急處理能力。

4.3 個人層面，提升個人信息保護意識

一方面，要充分認識個人信息泄露的嚴重后果，不斷加強自我保護意識和提升保護技能，通過了解隱私政策、關(guān)閉非必要權(quán)限、增強社交隱私設(shè)置、加強對個性化標簽和定向推送的管理等方式，避免個人信息泄露。

另一方面，了解個人信息保護相關(guān)法律法規(guī)，做到知法懂法守法用法。應(yīng)重點了解《中華人民共和國網(wǎng)絡(luò)安全法》《消費者權(quán)益保護法》等個人信息保護相關(guān)法律，一旦發(fā)現(xiàn)個人信息泄露和違法使用的行為立即向監(jiān)管部門舉報，依法維護好自身權(quán)益。

5 結(jié)束語

大數(shù)據(jù)時代，個人信息收集亂象突出，個人信息泄露事件頻發(fā)，以數(shù)據(jù)交易、數(shù)據(jù)清洗、數(shù)據(jù)分析為核心的數(shù)據(jù)黑色產(chǎn)業(yè)鏈條正逐漸完善。本文以個人信息安全亂象治理研究為切入點，針對我國在個人信息保護方面存在的法律法規(guī)規(guī)定原則分散、政府監(jiān)管能力不足、企業(yè)安全管理不規(guī)范等痛點難點問題，從國家、企業(yè)、個人三個維度，提出了加強個人信息保護的措施建議。

參考文獻

[1] 馮登國，張敏，李昊.大數(shù)據(jù)安全與隱私保護[J].計算機學(xué)報， 2014，37（01）：246-258.

[2] 方濱興，賈焰，李愛平，江榮.大數(shù)據(jù)隱私保護技術(shù)綜述[J].大數(shù)據(jù)，2016，2（01）：1-18.

[3] 張莉.數(shù)據(jù)治理與數(shù)據(jù)安全[M].北京：人民郵電出版社， 2019：108-120，242-253.

[4] 王超.從華為和騰訊數(shù)據(jù)之爭看規(guī)范用戶數(shù)據(jù)管理的重要性[J].網(wǎng)絡(luò)空間安全，2018，9（01）：27-29.

[5] 張博卿.我國大數(shù)據(jù)安全現(xiàn)狀、問題及對策建議[J].網(wǎng)絡(luò)空間安全，2018，9（08）：45-47+80.

[6] 李兆利.個人信息匿名化：大數(shù)據(jù)時代個人信息保護與利用的選擇與挑戰(zhàn)[J].湖南警察學(xué)院學(xué)報，2019，31（06）：21-29.

[7] 魏書音.個人信息保護制度研究[N].中國計算機報，2018-12-24（011）.

[8] 王超.個人信息保護規(guī)范助力走出APP隱私安全困境[N].中國計算機報，2018-05-28（012）.

[9] 史衛(wèi)民.大數(shù)據(jù)時代個人信息保護的現(xiàn)實困境與路徑選擇[J].情報雜志， 2013（12）：158-163.

[10] 黃藍.個人信息保護的國際比較與啟示[J].情報科學(xué)， 2014（01）：145-151.

[11] 趙陽.大數(shù)據(jù)時代對國家安全的挑戰(zhàn)及對策研究[D].濟南：山東師范大學(xué)，2015.

[12] 洪延青.網(wǎng)絡(luò)運營者隱私條款的多角色平衡和創(chuàng)新[J].中國信息安全， 2017（9）：46-49.

[13] 魏書音.國外關(guān)于APP收集使用個人信息的立法狀況[J].中國信息安全，2019， 112（04）：58-61.