行業(yè)動(dòng)態(tài)

App違規(guī)授權(quán)成重災(zāi)區(qū) 網(wǎng)絡(luò)安全立法醞釀大突破

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-02-16    瀏覽次數(shù):
 

信息來(lái)源:中國(guó)信息產(chǎn)業(yè)網(wǎng)

2019年2月11日,針對(duì)去年10月的抽查與約談情況,上海市互聯(lián)網(wǎng)信息辦公室對(duì)1號(hào)店、拼多多等23個(gè)上海本地最常用移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)用戶權(quán)限的整改情況做了復(fù)測(cè)與公示。結(jié)果顯示,截至1月中旬,相關(guān)App共整改158個(gè)不合理權(quán)限和98個(gè)“合理但存在風(fēng)險(xiǎn)”的權(quán)限。

2017年6月1日,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施;2017年末,《個(gè)人信息安全規(guī)范》國(guó)家標(biāo)準(zhǔn)正式發(fā)布。業(yè)界稱2018年為中國(guó)“數(shù)據(jù)合規(guī)元年”。2019年1月25日,中央網(wǎng)信辦、工信部、公安部、市場(chǎng)監(jiān)管總局四部門聯(lián)合發(fā)布《關(guān)于開(kāi)展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》,決定自2019年1月至12月,在全國(guó)范圍組織開(kāi)展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理。App運(yùn)營(yíng)者收集使用個(gè)人信息時(shí),不得收集與所提供服務(wù)無(wú)關(guān)的個(gè)人信息,不得以默認(rèn)、捆綁、停止安裝使用等手段變相強(qiáng)迫用戶授權(quán)。

接受證券時(shí)報(bào)記者采訪的專家認(rèn)為,此次四部門專項(xiàng)治理行動(dòng),可以稱作是針對(duì)我國(guó)網(wǎng)絡(luò)安全問(wèn)題“涉及范圍最廣、措施最嚴(yán)厲”的一次專項(xiàng)行動(dòng),效果值得期待。在這一過(guò)程中,還需進(jìn)一步確定一個(gè)國(guó)家機(jī)關(guān)來(lái)專門負(fù)責(zé)“自然人信息保護(hù)”工作,同時(shí)也需要對(duì)《行政處罰法》《網(wǎng)絡(luò)安全法》等再做相應(yīng)具體修改,有專家還建議單獨(dú)制定一部《自然人信息保護(hù)法》。

2018年全國(guó)兩會(huì)期間,三六零安全科技股份有限公司董事長(zhǎng)周鴻祎表示,用戶隱私保護(hù)可遵循三個(gè)原則,即數(shù)據(jù)所有權(quán)的歸屬、用戶應(yīng)有的知情權(quán)和選擇權(quán)、互聯(lián)網(wǎng)公司對(duì)用戶數(shù)據(jù)的保護(hù)。周鴻祎認(rèn)為,在大數(shù)據(jù)時(shí)代,一定要平衡好互聯(lián)網(wǎng)的使用與個(gè)人信息的安全。

“數(shù)據(jù)合規(guī)”

仍需努力

2018年12月在深圳舉行的“騰訊隱私保護(hù)白皮書發(fā)布會(huì)”上,南都大數(shù)據(jù)研究院個(gè)人信息保護(hù)研究中心副主任蔣琳表示,在個(gè)人信息保護(hù)相關(guān)法規(guī)和標(biāo)準(zhǔn)相繼出臺(tái)、相關(guān)部委展開(kāi)隱私政策專項(xiàng)評(píng)審工作的大環(huán)境下,國(guó)內(nèi)App的隱私政策透明度整體比2017年有所提升,但依然有逾七成App的隱私政策不合格。

2017年6月1日,《網(wǎng)絡(luò)安全法》正式實(shí)施,業(yè)界稱2018年為中國(guó)“數(shù)據(jù)合規(guī)元年”。但從相關(guān)統(tǒng)計(jì)來(lái)看,任務(wù)之艱巨不言而喻,“按下葫蘆浮起瓢”等現(xiàn)象仍較突出。

上海市網(wǎng)信辦相關(guān)抽查發(fā)現(xiàn),樣本中約30%的App權(quán)限與所提供的服務(wù)沒(méi)有對(duì)應(yīng)關(guān)系,屬于不合理范圍。只有嚴(yán)格限制App向用戶索取不合理權(quán)限,才能從源頭上減少個(gè)人信息被泄露、被濫用的可能。抽查所指“風(fēng)險(xiǎn)”,是指App權(quán)限被惡意利用后可能產(chǎn)生的風(fēng)險(xiǎn),有別于技術(shù)風(fēng)險(xiǎn)。

對(duì)于App索取用戶權(quán)限的現(xiàn)象,有關(guān)部門早已有明文禁止。2016年8月起生效的《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》指出,未向用戶明示并經(jīng)用戶同意,不得開(kāi)啟收集地理位置、讀取通訊錄、使用攝像頭、啟用錄音等功能,不得開(kāi)啟與服務(wù)無(wú)關(guān)的功能,不得捆綁安裝無(wú)關(guān)應(yīng)用程序。

騰訊社會(huì)研究中心和DCCI互聯(lián)網(wǎng)數(shù)據(jù)研究中心2018年8月發(fā)布《網(wǎng)絡(luò)隱私安全及網(wǎng)絡(luò)欺詐行為研究分析報(bào)告》,統(tǒng)計(jì)了1144款手機(jī)App獲取用戶隱私權(quán)限的情況,結(jié)果顯示,獲取“打開(kāi)攝像頭”權(quán)限的App比例達(dá)89.9%,獲取“使用話筒錄音”權(quán)限的App比例達(dá)86.2%,這兩個(gè)權(quán)限均涉及用戶最核心的隱私信息。

蔣琳對(duì)證券時(shí)報(bào)記者表示,對(duì)App過(guò)度獲取手機(jī)權(quán)限的現(xiàn)象,用戶可以在App的下載頁(yè)面仔細(xì)看一下權(quán)限列表,使用App的時(shí)候也要重點(diǎn)關(guān)注隱私政策中“個(gè)人信息收集和使用”相關(guān)條款,做到心里有數(shù)。對(duì)于敏感權(quán)限彈窗,不使用的功能就拒絕,需要時(shí)再開(kāi)啟。

電子商務(wù)領(lǐng)域?qū)<摇⒈本┙鹫\(chéng)同達(dá)(上海)律師事務(wù)所合伙人王良認(rèn)為,數(shù)據(jù)不單單是一種資產(chǎn),它還涉及國(guó)家利益、商業(yè)秘密和個(gè)人隱私,并兼具財(cái)產(chǎn)權(quán)和人格權(quán)的雙重屬性。一旦遇到個(gè)人信息被侵害,有很多維權(quán)途徑可供選擇,例如:12377中央網(wǎng)信辦舉報(bào)中心,12321網(wǎng)絡(luò)不良與垃圾信息舉報(bào)受理中心,全國(guó)12315互聯(lián)網(wǎng)平臺(tái)等。當(dāng)然,如遇被詐騙等網(wǎng)絡(luò)犯罪的情形,應(yīng)及時(shí)向公安部門報(bào)案。

網(wǎng)絡(luò)安全立法

“三步走”

中倫律師事務(wù)所《2018年網(wǎng)絡(luò)安全年度法律觀察》指出,全國(guó)人大常委會(huì)2017年“一法一決定”執(zhí)法檢查報(bào)告認(rèn)為,《網(wǎng)絡(luò)安全法》執(zhí)法中“九龍治水”局面仍然存在。依照法律規(guī)定,國(guó)家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作,電信主管部門、公安部門和其他有關(guān)機(jī)關(guān)在各自職責(zé)范圍內(nèi)負(fù)責(zé)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作。事實(shí)上,幾個(gè)行政執(zhí)法主體間存在著權(quán)責(zé)不清、交叉執(zhí)法等問(wèn)題。不過(guò)根據(jù)已有案例統(tǒng)計(jì),雖然三個(gè)主要執(zhí)法部門存在執(zhí)法重疊問(wèn)題,但仍各有側(cè)重。

記者注意到,在十三屆全國(guó)人大常委會(huì)2018年9月公布的立法規(guī)劃中,將《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》列入第一類項(xiàng)目,即全國(guó)人大認(rèn)為這兩部法律的立法條件比較成熟,在本屆任期內(nèi)擬提請(qǐng)審議。

知識(shí)產(chǎn)權(quán)領(lǐng)域?qū)<?、中倫律師事?wù)所合伙人陳際紅律師表示,域外立法對(duì)中國(guó)企業(yè)的影響不容忽視。中國(guó)一直是經(jīng)濟(jì)全球化的踐行者和受益者,中國(guó)企業(yè)與域外的關(guān)聯(lián)因素已經(jīng)非常廣泛。考慮到全球各國(guó)的數(shù)據(jù)立法此起彼伏,且很多具有域外管轄的長(zhǎng)臂效果,中國(guó)企業(yè)在走出去的過(guò)程中,不得不密切關(guān)注域外數(shù)據(jù)立法對(duì)企業(yè)的影響。陳際紅介紹,這主要包括《歐盟數(shù)據(jù)保護(hù)通用條例》、美國(guó)《澄清境外數(shù)據(jù)的合法使用法案》及2018年8月特朗普總統(tǒng)簽署生效的《外國(guó)投資風(fēng)險(xiǎn)審查現(xiàn)代化法案》等。

“考慮到我國(guó)的《網(wǎng)絡(luò)安全法》屬于框架性立法,很多法律要求并不十分明確,此類標(biāo)準(zhǔn)和指引對(duì)于企業(yè)合規(guī)和執(zhí)法管理的指引性和參照性作用十分明顯?!标愲H紅表示。

同濟(jì)大學(xué)法學(xué)院院長(zhǎng)助理劉春彥對(duì)證券時(shí)報(bào)記者說(shuō),作為民事基本法,2017年10月1日開(kāi)始施行的《民法總則》并沒(méi)有規(guī)定自然人的信息權(quán),而按照民法的理論,個(gè)人信息只作為一種法益保護(hù),還沒(méi)有上升為民事權(quán)利。在《網(wǎng)絡(luò)安全法》基礎(chǔ)上,第二步可對(duì)《行政處罰法》甚至對(duì)《網(wǎng)絡(luò)安全法》作進(jìn)一步的修改調(diào)整,明確與侵害自然人信息有關(guān)行為的處罰。

中倫法律觀察報(bào)告判斷,預(yù)計(jì)2019年中國(guó)的數(shù)據(jù)跨境監(jiān)管方案終將出臺(tái);關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)配套法規(guī)將頒布生效,運(yùn)營(yíng)者網(wǎng)絡(luò)安全保護(hù)義務(wù)落實(shí)的執(zhí)法檢查會(huì)進(jìn)一步加強(qiáng);網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0制度體系將落地實(shí)施,公安部門會(huì)進(jìn)一步加強(qiáng)該工作的管理和實(shí)施檢查。

陳際紅認(rèn)為,作為第三步,在一般性法律完善之后,各個(gè)行業(yè)主管部門將開(kāi)展行業(yè)內(nèi)的網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)實(shí)施細(xì)則的立法和執(zhí)法工作,尤其是金融、醫(yī)療健康、電子商務(wù)等數(shù)據(jù)敏感行業(yè)。屆時(shí),數(shù)據(jù)合規(guī)將成為企業(yè)普遍接受的概念。

王良表示,我們的立法需要在個(gè)人信息和隱私保護(hù)與商業(yè)價(jià)值之間進(jìn)行取舍和平衡。首先應(yīng)明確對(duì)個(gè)人信息和隱私保護(hù)的基礎(chǔ)不能動(dòng)搖;其次應(yīng)在個(gè)人信息的收集、處理和利用中,逐步確立起收集限制、目的特定化等國(guó)際通行的做法與準(zhǔn)則;最后還應(yīng)根據(jù)我國(guó)目前社會(huì)與經(jīng)濟(jì)發(fā)展水平,決定個(gè)人信息保護(hù)的水平和力度,不偏廢保護(hù)隱私與產(chǎn)業(yè)發(fā)展的任一方。

 
 

上一篇:2019年02月15日 聚銘安全速遞

下一篇:勒索軟件攻擊MSP以大規(guī)模感染客戶