我国个人信息安全乱象及治理措施研究

2020-05-25 09:03王超张博卿
网络空间安全 2020年1期
关键词:个人信息保护

王超 张博卿

摘   要:在大数据时代,个人信息收集乱象突出,个人信息泄露事件频发,数据黑色产业链逐渐完善,我国个人信息安全面临着严峻的挑战。与此同时,我国在个人信息保护方面还存在着法律法规原则分散、政府监管能力不足、企业安全管理不规范等痛点难点问题,对此文章从国家、企业、个人三个维度,提出了加强个人信息保护的措施建议。

关键词:信息收集乱象;信息泄露;数据黑色产业链;个人信息保护

Abstract: In the era of big data, the chaos of personal information collection is prominent, incidents of personal information leaks are frequent, and the data black industry chain is gradually improved, Chinas personal information security is facing severe challenges. At the same time, there are still some pain points and difficulties in the protection of personal information in China, such as decentralized laws and regulations, insufficient government supervision capabilities, and irregular corporate security management. In this regard, this paper proposes measures to strengthen the protection of personal information from the three dimensions of the state, the enterprise and the individual.

Key words: information collection chaos; information leakage; data black industry chain;  personal information protection

1 引言

在大数据时代,数据是一种重要的社会资源,并逐步成为重塑国家竞争优势、推进经济高质量发展的重要动能。然而,不断凸显的个人信息安全问题已成为影响数据价值释放的“绊脚石”。当前,个人信息收集乱象丛生,诸多APP利用隐私条款的默认勾选、霸王条款获取用户信息,甚至在用户未经授权时夺取用户信息;不法分子利用系统漏洞和黑客技术盗取个人信息,频繁造成个人信息泄露;以数据交易、数据清洗、数据分析为核心的数据黑色产业链条也在逐渐完善。与此同时,我国个人信息保护还存在诸多痛点、难点问题,亟需研究解决。

2 我国个人信息安全面临严峻挑战

2.1 个人信息收集乱象突出

2.1.1 通过“默认勾选”“套取”个人信息

近年来,默认勾选已成为业内信息收集、捆绑销售的“通用”做法。2018年1月,支付宝引发年度账单事件,支付宝在年度账单的首页左下方利用小字体、接近背景色和默认勾选同意,让相当多的用户在不知情的情况下“被同意”接受芝麻信用。3月,支付宝又由于默认勾选“授权淘宝获取你线下交易信息并展示”的选项,并将交易信息提供给支付宝、淘宝、天猫,而被用户起诉,索赔2元。

2.1.2 利用“霸王条款”“强取”个人信息

APP通过过度索权、强制授权两套组合拳,能轻易迫使用户开通APP要求的各种权限,用户若不同意则强制退出。2018年,一些网络安全机构在对中国电信APP进行检测时发现,用户在初次安装使用该APP时仅有存储、电话、通讯录和位置信息四项权限提示,但是随后其还要获取其他70项子权限,且修改通讯录、读取联系人、录音、修改通话记录、拨打电话、发送短信等敏感项并不显示通知,如用户点击不同意时,则应用自动退出。在2019年中央广播电视总台3·15晚会上,曝光了部分查社保、查违章的APP通过不平等、不合理条款的授权协议,强制索取用户个人信息的乱象。

2.1.3 未经授权,“夺取”个人信息

未经用户许可私自获取用户数据也是部分APP的惯用伎俩。2017年12月,国家计算机病毒应急处理中心通过对互联网监测,发现《欢聊》(版本V2.0.1_0edd508)、《仿Iphone来电闪光》(版本V2.1.32)款移动应用均存在危险行为代码,存在窃取用户隐私信息,造成用户隐私泄露资费消耗的情况。根据腾讯社会研究中心和DCCI互联网数据中心联合发布的《2018年度网络隐私及网络欺诈行为研究分析报告》显示,2017年上半年,25.3%的安卓系统APP存在越界获取用户隐私的行为;2018年上半年,该比例降低到5.1%;到2018年下半年,仅有2.0%的APP存在越界获取手机隐私权限的行为。

2.2 个人信息成为数据泄露的重灾区

2.2.1 漏洞是数据泄露的重要源头

2018年,Facebook全年三次被曝发生数据泄露事件,两次都与系统漏洞直接相关,涉及约1亿用户。2018年9月,Facebook因安全漏洞遭黑客攻擊,导致3千万用户信息泄露,包括1.4千万用户的姓名、联系方式、搜索记录、登录位置等敏感信息。12月,Facebook再次被曝因软件漏洞可能导致6.8千万用户的私人照片泄露。2015年4月,我国超过30个省市的社保系统、户籍查询系统、疾控中心等系统被曝存在漏洞,可能导致个人身份证、社保参保信息、房屋产权、个人联系方式等个人信息泄露,影响范围数千万人。此外,美国票务巨头Ticketfly、面包连锁店Panerabread以及谷歌等企业均因系统漏洞导致数据泄露。

4.2.2 切实承担起保护用户个人数据的责任

企业应加强对处理个人信息的员工的约束,明确其安全职责,加强对员工的安全培训;对访问个人信息的内部数据操作人员进行严格的访问权限控制;加强审计,确保数据操作雁过留痕。企业应将个人信息保护理念融入企业运营管理的全流程,在产品及服务设计阶段进行风险预测,将必要的隐私设计纳入产品及服务的最初设计之中。定期开展个人信息安全影响评估,根据评估结果采取适当措施,降低侵害个人隐私安全风险。

4.2.3 管理和技术手段结合保护用户个人信息

针对云计算、大数据等新技术新业务带来的个人信息保护挑战,企业应进一步加强大数据环境下网络安全防护技术手段建设,推进大数据环境下防攻击、防泄露、防窃取的监测、预警、控制和应急处置能力建设,提升重大安全事件应急处理能力。

4.3 个人层面,提升个人信息保护意识

一方面,要充分认识个人信息泄露的严重后果,不断加强自我保护意识和提升保护技能,通过了解隐私政策、关闭非必要权限、增强社交隐私设置、加强对个性化标签和定向推送的管理等方式,避免个人信息泄露。

另一方面,了解个人信息保护相关法律法规,做到知法懂法守法用法。应重点了解《中华人民共和国网络安全法》《消费者权益保护法》等个人信息保护相关法律,一旦发现个人信息泄露和违法使用的行为立即向监管部门举报,依法维护好自身权益。

5 结束语

大数据时代,个人信息收集乱象突出,个人信息泄露事件频发,以数据交易、数据清洗、数据分析为核心的数据黑色产业链条正逐渐完善。本文以个人信息安全乱象治理研究为切入点,针对我国在个人信息保护方面存在的法律法规规定原则分散、政府监管能力不足、企业安全管理不规范等痛点难点问题,从国家、企业、个人三个维度,提出了加强个人信息保护的措施建议。

参考文献

[1] 冯登国,张敏,李昊.大数据安全与隐私保护[J].计算机学报, 2014,37(01):246-258.

[2] 方滨兴,賈焰,李爱平,江荣.大数据隐私保护技术综述[J].大数据,2016,2(01):1-18.

[3] 张莉.数据治理与数据安全[M].北京:人民邮电出版社, 2019:108-120,242-253.

[4] 王超.从华为和腾讯数据之争看规范用户数据管理的重要性[J].网络空间安全,2018,9(01):27-29.

[5] 张博卿.我国大数据安全现状、问题及对策建议[J].网络空间安全,2018,9(08):45-47+80.

[6] 李兆利.个人信息匿名化:大数据时代个人信息保护与利用的选择与挑战[J].湖南警察学院学报,2019,31(06):21-29.

[7] 魏书音.个人信息保护制度研究[N].中国计算机报,2018-12-24(011).

[8] 王超.个人信息保护规范助力走出APP隐私安全困境[N].中国计算机报,2018-05-28(012).

[9] 史卫民.大数据时代个人信息保护的现实困境与路径选择[J].情报杂志, 2013(12):158-163.

[10] 黄蓝.个人信息保护的国际比较与启示[J].情报科学, 2014(01):145-151.

[11] 赵阳.大数据时代对国家安全的挑战及对策研究[D].济南:山东师范大学,2015.

[12] 洪延青.网络运营者隐私条款的多角色平衡和创新[J].中国信息安全, 2017(9):46-49.

[13] 魏书音.国外关于APP收集使用个人信息的立法状况[J].中国信息安全,2019, 112(04):58-61.

猜你喜欢
个人信息保护
互联网+大数据模式下的个人信息保护
互联网+大数据模式下的个人信息保护
论网购环境下消费者的个人信息保护
大数据时代的网络搜索与个人信息保护研究
从徐玉玉案反思我国的个人信息保护问题
我国大数据时代个人信息保护研究综述
个人信息保护中的自律与监督
移动互联环境中个人信息保护的调查与分析—以大学生为例
大数据时代个人信息管理与保护
探究大数据时代的网络搜索与个人信息保护的分析