移动互联网应用中个人信息安全规范探析
2021-03-07冯诗宇叶泳琪郑承华
◆冯诗宇 叶泳琪 郑承华
移动互联网应用中个人信息安全规范探析
◆冯诗宇 叶泳琪 郑承华
(武汉工商学院 湖北 430070)
在移动互联网应用(APP)越来越普及的背景下,用户个人信息的安全问题已面临严峻挑战。我国相继出台的一系列法律规范在一定程度上规范了移动互联网应用经营者对个人信息的使用。本文主要对“移动互联网应用对人们行为规范的影响”“移动互联网应用收集使用个人信息的权限”等方面进行分析,归纳出个人信息安全规范法律层面的问题,再结合政府已经做出的措施,总结经验,提出新的建议,探析移动互联网应用中个人信息的安全规范。
个人信息、移动互联网应用(APP)、保护规范
1 移动互联网应用中个人信息安全规范的概述
1.1 个人信息安全规范概念
(1)个人信息的概念
根据《信息安全技术个人信息安全规范》3.1规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
(2)个人信息安全规范的基本内容
个人信息安全规范包括个人信息安全基本原则、个人信息的收集、个人信息的存储、个人信息的使用、个人信息主体的权利、个人信息的委托处理、共享、转让、公开披露等方面。规定了个人信息处理活动应遵循的原则和安全要求。适用于规范各类组织的个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。旨在遏制个人信息非法收集、滥用、泄漏等乱象,最大程度地保障个人的合法权益和社会公共利益。
1.2 保护移动互联网应用中个人信息安全的法律规范
针对APP强制授权、过度索权,超范围收集个人信息、违法违规使用个人信息等数据安全问题,我国相继出台了一系列法律规范并不断更新。例如,2020年10 月1日实施的《信息安全技术个人信息安全规范》GB/T 35273—2020,其代替了《信息安全技术个人信息安全规范》GB/T 35273—2017。新规范修改了第五点、第七点等内容,强化了对移动互联网应用(APP)经营者控制个人信息时的要求,使用户可以充分地使用其选择权,减少了APP滥用权限的风险,并且细化了个人信息主体注销账户的要求等。
《消费者权益保护法》《网络安全法》《电子商务法》《中华人民共和国刑法》《电信和互联网用户个人信息保护规定》等法律法规的个人信息相关条例以及《民法典》第1034条第二款规定,“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”充分体现个人信息主体依法对个人信息享有支配、控制并排除他人侵害的权利。其权利内容包括信息决定权、信息保密权、信息查询权、信息更正权、信息封锁权、信息删除权和信息报酬请求权[1]。
2019年以来,我国为了规范移动互联网应用(APP)收集个人信息,出台了《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等相关法律规范。并为APP用户提供了举报渠道——微信公众号:APP个人信息举报,由APP专项治理工作组受理。体现了我国对个人信息安全规范的重视,以及对新问题的快速响应,并做出解决方案。目的是为了维护网络秩序,加强互联网企业对客户个人信息保护。
2 移动互联网应用中个人信息安全规范的主体
2.1 移动互联网应用的经营者
为了使移动互联网应用(App)经营者加强行业自律,明确企业主体责任;规范推送及权限调用,加强用户可知可控的权利。我们针对百款常用APP收集使用个人信息的权限做了相关调查。
根据《常见类型移动互联网应用程序必要个人信息范围规定》,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,不得收集与其提供的服务无关的个人信息。据我们调查,大多数APP超出了收集必要信息的限度。
(1)APP无须个人信息,即可使用基本功能服务
自拍美化类APP,轻颜相机3.2.9、美图秀秀9.1.3.1等收集了用户通话记录、录音、定位等权限信息,满足这类APP的基本功能并不需要这些权限,所以有可能导致用户在使用过程中信息被窃取、泄露。
(2)APP收集个人信息超出了必要的限度
大多数APP申请收集个人信息权限数平均为12个,数量较多,可能会导致用户个人信息安全系数较低。
《常见类型移动互联网应用程序必要个人信息范围规定》中规定,即时通信类APP必要个人信息包括注册用户移动电话号码、账号信息,QQ8.6.0和微信8.0.1等APP不仅收集了规范所规定的必要个人信息,还收集用户的录音、定位、读取通讯录等权限,明显超出必要限度。
当下,大家普遍通过QQ、微信等即时通讯软件进行通讯交流、分享生活。过度的收集信息会造成被盗号或造成账号安全性低引起的财产丢失,隐私、数据泄露。
2.2 移动互联网应用的使用者
为具体了解到当前移动互联网应用(APP)使用者对个人信息保护的意识,以及移动互联网应用对人们行为规范的影响,我们做了一个初步调查。
(1)对“掉馅饼”式的网络风险活动缺乏警惕
互联网的发展使越来越多的用户隐私数据暴露在不法分子的面前。在生活当中,随处都存在泄露个人信息的情况。例如,商家在商店门口借着送礼物的名义让你扫码、填信息之类的活动,还有免费向公众开放的“WiFi”和假冒热点,一旦连接上,可能迅速进入手机系统来窃取用户个人信息。
我们必须要谨慎,不能为了一时的小利让自己陷入未知的隐患。
(2)对APP隐私协议的重视度不高
据调查,用户对于在APP上注册真实信息的要求并没有过多反对意见或者说为了某些便利默许一些强制认证的行为。大部分用户虽会留意移动互联网应用(APP)首次打开时出现的个人隐私协议,但有时不会仔细阅读,一些APP将越权请求藏于复杂的隐私协议内容中,用户在没有充分阅读了解的情况下向APP经营方提供了原本不需要开启的权限。
(3)信息泄露对人们的影响
个人信息保护之所以引起广泛关注,正是由于近几年个人信息被盗用、滥用的情况比比皆是。贩卖公民个人信息、APP非法获取个人信息,以及非法获取公民个人信息进行电信欺诈或推销骚扰的事例屡见不鲜。因此用户在享受网络带来便利的同时也需要提升保护个人信息安全的意识。
3 对移动互联网应用个人信息安全规范的法律建议
3.1 建立完整的法律体系
近年来,我国虽然出台了大量的法律法规来规范保护个人信息的安全,涉及范围很广,包括民法层面、刑法层面、行政法层面等,从法律法规到普通的标准规范都有对个人信息保护的规定。但整体上立法比较分散,不够统一,没有一个完整的体系。例如,各个层面的法律规定没有衔接;没有细化地明确APP经营企业的责任与义务;各个层面的法律法规没有树立起个人信息的重要地位。
如果没有一个完整的法律体系来保护个人信息,那么这些已出台的零散的法律法规就不能提高其操作性,无法最大程度地保障用户的个人信息权。
3.2 对移动互联网应用经营者的法律建议
(1)落实企业主体责任
应用经营者应当提醒用户谨慎勾选相关权限,主动告知权限目的,建议使用额外弹窗的方式告知申请权限,比如检测到用户不在安全范围下建议关闭摄像头、录音、位置等防止用户信息泄露。
(2)依法保障用户权益
应用经营者应当充分保障用户的自主选择权和开启权限的知情权,不得擅自获取与服务无关的权限,以做到充分保护用户的个人信息安全。
(3)收集信息应遵循最小必要原则
随着国家对个人信息安全规范的不断完善,应用经营者应当根据相关法律法规,明确在经营APP的过程中是否过度收集用户信息,及时发现问题并进行内部自我整改,落实到实际运营中,规范自身行为,加强行业自律。
3.3 对移动互联网应用使用者的法律建议
(1)使用者在网上应提高辨别能力
注意下载APP途径是否合法合规,选择知名APP商店下载应用软件,官方应用商店中的应用软件基本经过自动测试、安全扫描、人工审核三大检查,其安全系数更高。不要在不明网站上注册个人信息,谨防钓鱼网站调取个人信息,在进行敏感信息授权时要注意,除非对功能非常需要,一般不要同意、不要授权。
(2)使用者应重视自己的个人信息安全
用户应提高对个人信息的重视度,个人信息的泄露可能会导致用户受到电话骚扰,诈骗等,这表明个人信息被不正当利用的危险性增加。用户应当认识到个人信息的泄漏,不仅会涉及个人,还会扰乱正常的生活秩序,给社会带来安全隐患,影响和谐社会的构建。为了不加剧社会的信任危机,以及法律法规的切实落实,应不轻易将自己的个人信息暴露。
(3)移动互联网应用(APP)使用者应充分了解相关法律法规
认真了解个人信息的范围,特别是敏感信息以更好地保护个人信息安全;在下载APP后应对其做权限管理,在开启个人信息权限时充分了解其作用并谨慎开启;遇到个人信息泄露时应及时采取相应措施以免造成更大的损失。
我国政府相继出台一系列法律法规,《消费者权益保护法》第十四条、第二十九条;《网络安全法》第二十二条、第四十一条、第四十二条、第四十三条第四十条、第六十四条、第七十六条等都可以解决一些个人信息的安全问题。充分了解相关法律法规可以更好地保障个人信息的安全,当用户个人信息被侵犯时,就可以拿起法律武器合法维护自身权益。
综上所述,本文认为还应通过微信举报平台、网页、新闻平台等新兴媒体渠道,大力宣传,提高公民对个人信息的重视程度,调动公民的积极性,才能更好对移动互联网应用进行监督。促进APP经营者加紧整改自身不足,使移动互联网应用利益最大化且最大程度地保护用户的个人信息,才能共建便捷化、安全化、规范化、法治化的互联网时代。
[1]冯诗宇,郑承华,浅析移动互联网应用对个人信息的保护[J].数码设计,2020(16):59.
大学生创新创业训练计划项目:移动互联网应用(APP)对个人信息保护的法律责任(202013242007)