返回目录:金融新闻
来源:腾讯研究院
最近,随着支付宝推出火爆全国的抽“中国锦鲤”活动,各地商家纷纷跟进蹭热度,其中不少“锦鲤”活动已经被证实抽奖是假,骗粉是真。以“杭州锦鲤”为例,涉嫌虚假广告宣传,且在骗粉过程中轻易收集公民个人信息36万条。
这些被不良商家收集的个人信息将如何使用?是否会被泄露?一直以来,个人信息保护都是社会关注的热点。如何保障公民个人信息安全?上海市人大代表于广辉表示,目前对企业采集个人信息的行为尚未形成完善的监管体系,主要还是依靠企业自律,为此他建议将企业采集个人信息纳入备案管理,推广第三方平台提供用户身份验证机制,以减少个人信息在其他系统中的留存。
企业过度采集个人信息缺乏监管
随着信息化社会的飞速发展,越来越多的企业习惯于用信息化系统来解决问题,“譬如有的企业要求用户提供身份证扫描件或者复印件电子版;有的企业要求用户填写个人姓名、家庭住址、电话号码等信息。这些数据的采集用户有时无法拒绝。”于广辉代表表示,很多企业过度采集公民个人信息。
由于企业缺乏有效的保护措施,个人信息被记载在各种平台的数据库中,随时面临被泄露的风险。“信息化时代的信息复制和传播越容易,管理起来也就越麻烦。”于广辉代表说。
于广辉代表认为,个人信息泄露主要通过两个途径,“一是黑客入侵网站非法获取;二是各行各业的内部人员泄露信息。侵犯公民个人信息的犯罪已经形成了从非法收集、提供窃取、交易到交换各个环节完整的利益链。”
今年8月,中国消费者协会发布的《App个人信息泄露情况调査报告》显示,超八成受访者遭遇个人信息泄露问题。据全国消协组织受理消费者投诉情况统计,今年上半年,电商平台、社交平台软件等非法搜集消费者个人信息现象已成投诉新热点。该报告显示,当个人信息泄露后,大约三分之一的受访者可能基于无力应对,接受现状,选择了“自认倒霉”。
个人信息泄露社会危害巨大,然而目前对企业采集、使用个人信息的行为还缺少相关的法律规定和有效的监管措施。“相关部门还没有完善的监管体系,完全依靠企业自律。”
建议明确保护措施,加强备案监管
2017年6月1日实施的《中华人民共和国网络安全法》规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
虽然网络安全法对网络运营者收集、使用个人信息有明确规定,但是对如何使用以及应该承担的责任,现有法律、法规中却没有相应的规定。
在监管方面,于广辉代表表示,目前对于政府类信息系统和网站,有建立安全等级保护制度的要求,对安全漏洞有定期检查及提醒机制,但是对非政府网站及信息系统,没有任何安全规范的要求。
如何避免企业过度采集个人信息,降低个人信息泄露的风险,于广辉代表认为,政府部门应该加强监管,“对企业采集个人数据的行为进行备案管理,特别是针对采集身份证照片或扫描件信息的企业行为。”对未提供备案证明并要求采集用户信息的企业系统,用户可以投诉或举报。另外,对用户众多、种类繁杂的手机App,在现有监控网站的基础上,也应扩大监控范围,加强监管,并出台法律明确规定。
推广第三方平台身份验证机制降低泄露风险
除此之外,于广辉代表还建议推广第三方平台提供用户身份验证机制。“企业采集个人信息,很大程度上是为了验证用户身份。随着网络实名制的推进,越来越多的第三方平台支持用户身份验证,有些App直接使用微信、支付宝等账号登录。目前缺乏的是政府权威部门的身份验证,”于广辉代表表示,如果社保或者公安等权威部门提供第三方验证机制或服务,将减少个人信息在其他系统的留存,从而大大降低个人信息泄露的风险。
对于广辉代表的立法建议,上海市网信办在答复中称,全国人大常委会法工委正加紧研究论证对个人信息保护立法的相关问题,针对互联网大数据发展的新特点、新形势,进一步完善个人信息保护法律制度。
与此同时,上海正加大对企业收集个人信息的监管力度。据媒体报道,该市网信办近期对本地最常用的23个App获取用户个人信息等相关权限申请情况开展抽查。从被抽查的App情况来看,现在上线的App几乎都有过度索取用户个人信息的问题。其中,约30%与所提供的服务没有对应关系,属于不合理范围。上海市网信办随后分别约谈了运营这些App的23家企业,要求认真整改。
(作者:仲颖)