【焦点】央视315晚会关注:移动金融中个人信息安全危机及其治理

来源:广州互联网金融协会法律服务中心


2019年3月15日,央视315晚会揭露了一种高科技灰色产业链。一款由声牙科技有限公司研发的“探针盒子”,当用户手机无线局域网处于打开状态时,会向周围发出寻找无线网络的信号,探针盒子发现这个信号后,就能迅速识别出用户手机的MAC地址,转换成IMEI号,再转换成手机号码。一些公司将这种小盒子放在商场、超市、便利店、写字楼等地,在用户毫不知情的情况下,搜集个人信息,甚至包括婚姻、教育程度、收入等大数据个人信息。其中,央视还特别点名了萨**金服借此方式进行获客,涉嫌收集用户个人信息。同时,央视还曝光了一款名为“社保**通”的APP,涉嫌搜取用户隐私信息,通过不平等、不合理条款强制索取用户隐私。

实际上,央视315晚会揭露了长期存在的移动金融中个人信息安全问题。在移动互联场景下,移动金融应运而生。实践中,借助移动通信技术为社会大众提供相关金融服务的,都可称之为移动金融,包括那些通过无线网络传输技术并使用移动智能终端,如智能手机、平板电脑、无线POS机等设备来开展支付、转账、信贷、融资等金融活动。移动互联技术在金融领域的广泛应用,虽然带来了易用性和便捷性,但同时也引发了安全性的忧虑。毫无疑问,个人信息安全是移动金融安全的重中之重。近年来,移动互联网应用程序(APP)越界获取用户隐私权限、超范围收集个人信息的现象频发。移动金融应用中隐私窃取类恶意应用占比最高,用户个人信息受到极大威胁。

一、移动金融中个人信息安全的危机

移动互联网应用程序(APP)是移动金融得以开展的重要支撑。无论移动金融的场景和技术路线如何,都离不开APP。例如,仅在移动支付领域,各银行或非银金融机构为抢占金融消费者的移动入口,推出手机支付、微信支付、财富通、支付宝、翼支付等支付方式,这些移动支付的运用需要用户下载相关应用程序。而如果APP要运行,也需要获取用户的一些基本数据才可,这是正常使用产品所必需的。因此,APP收集个人信息情况极为普遍。

然而,移动金融中个人信息安全问题突出,在当前情形下,甚至可以用“危机”来形容。造成个人信息安全危机的原因主要是:

第一,APP违法违规收集个人信息的现象比较普遍。据腾讯社会研究中心与互联网数据中心在2018年联合发布报告称,通过对1129款APP获取用户隐私权限情况进行的隐私安全测试结果显示,852个安桌手机APP中有98.5%都要获取用户隐私权限,其中通信社区、影音娱乐类APP更是100%需获取手机隐私权限。另据中国消费者协会在2018年11月发布的《100款APP个人信息收集与隐私政策测评报告》显示,91款APP过度收集用户个人信息,近半数APP的隐私条款内容不达标。这些APP违反了《网络安全法》关于“不得收集与其提供的服务无关的个人信息”的规定,超出服务目的和业务必需的范围,获取不必要的隐私权限,过度收集用户个人信息。APP违法违规收集个人信息主要通过以下方式:一是将用户同意收集使用的授权与使用APP进行捆绑,变相强制用户同意;二是将概括性授权或告知条款隐含在冗长的用户协议中,而用户一般不会完整阅读相关协议,导致用户签署用户协议就意味着同意APP收集使用个人信息;三是不经用户同意而直接采取默认开启权限方式,自动获取用户个人信息。APP通过这些违法违规收集使用行为,把触角伸向了用户个人隐私,超范围访问手机识别码、手机联系人、获取手机号、读取短信记录等,同时,对移动金融消费者在网上消费或为消费而发生的行为(如金融搜索、浏览相关网页、社区讨论、社区发言、竞价参与等行为)所产生的大量衍生数据进行收集汇总处理,形成金融消费者的住址、个人喜好、收入状况、消费水平、消费场所等个人交易信息,并将其商业利用。

第二,APP本身存在技术漏洞,导致用户个人信息被盗取、非法篡改。APP运用的多样化,以及不同的场景和技术路线面临的安全问题各不相同,导致移动金融的安全体系构建较为复杂。移动金融场景下的交易往往涉及客户、商户、电商平台、第三方支付、银行等多个参与方,必须有效解决交易各方的身份和设备安全认证问题,才能保障安全。然而,移动金融敏感信息在公网上传输过程中受到各种漏洞、病毒和木马的攻击,如果APP本身存在技术漏洞,其用户信息安全性就得不到保障。据调查,我国市场主流品牌手机普遍存在着安全漏洞,而且,大部分漏洞由厂商定制开发产生,一般难以修复。例如,一些APP存在手机签名漏洞,这种漏洞可使恶意程序在不改变手机应用签名的情况下修改应用,对手机支付工具或银行客户端等应用进行篡改以窃取用户信息。

第三,其他主体非法从APP上获取、使用个人信息的行为较为猖獗。当前,利用网络非法采集、窃取、贩卖和利用用户信息已形成黑色产业链。非法行为人采取“拖库”“洗库”“撞库”等方式盗取、使用、交换、买卖个人信息。所谓“拖库”,即通过木马病毒、恶意程序等“黑”APP,获取用户数据,并将姓名、密码、邮箱、QQ、身份证、电话、家庭地址等数据下载。所谓“洗库”,即登录账户将有价值的内容清洗一遍甚至几遍,比如登录游戏账户,将虚拟币转走,获取利益;或者通过技术手段选取其他有利用价值的用户数据。所谓“撞库”,即利用已有的用户身份信息,批量尝试登录其他的网站或平台,实现登录后再次进行洗库和撞库的循环。

二、移动金融中个人信息安全问题的治理

为保障个人信息安全,2019年1月25日,中央网信办、工业和信息化部、公安部、国家市场监管总局联合发布了《关于开展APP违法违规收集使用个人信息专项治理的公告》,将在全国范围内组织开展APP违法违规收集使用个人信息专项治理行动,为期一年。这表明,国家已对移动金融中个人信息安全危机高度重视,并决心开展专项治理,重点打击APP手机客户端违法违规收集个人信息的行为。

第一,明确APP信息收集的边界。APP运营者要严格履行《网络安全法》规定的义务,对获取的个人信息安全负责,采取有效措施加强个人信息保护。要遵循合法、正当、必要的原则,不收集与所提供服务无关的个人信息;收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则,并经个人信息主体自主选择同意;不以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得违反法律法规和与用户的约定收集使用个人信息。同时,倡导APP运营者在定向推送新闻、广告时,为用户提供拒绝接收定向推送的选项。

第二,制定治理的标准和规则。全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会,将依据法律法规和国家相关标准,编制大众化应用基本业务功能及必要信息规范、APP违法违规收集使用个人信息治理评估要点,组织相关专业机构,对用户数量大、与民众生活密切相关的APP隐私政策和个人信息收集使用情况进行评估。同时,将委托专业的测试评估机构,依据规范对APP进行评估,重点对APP超范围收集个人信息、过度索权、强制捆绑授权和违法违规使用个人信息等进行评估,对评估结果确认存在重大问题的,将报送相关部门,为相关部门依据《网络安全法》、《消费者权益保护法》等法律法规开展监管执法等提供参考。

第三,加强打击力度。对于违法违规的APP运营者,相关主管部门要加大打击力度。对强制、过度收集个人信息,未经用户同意、违反法律法规规定和双方约定收集、使用个人信息,发生或可能发生信息泄露、丢失而未采取补救措施,非法出售、非法向他人提供个人信息等行为,按照《网络安全法》《消费者权益保护法》等依法予以处罚,包括责令APP运营者限期整改;逾期不改的,公开曝光;情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。

除此之外,还有必要采取以下治理措施:

一是加强立法建设。目前,个人信息保护立法呈现出分散立法的现状。我国有近40部法律、30余部法规,以及近200部规章,例如,《民法总则》《网络安全法》《消费者权益保护法》《刑法》《电子商务法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》等,涉及个人信息保护,使得相关保护条款内容不集中、阐述不清晰、适用不明确、范围受局限、处罚不具体,因而可操作性差。制定《个人信息保护法》,通过对个人信息保护的共性问题形成统一的顶层设计,对个人信息保护的全局性、基础性问题作出规定,将更有利于统筹监管和协作监管。

二是APP运营者还需加强自身的技术提升和内部的合规建设。APP运营者应当着力开发技术,堵住漏洞,防止外部侵入,导致用户个人数据被盗。这就要求APP运营者对自身情况进行核查,将明显有悖于规定的地方进行整顿。从行业内部开始整改,通过研究行业内的技术标准和技术趋势进行差距分析和自我评估。并在产品及服务设计中预先进行风险预测,将必要的隐私设计纳入产品及服务的最初设计中。而且,通过隐私政策说明个人信息在企业关联方和合作机构之间的流转、通知和拒绝方式。

三是进一步加强监管和打击力度。主要包括:设立黑名单制度,将违规企业、个人纳入黑名单,越界侵权App在应用市场下架,同时追根溯源找到发布者,从重处罚;建立网络个人信息分类标准,企业要建立健全内部管理制度,推动数据防窃密、防篡改、防泄露等安全技术的研发和部署,对数据库、服务器、服务器网络、客户端网络、客户端等关键节点做好防护工作,降低“内鬼”和不法分子窃密风险;根据《刑法修正案(七)》,由公安机关开展打击整治网络侵犯公民个人信息违法犯罪专项工作,对非法窃取、出售、泄露个人信息的违法犯罪行为依法严厉打击;加强行业协会,尤其是消费者协会或金融协会的积极作用,建立用户诉讼支持制度以及协会提起公益诉讼制度。


风险提示
 
QQ在线咨询
网贷咨询热线
400-096-0339
司库金服会员群
f160518196b40fed36ed641cd07c488e