互聯(lián)網(wǎng)用戶信息安全保護(hù)：

老問題眾多 新挑戰(zhàn)待解

經(jīng)濟(jì)日報(bào)·中國經(jīng)濟(jì)網(wǎng)記者 袁 勇

互聯(lián)網(wǎng)用戶信息泄露不僅對用戶日常生活造成困擾，嚴(yán)重者更是導(dǎo)致用戶的財(cái)產(chǎn)和人身安全受到侵害。因此，用戶信息安全保護(hù)工作刻不容緩。但是也應(yīng)該看到，用戶信息安全保護(hù)問題將隨著技術(shù)不斷革新而不斷演變出新的挑戰(zhàn)。所以，這一問題的解決將是一項(xiàng)保護(hù)互聯(lián)網(wǎng)用戶信息安全的長期工作。

信息泄露現(xiàn)象突出

你是否遇到過這樣的情形：一款你從未使用過的APP給你發(fā)來指名道姓的短信，稱有好友標(biāo)記了你的生日、還給你發(fā)送了一段視頻。這些短信背后，是當(dāng)前互聯(lián)網(wǎng)產(chǎn)品過度獲取用戶信息以及對個人信息保護(hù)力度嚴(yán)重不足的現(xiàn)實(shí)。

“安卓手機(jī)所安裝的APP中，90%都存在漏洞，平均每款A(yù)PP的漏洞達(dá)到7個。漏洞被發(fā)現(xiàn)后，修復(fù)時間往往長達(dá)3個月到半年。”在去年底召開的“2017年個人信息安全大會”上，賽迪智庫網(wǎng)絡(luò)安全研究所所長劉權(quán)表示，當(dāng)前一些手機(jī)APP等互聯(lián)網(wǎng)產(chǎn)品對用戶信息的保護(hù)嚴(yán)重不足，一些APP甚至存在惡意加載功能的現(xiàn)象，其目的就是為了獲取用戶的個人信息。

國家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部工程師賈子驍說，受到互聯(lián)網(wǎng)黑客產(chǎn)業(yè)鏈的利益驅(qū)動，用戶信息泄露現(xiàn)象愈演愈烈，木馬攻擊、安全漏洞利用、惡意程序開發(fā)等現(xiàn)象十分突出，其危害正在不斷加劇。“通過監(jiān)測發(fā)現(xiàn)，從2012年開始，移動惡意程序呈現(xiàn)爆發(fā)增長趨勢，網(wǎng)絡(luò)黑客產(chǎn)業(yè)鏈活動猖獗。隨著智能穿戴設(shè)備進(jìn)一步普及，各種數(shù)據(jù)遍布在云上，大眾面臨的個人信息保護(hù)形勢非常嚴(yán)峻。”賈子驍說。

事實(shí)上，即使沒有惡意獲取用戶信息，大部分互聯(lián)網(wǎng)產(chǎn)品的隱私保護(hù)也難以讓用戶放心。南都個人信息保護(hù)研究中心近日發(fā)布的《2017個人信息保護(hù)年度報(bào)告》顯示，互聯(lián)網(wǎng)平臺隱私政策透明度是呈陡峭的金字塔型，即透明度高的互聯(lián)網(wǎng)平臺極少，透明度低的占比超過80%，在互聯(lián)網(wǎng)金融類平臺和購物類平臺中，低透明度的占比甚至超過90%。

值得注意的是，在透明度最高的10個互聯(lián)網(wǎng)平臺中，大部分是大型互聯(lián)網(wǎng)企業(yè)旗下產(chǎn)品，也是2017年7月份中央網(wǎng)信辦等4部委組織隱私政策評審的首批參評對象。此次專項(xiàng)行動之后，京東、淘寶、支付寶等平臺紛紛調(diào)整隱私政策，對個人信息的使用均作出了相關(guān)規(guī)范。不過，在報(bào)告涉及的1550個平臺中，其知名度和隱私政策透明度并非成正比，大量高知名度互聯(lián)網(wǎng)平臺的隱私政策透明度排名靠后。

報(bào)告還發(fā)現(xiàn)，有些重要條款在互聯(lián)網(wǎng)平臺中普遍缺失，這些條款內(nèi)容無一例外都指向企業(yè)責(zé)任，條款的缺失減輕了企業(yè)責(zé)任，最終侵害到的是用戶利益。比如，用戶對平臺提供的附加功能應(yīng)有選擇權(quán)，即使用戶拒絕也不能影響使用平臺核心功能；若平臺將用戶信息用于此前聲明以外的新目的，必須獲得用戶的再次同意。此外，報(bào)告中涉及的互聯(lián)網(wǎng)平臺隱私政策普遍存在用戶權(quán)利條款缺失、文本雷同、更新緩慢、暗藏格式條款等弊病。

多元共治有效追責(zé)

對于用戶、企業(yè)和國家來說，能否有效遏制用戶信息泄露，意義重大。在用戶方面，信息一旦泄露，可能會涉及人身安全和財(cái)產(chǎn)安全；在企業(yè)方面，用戶信息數(shù)據(jù)是其核心商業(yè)財(cái)產(chǎn)，也是保證其長遠(yuǎn)健康發(fā)展的重要因素；在國家層面，信息安全是網(wǎng)絡(luò)安全的重要內(nèi)容，與國家安全息息相關(guān)。

用戶信息安全與多主體相關(guān)，其保護(hù)工作也需要多元共治。其中，國家的法規(guī)政策是用戶信息安全保護(hù)體系的重要支撐，相關(guān)法規(guī)政策是否精準(zhǔn)有效，對于保護(hù)用戶信息安全、推動互聯(lián)網(wǎng)產(chǎn)業(yè)健康發(fā)展至關(guān)重要。

2017年，從法規(guī)政策完善出發(fā)，有關(guān)部門在保護(hù)公眾信息安全方面動作頻繁。2017年5月份，兩高發(fā)布了《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》；6月1日，《網(wǎng)絡(luò)安全法》正式實(shí)施。7月份，國家網(wǎng)信辦等4部委啟動個人信息保護(hù)專項(xiàng)行動。盡管如此，對于公民信息安全的保護(hù)，法規(guī)政策層面面臨的挑戰(zhàn)依然不小。

北京一中院民二庭副庭長丁宇翔認(rèn)為，個人信息的范疇非常大，隨著信息技術(shù)的發(fā)展，個人信息的內(nèi)涵將會越來越豐富，基于這樣一種現(xiàn)狀，司法實(shí)踐對于個人信息的保護(hù)很可能沒辦法把每種利益都界定得特別清楚。

對于一些數(shù)據(jù)產(chǎn)業(yè)領(lǐng)域的企業(yè)，往往會產(chǎn)生其正常業(yè)務(wù)是否會受到信息安全保護(hù)法規(guī)政策影響的擔(dān)憂。“就執(zhí)法層面而言，希望有關(guān)部門能有效區(qū)分合法合規(guī)的數(shù)字產(chǎn)業(yè)和打著大數(shù)據(jù)旗號的黑色產(chǎn)業(yè)，然后有針對性地予以打擊。”螞蟻金服首席隱私官聶正軍表示，信息安全與隱私保護(hù)是一個非常復(fù)雜的系統(tǒng)性問題。在立法過程中，要平衡好發(fā)展與保護(hù)的關(guān)系以及發(fā)展與安全的關(guān)系，做到這兩類平衡，關(guān)鍵在于把決定權(quán)交還給用戶，因?yàn)槿魏未碛脩艋蛘叽嬗脩舻囊坏肚惺揭?guī)則，都有可能打破這個平衡。

此外，聶正軍認(rèn)為，從司法層面看，盡管路徑方向很明確，但實(shí)踐中還有很多障礙，最大的問題在于受害者很難舉證，難以勝訴，或者即便勝訴，也可能輸了金錢和時間，得到的收益與投入不對等，這些問題需要解決。

劉權(quán)認(rèn)為，要遏制個人信息泄露現(xiàn)象，應(yīng)當(dāng)建立有效的追溯和追責(zé)機(jī)制，“目前用戶使用的400多萬款A(yù)PP中，究竟有多少款可以實(shí)現(xiàn)追溯？是誰開發(fā)的？內(nèi)容檢測是誰負(fù)責(zé)的？在哪個應(yīng)用商店下載的？是否提示用戶APP有沒有得到認(rèn)可的第三方機(jī)構(gòu)檢測？如果可以有效追溯這些環(huán)節(jié)，厘清責(zé)任歸屬，或許可以從根本上解決這一問題”。

挑戰(zhàn)亟待有效應(yīng)對

互聯(lián)網(wǎng)用戶信息安全問題是互聯(lián)網(wǎng)產(chǎn)業(yè)高速發(fā)展的副產(chǎn)品，也必然面臨信息技術(shù)不斷革新帶來的全新挑戰(zhàn)。

移動互聯(lián)網(wǎng)之后，物聯(lián)網(wǎng)將是未來信息流動的重要載體。據(jù)預(yù)計(jì)，2018年全球物聯(lián)網(wǎng)產(chǎn)業(yè)規(guī)模將超過1000億美元，這也意味著互聯(lián)網(wǎng)設(shè)備將越來越多。“以前的智能設(shè)備是手機(jī)、計(jì)算機(jī)，未來的無人機(jī)、智能玩具、智能穿戴設(shè)備、掃地機(jī)器人等都將變成智能設(shè)備，指紋、面部特征、行為信息等也將成為人的特征信息。”南都個人信息保護(hù)研究中心研究員李玲表示，新的設(shè)備和新的信息都將給用戶信息安全保護(hù)帶來新的挑戰(zhàn)。

此外，互聯(lián)網(wǎng)產(chǎn)業(yè)格局的發(fā)展和變化也給用戶信息安全帶來了一定影響。隨著互聯(lián)網(wǎng)巨頭不斷并購和布局上下游的周邊業(yè)務(wù)，其擁有的用戶數(shù)據(jù)也面臨著如何與第三方共享、如何與用戶形成協(xié)議等問題。“我們研究發(fā)現(xiàn)，在用戶協(xié)議中，有的互聯(lián)網(wǎng)企業(yè)提出經(jīng)用戶同意才把數(shù)據(jù)分享給第三方，有的表示會跟第三方簽訂保密協(xié)議，或者對這些數(shù)據(jù)做去標(biāo)識化處理。但也有的互聯(lián)網(wǎng)企業(yè)表示，在不經(jīng)用戶同意的情況下，即與關(guān)聯(lián)公司和合作伙伴進(jìn)行數(shù)據(jù)分析。可以看到，企業(yè)在實(shí)踐中沒有統(tǒng)一的處理辦法。”李玲說。

去年下半年，風(fēng)光一時的共享單車出現(xiàn)倒閉潮，也引發(fā)了一個引人關(guān)注的問題，在共享單車企業(yè)倒閉后，用戶的銀行賬號、騎行地址等數(shù)據(jù)如何處理？在互聯(lián)網(wǎng)創(chuàng)業(yè)的風(fēng)潮中，企業(yè)的興衰頻率極高，這樣一些快速崛起又迅速倒閉的企業(yè)不在少數(shù)，如何處理其遺留的用戶數(shù)據(jù)，這一問題已經(jīng)不容忽視。對此問題，目前行業(yè)還沒有達(dá)成共識，政府的監(jiān)管也還處在模糊地帶。