根治信息泄露顽疾还需跨过几条“河”

过度索权“套路多”信息收集要划定底线红线

“每次安装一个新的App，都要勾选同意一整页的隐私政策，我根本就都读不下来，但是不勾选还不能使用”、“明明只是一款音乐App，却一定要读取我的位置、相册和通讯录。”……互联网时代，人们在享受着大数据带来的便捷的同时，个人信息不可避免地被收集、使用。每一次交易、浏览、通信，都会留下痕迹。在此过程中，个人信息的超范围收集及由此带来的泄漏和滥用等问题越来越常态化。

业内人士表示，随着各类新应用、新技术层出不穷，各类机构过度索取个人信息为信息泄露埋下隐患，而整治个人信息泄露乱象必须从治理信息违规和过度收集开始。

多项调研结果显示，移动互联网平台读取和收集用户信息的边界尚不清晰，造成用户的个人信息常常被过度收集。业内指出，App强制、频繁、过度索取权限，欺骗误导用户提供个人信息等问题受到社会广泛关注，特别是近期App过度索取“麦克风”、“相册”、“通讯录”等权限问题，用户反映强烈。

中国电子信息产业发展研究院网络安全所所长刘权直言，“相比日新月异、快速更迭的人工智能、大数据等信息技术，我国监管制度滞后于技术及应用场景的发展。”他说，借助互联网平台和技术，各个应用程序和网站门户极易在用户无感知的状态下，采集并处理用户大量个人信息，比如肆意调取手机摄像头权限、复制剪贴板内容、读取操作相册图片、强制读取通讯录等。另外，为满足监管要求，一些App制定的隐私政策冗长复杂，用户常因难以理解而舍弃阅读，从而导致“收集用户信息需经用户同意”成为了一项无法落实的“摆设”。

刘权表示，无论在线上应用还是线下活动，都要在收集个人信息时，做到合法、正当、必要，并且与其提供的服务有关联。

中国司法大数据研究院社会治理研究中心主任李俊慧对《经济参考报》记者表示，越是在业务开展中具有收集个人信息需要的行业，越是个人信息泄露或不当买卖最为集中的领域。因此，一方面，要明确各类企业或平台收集个人信息的边界，尤其是在何种情况下不得或不必收集个人信息，另一方面，对于收集了个人信息的企业或平台，也需要综合采取技术、管理及惩戒等措施或手段，加强对此类企业或平台个人信息保护能力的评估和动态监管。

这一问题已经开始引发相关监管部门的关注。近期，工信部持续加大对违法违规收集使用个人信息行为发现、曝光和处置力度，开展专题整治，对违规App依法依规予以约谈、警告、下架、处罚等。3月22日，国家网信办、工信部等四部门也联合发布《常见类型移动互联网应用程序必要个人信息范围规定》，为包括地图导航、网络约车、即时通信等39种常见App划出了“必要个人信息范围”。

违法成本过“低廉”制度震慑作用亟待加强

中国司法大数据研究院对2016年至2020年全国各级人民法院一审审结的涉侵害个人信息犯罪案件分析发现，近几年涉侵害个人信息犯罪案件呈快速增长的趋势。2016年至2020年，全国各级人民法院一审审结涉侵害个人信息犯罪且裁判文书已公开的案件共计4443件。其中，2016年审结12件，2017年审结113件，同比上升841.67%，2018年审结388件，同比上升243.36%，2019年审结1723件，同比上升344.07%，2020年审结2207件，同比上升28.09%。

信息泄露为何屡禁不止?业内人士表示，治理个人信息泄露乱象，必须要完善顶层制度建设，加大对泄露和滥用个人信息的处罚力度，让犯罪者付出沉重代价。

“当前我国对个人信息泄露事件的处罚低，不能起到足够的震慑作用，这也让企业不愿在安全防护上做更多投入，即使出了问题，处罚金额还比不上安全防护的投入成本。”一位信息安全从业人员坦言。

法律人士指出，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

2020年7月公开征求意见的数据安全法草案提出，在开展数据活动的组织、个人不履行数据安全保护义务或者未采取必要的安全措施的，由有关主管部门责令改正，给予警告，可以并处一万元以上十万元以下罚款，对直接负责的主管人员可以处五千元以上五万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

实际上，在国际范围内，企业信息泄露的处罚金额高昂。例如，2020年，因Facebook违反用户隐私保护策略，美国对其处以50亿美元巨额罚款;爱尔兰也就个人信息非法跨境传输问题，对Facebook处以了高达28亿美元的罚款。通过提高单笔处罚金额等惩罚措施，倒逼数据控制者加强个人信息安全保护，是打击违法违规行为的有效手段。

违法成本太低可能造成企业对数据安全保障投入严重不足。“数据安全有别于传统网络安全，它是特别强调跨学科的，需要法律和技术的融合互补才能找到最佳的风险解决方案。”中国信息通信研究院安全研究所数据安全研究部主任陈湉对记者表示，数据安全工作往往涉及多个部门，但法务部门不理解技术，安全部门不了解业务，业务部门更关注业务发展，这就很难形成一套体系化的完整的内部数据合规架构。

事实上，还有部分社会责任意识薄弱的企业将商业利益凌驾于社会利益之上，不愿履行个人信息保护的相关责任，甚者还借助监管漏洞对个人信息进行违规收集。

对外经济贸易大学数字经济与法律创新研究中心执行主任许可指出，由于缺乏顶层基本法律框架，现有个人信息保护规定散见于各类法律中，并以部门规章及规范性文件居多，法律位阶低且适用效力有限，震慑作用还需加强。

（编辑：常州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!