人民網
人民網>>IT

“數·智觀察”個人信息保護系列之二

政務APP責任重大 個人信息處理亟需增強“敬畏心”

申佳平
2020年12月24日08:28 | 來源:人民網-IT頻道
小字號

編者按:

在信息化時代,個人信息保護已成為廣大人民群眾最關心最直接最現實的利益問題之一。今年以來,有關部門“組合拳”頻出,推進相關法律法規建設,加快行業亂象整治行動,為個人隱私和信息安全不斷筑牢保護屏障。23日起,人民網IT頻道推出“數·智觀察”個人信息保護系列,結合今年以來個人信息保護領域的熱點、要點,闡述我們在個人信息保護領域取得的進展和面臨的挑戰。

掃碼登記、移動支付、刷臉就診……隨著“互聯網+”日漸融入生活,老百姓跑窗口排長隊的時間少了,動動手指在電腦手機上辦業務的機會多了。

便利生活的背后,是“數字政府”建設的持續推進。當前,智慧城市建設如火如荼,“一網通辦APP”“健康碼”遍地開花,政務服務 “觸網”提速。但個人信息數字化歸集帶來便利的同時,也面臨前所未有的安全風險。

此前,網友“信息安全老駱駝”自述“丟手機后‘被網貸’”,犯罪分子正是通過某政務APP獲取了他的身份証號等敏感信息。

這樣的漏洞不是個例。在APP違法違規收集使用個人信息治理工作組11月通報的違規名單中,“鄂匯辦”“皖事通”等政務APP赫然在列,被指存在“明文上傳用戶賬戶、密碼”,“在申請打開可收集個人信息的位置權限時,未同步告知用戶其目的”等多項問題。

“政務APP收集的海量個人敏感信息,一旦泄露或被非法使用,將會給個人和社會造成嚴重損害。”多位專家、律師在接受人民網記者採訪時表示,個人信息收集不當、安全技術保障不足、專業管理人員缺失……當前我國政務APP在個人信息處理上存在諸多不足,相關部門應該提起重視,加強對個人信息處理的敬畏之心。

收集海量真實數據 政務APP責任重大

《2020全國網民網絡安全感滿意度調查報告》顯示,網民對於侵犯個人信息的關注度高達80.94%,有49.42%的網民認為自己的個人信息遭遇過侵害。

在萬物互聯的今天,個人信息不隻關乎隱私,還與車子、房子、“錢袋子”緊密相連。身份証號、戶籍、社保、銀行卡號等關鍵個人信息,是打開這些“錢袋子”的數字“鑰匙”,它們往往在政務APP使用過程中被歸集到后台或雲端。

“在‘信息安全老駱駝’事件中,犯罪分子通過政務APP獲取其銀行卡號,並據此成功申請貸款,政務APP無形中為后續的犯罪行為提供了‘跳板’。”中國電子技術標准化研究院網安中心測評實驗室副主任何延哲接受人民網記者採訪時表示,政務APP背后的數據歸集幫助政府部門實現業務流程再造方便了用戶,但同時也加劇了數據集中的風險。

清華大學法學院副院長程嘯指出,政務APP收集的個人信息數量大,真實性、准確性高,且往往包含姓名、身份信息、行蹤軌跡、人臉特征等敏感個人信息,一旦出現泄露或被非法使用,會給自然人造成嚴重損害。

“基於權責對等的原則,有必要在法律上規定國家機關負有更加嚴格的保護個人信息的義務。”程嘯說。

重視不足、技術有限 政務APP存在短板

中國互聯網絡信息中心今年發布的第45次《中國互聯網絡發展狀況統計報告》顯示,截至2020年3月底,中國在線政務服務用戶規模達6.94億,較2018年底增長76.3%,佔網民整體數量的76.8%。

隨著我國數字政府建設步伐加快和電子政務需求不斷攀升,近年來,各地政務APP如雨后春筍般不斷涌現,“指尖上的政務服務”日趨完善。但由於在重視程度、技術水平、管理能力等方面發展不均,各地政務APP在個人信息權益保護方面也呈現出參差不齊、魚龍混雜的現象。

“我們在對大量APP進行檢測的過程中發現,一些政務APP在個人信息處理上思想重視程度明顯不足,常常犯下‘低級錯誤’。”何延哲透露,隨著APP治理工作不斷推進,大部分APP的基礎性違規問題正在逐步得到解決。

在11月份APP治理工作組的通報名單中,一些政務APP被指存在,如“明文上傳用戶賬戶與密碼”“在收集用戶身份証號等個人敏感信息時,未同步告知用戶其目的”等問題。

對敏感信息進行數據變形,實現敏感隱私數據的可靠保護,這樣的數據脫敏操作是個人信息保護的“基本功”。何延哲直言,“這些都屬於基礎性違規。如果思想足夠重視,實現數據脫敏並不難。”

他同時透露,與大多數違規商業APP相同,一些政務APP在個人信息收集過程中也沒有遵循必要原則,仍存在過度收集個人信息的情形。

而在個人信息管理方面,程嘯透露,當前很多政務APP由各地政府部門委托企業開發甚至直接運行管理,對於受委托企業在個人信息保護方面的內部管理制度、操作規程、安全防護能力以及人員素質,政府部門缺乏必要的評估和有效的監督管理。

程嘯認為,這不僅使被收集的個人信息缺乏相應的安全技術保障,也造成公民個人信息被商業化使用、泄露等風險增加。

“缺乏必要的推廣和宣傳,也是當前政務APP在保障個人信息權益上的現實問題。”何延哲坦言,一些政務APP推出后,在后續宣傳和功能完善上表現得差強人意,容易給不懷好意的“山寨政務APP”提供“灰色空間”,也給個人信息權益保護埋下了隱患。

完善制度、一視同仁  政務APP亟待加強監管

專家指出,正因政務APP覆蓋面廣、歸集的關鍵個人信息多,更應在個人信息權益保護方面做出表率,提高群眾滿意度。

目前,我國《民法典》《網絡安全法》《電子商務法》等法律對於國家機關及工作人員履行職責過程中保護個人信息和隱私的義務已經作出相關規定。已完成公開征求意見的《個人信息保護法草案》還採用專節對於國家機關處理個人信息作出了特別規定。

此外,日前,工信部組織中國信息通信研究院、電信終端產業協會制定發布了《APP用戶權益保護測評規范》10項標准和《APP收集使用個人信息最小必要評估規范》8項系列標准,要求按“最小必要”等原則收集涉圖片、通信錄、設備信息、人臉、位置、錄像、軟件列表等個人信息。

程嘯指出,在個人信息處理上,政務APP應該和其他市場主體標准一致,在處理個人信息時,嚴格遵守相關法律,堅持合法、正當、必要的原則。

工信部副部長劉烈宏在近日召開的全國APP個人信息保護監管會上也透露,APP侵害用戶權益專項整治行動開展以來已取得階段性明顯成效。針對APP違規收集個人信息、侵害用戶權益等問題,工信部將於明年初繼續開展APP侵害用戶權益專項整治。

程嘯建議,應從國家法律法規和標准層面,對於在全國范圍處理個人信息尤其是敏感個人信息的行為進行全方位、全過程的規范與監督管理:包括明確有必要收集的個人信息的范圍和方式﹔強化告知義務﹔嚴格個人信息的安全防護措施﹔嚴肅追究泄露或非法使用個人信息的違法者的法律責任等。

工信部相關負責人此前表示,下一步,將組織行業力量,繼續推動制定《APP收集使用個人信息最小必要評估規范》剩余9項標准,涵蓋錄音信息、短信信息、房產信息等個人信息的收集使用規范要求。同時積極總結經驗,推動將團體標准提升為行業標准、國家標准。

相關閱讀:

系列之一:增強頂層設計 我國個人信息保護立法步穩蹄疾

系列之三:個人信息保護意識覺醒 多方發力讓信息不再“裸奔”

(責編:申佳平、章斐然)

分享讓更多人看到