專家：須大力制裁侵權(quán)行為，手機(jī)App越界索權(quán)問(wèn)題多，網(wǎng)絡(luò)信息安全亟待整治！網(wǎng)絡(luò)身份認(rèn)證信息安全市場(chǎng)分析【圖】

    手機(jī)App越界索權(quán)的問(wèn)題再次受到關(guān)注。

    近日,在使用個(gè)人所得稅App申報(bào)個(gè)稅時(shí),個(gè)別地方出現(xiàn)申報(bào)人“被就職”現(xiàn)象,即在“任職受雇信息”中,申報(bào)人供職于完全沒(méi)有聽(tīng)過(guò)的企業(yè)或單位。不少人認(rèn)為,自己的身份信息可能被盜用,從而導(dǎo)致“任職受雇信息”出現(xiàn)異常。

    任何事物都具有兩面性。移動(dòng)互聯(lián)網(wǎng)在給人們帶來(lái)極大便利的同時(shí),亦出現(xiàn)大量關(guān)于個(gè)人信息保護(hù)的問(wèn)題。個(gè)人信息的不當(dāng)擴(kuò)散與不當(dāng)利用,已逐漸發(fā)展成為危害公民民事權(quán)利的社會(huì)問(wèn)題。

    過(guò)度采集信息問(wèn)題突出

    App普遍存在越界索權(quán)

    經(jīng)常逛淘寶的人都知道,只要在淘寶網(wǎng)搜索某件商品,很快就會(huì)出現(xiàn)大量相關(guān)推送。

    “這讓我感到很不安,網(wǎng)絡(luò)上的一舉一動(dòng)都好像有‘老大哥在看著你’,沒(méi)有隱私可言。”在北京工作的張帆說(shuō)。

    于是,張帆卸載了手機(jī)里的幾十個(gè)App,只保留了常用的幾個(gè)。

    張帆的擔(dān)憂并非杞人憂天。

    2018年3月,北京市消協(xié)發(fā)布的手機(jī)應(yīng)用軟件(App)個(gè)人信息安全調(diào)查報(bào)告顯示,近九成受訪者認(rèn)為手機(jī)App存在過(guò)度采集個(gè)人信息的問(wèn)題,近八成受訪者認(rèn)為手機(jī)App上的個(gè)人信息不安全。

    合法、正當(dāng)、必要,是App運(yùn)營(yíng)商采集用戶信息的法定原則。然而,App越界索權(quán)的現(xiàn)象已是不爭(zhēng)的事實(shí)。

    2018年8月29日,中消協(xié)發(fā)布《App個(gè)人信息泄露情況調(diào)查報(bào)告》稱,手機(jī)App過(guò)度采集個(gè)人信息呈現(xiàn)普遍趨勢(shì)。

    根據(jù)調(diào)查結(jié)果,手機(jī)App需要獲取的權(quán)限種類繁多,最突出的是獲取位置信息和訪問(wèn)聯(lián)系人權(quán)限。而且,一些App還出現(xiàn)了在自身功能使用非必要的情況下獲取用戶隱私權(quán)限的問(wèn)題,增加了個(gè)人信息泄露的風(fēng)險(xiǎn)。

    中國(guó)傳媒大學(xué)文法學(xué)部法律系副主任鄭寧告訴《法制日?qǐng)?bào)》記者,一般來(lái)說(shuō),App的安裝和使用只能對(duì)一些必要的權(quán)限征求使用人的同意。在使用安卓系統(tǒng)的手機(jī)中,有以下幾個(gè)權(quán)限最常被調(diào)取,其一是“讀取已安裝應(yīng)用列表”,借此可以了解和分析用戶的使用習(xí)慣；其二是“讀取本機(jī)識(shí)別碼”,主要用來(lái)確定用戶的身份；其三是“讀取位置信息”,通過(guò)獲取位置,搜集用戶的活動(dòng)范圍,例如導(dǎo)航類軟件就必須調(diào)取這一權(quán)限。

    在現(xiàn)實(shí)生活中,許多App普遍存在越界索權(quán)現(xiàn)象。比如,視頻軟件要求讀取運(yùn)動(dòng)數(shù)據(jù)、資訊類App卻開(kāi)啟相機(jī)和麥克風(fēng)錄音權(quán)限等。

    “綜合以上現(xiàn)象可以看出,手機(jī)App收集的信息若與其提供的服務(wù)無(wú)關(guān)則構(gòu)成越界索權(quán)。”鄭寧說(shuō)。

    區(qū)分身份信息隱私信息

    運(yùn)營(yíng)商應(yīng)依法留存使用

    近日,最高人民法院發(fā)布的第一批涉互聯(lián)網(wǎng)典型案例,是由網(wǎng)絡(luò)購(gòu)票引發(fā)的涉及航空公司、網(wǎng)絡(luò)購(gòu)票平臺(tái)侵犯公民隱私權(quán)的糾紛。

    案件終審判決于2017年3月27日作出,時(shí)值民法總則首次通過(guò)民事基本法確立個(gè)人信息的法律地位。

    2014年10月11日,龐理鵬通過(guò)北京趣拿信息技術(shù)有限公司下轄的去哪兒網(wǎng)平臺(tái)訂購(gòu)了2014年10月14日MU5492瀘州至北京的東航機(jī)票1張。同年10月13日,龐理鵬收到一條以機(jī)械故障為由取消涉案航班的來(lái)源不明的短信,后經(jīng)中國(guó)東方航空股份有限公司客服確認(rèn),這條短信為詐騙短信。龐理鵬認(rèn)為,趣拿公司和東航公司泄露其個(gè)人信息,其個(gè)人隱私權(quán)遭到嚴(yán)重侵犯,遂訴至法院。

    值得注意的是,在這起典型的信息抓取類隱私權(quán)糾紛中,涉訴信息是否具有隱私屬性是侵權(quán)行為認(rèn)定的前提條件。

    法院認(rèn)為,經(jīng)權(quán)利人許可在網(wǎng)上公開(kāi)披露的個(gè)人資料已表明權(quán)利人放棄其隱私,視為其明知個(gè)人信息將被不特定的主體收集、挖掘、分析,相關(guān)信息應(yīng)作為公共資源看待,不具有隱私權(quán)屬性。在案件中,龐理鵬被泄露的信息包括姓名、手機(jī)號(hào)、行程安排等,其行程安排無(wú)疑屬于私人活動(dòng)信息,應(yīng)該屬于隱私信息,可以通過(guò)隱私權(quán)糾紛主張救濟(jì)。

    因此,需要厘清一個(gè)概念,即個(gè)人信息是否等同于隱私?

    中國(guó)人民大學(xué)法學(xué)院教授楊立新告訴《法制日?qǐng)?bào)》記者,個(gè)人信息主要有三種形式:第一種是個(gè)人隱私信息,這是隱私權(quán)保護(hù)的范圍；第二種是個(gè)人身份信息,如身份證號(hào)碼、電話號(hào)碼、個(gè)人賬戶信息等,用個(gè)人信息權(quán)予以保護(hù)；第三種是衍生數(shù)據(jù),是對(duì)網(wǎng)絡(luò)上留存的海量的個(gè)人數(shù)據(jù)進(jìn)行加工處理形成的新數(shù)據(jù),已經(jīng)與個(gè)人的身份信息脫敏。

    楊立新說(shuō),個(gè)人隱私信息和個(gè)人身份信息都要依照法律的規(guī)定進(jìn)行支配,只有衍生數(shù)據(jù)才可以在大數(shù)據(jù)時(shí)代中進(jìn)行商業(yè)處理。

    不少用戶不看授權(quán)須知

    一些App強(qiáng)制要求授權(quán)

    那么,何為越界索權(quán)、過(guò)度抓取?

    民法總則第一百一十一條規(guī)定:“任何組織和個(gè)人需要獲取他人個(gè)人信息的,應(yīng)當(dāng)依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個(gè)人信息,不得非法買(mǎi)賣(mài)、提供或者公開(kāi)他人個(gè)人信息。”這是有關(guān)組織和個(gè)人獲取他人個(gè)人信息的原則。

    楊立新說(shuō),網(wǎng)絡(luò)交易平臺(tái)組織進(jìn)行網(wǎng)絡(luò)交易,有權(quán)獲取參加交易的人的相關(guān)信息。不過(guò),網(wǎng)絡(luò)交易平臺(tái)獲取消費(fèi)者個(gè)人信息有兩個(gè)要求,一是要有權(quán)獲取,二是獲取的必須是相關(guān)信息。無(wú)權(quán)獲取而獲取他人個(gè)人信息,是侵權(quán)行為；有權(quán)獲取他人個(gè)人信息,但是超出合法的范圍而收集與交易不相關(guān)的個(gè)人信息,同樣也是侵權(quán)行為,都要承擔(dān)侵權(quán)責(zé)任。

    App運(yùn)營(yíng)商一方面掌握了大量的個(gè)人信息,另一方面也應(yīng)有相應(yīng)的能力保護(hù)好消費(fèi)者的個(gè)人信息免受泄露,這既是App運(yùn)營(yíng)商的社會(huì)責(zé)任,也是其應(yīng)盡的法律義務(wù)。

    然而,用戶信息為何一再被泄露?又為何一再出現(xiàn)信息抓取類隱私權(quán)糾紛?

    這是因?yàn)?碎片化的信息一旦被整合,便具有商業(yè)價(jià)值——對(duì)于商家而言,數(shù)據(jù)越多,越有精準(zhǔn)營(yíng)銷的優(yōu)勢(shì),以便占領(lǐng)市場(chǎng)制高點(diǎn)。

    除此之外,上述北京市消協(xié)發(fā)布的報(bào)告稱,手機(jī)App軟件過(guò)度采集個(gè)人信息已成為網(wǎng)絡(luò)詐騙的主要源頭之一。

    據(jù)介紹,個(gè)人信息一旦被收集、提取和綜合分析,就完全可以與特定的個(gè)人相匹配,從而形成某一特定個(gè)人詳細(xì)準(zhǔn)確的整體信息。這些整體信息一旦被泄露擴(kuò)散,任何人的私人空間都將被置于陽(yáng)光下,個(gè)人的隱私將會(huì)遭受威脅。

    然而,北京市消協(xié)的調(diào)查問(wèn)卷顯示,有41.16%的人在安裝或使用手機(jī)App前從來(lái)不看授權(quán)須知。

    中消協(xié)發(fā)布的《App個(gè)人信息泄露情況調(diào)查報(bào)告》亦顯示,“不授權(quán)就沒(méi)法用”是受訪者“從不閱讀”的最主要原因。

    根據(jù)調(diào)查結(jié)果,在占比26.2%從不閱讀應(yīng)用權(quán)限和用戶協(xié)議或隱私政策的受訪者中,選擇從不閱讀的原因主要是因?yàn)椴皇跈?quán)就沒(méi)法用,只能被迫接受,占61.2%。

    在北京大學(xué)信息科學(xué)技術(shù)學(xué)院副教授陳江看來(lái),這一方面是因?yàn)椴糠钟脩舸_實(shí)不了解應(yīng)用權(quán)限對(duì)于個(gè)人隱私權(quán)利的重要性；另一方面,在很多情況下,如果用戶不提供權(quán)限,App就直接退出或自動(dòng)停止服務(wù)。

    構(gòu)建分級(jí)分類保護(hù)體系

    加大力度制裁侵權(quán)行為

    對(duì)于如何保護(hù)個(gè)人信息,楊立新認(rèn)為,現(xiàn)有法律法規(guī)已經(jīng)足以保護(hù)個(gè)人信息。問(wèn)題在于,侵害個(gè)人信息構(gòu)成犯罪的能夠追究其刑事責(zé)任,但對(duì)于侵權(quán)行為仍然制裁不力,應(yīng)該采取更具體的立法措施,對(duì)侵害個(gè)人信息的行為認(rèn)定為侵權(quán)行為,責(zé)令承擔(dān)損害賠償責(zé)任。

    比如,被侵害人的個(gè)人信息只賣(mài)了1元,可按照消費(fèi)者權(quán)益保護(hù)法規(guī)定的最低賠償額賠償500元,或者按照食品安全法的規(guī)定賠償1000元。這樣能夠調(diào)動(dòng)個(gè)人信息權(quán)人保護(hù)自己權(quán)利的積極性,對(duì)侵害個(gè)人信息權(quán)的行為人予以有力制裁,保護(hù)好個(gè)人的信息權(quán)。

    中國(guó)政法大學(xué)教授劉保玉曾提出,將安寧生活權(quán)益納入個(gè)人信息的保護(hù)范疇。

    在鄭寧看來(lái),安寧是排除侵?jǐn)_之后,精神上享有的安定、寧?kù)o狀態(tài)。安寧權(quán)益屬于現(xiàn)代人格權(quán)所應(yīng)保護(hù)的對(duì)象,更屬于隱私權(quán)的范疇。隱私權(quán)的內(nèi)容主要包括維護(hù)個(gè)人的私生活安寧、個(gè)人私密不被公開(kāi)、個(gè)人私生活自主決定等。隱私權(quán)特別注重“隱”。

    “而個(gè)人信息權(quán)主要是指對(duì)個(gè)人信息的支配和自主決定。個(gè)人信息權(quán)的內(nèi)容包括個(gè)人對(duì)信息被收集、利用等的知情權(quán),以及自己利用或者授權(quán)他人利用的決定權(quán)等內(nèi)容。即便對(duì)于可以公開(kāi)且必須公開(kāi)的個(gè)人信息,個(gè)人應(yīng)當(dāng)也有一定的控制權(quán)。”鄭寧說(shuō),因此,將安寧生活權(quán)益納入隱私權(quán)更加恰當(dāng)。

    對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)博士生袁泉在其《個(gè)人信息分類保護(hù)制度構(gòu)建及其體系研究》一文中則分析稱,傳統(tǒng)個(gè)人信息保護(hù)模式在利益界定上僅停留在考慮人格權(quán)或財(cái)產(chǎn)權(quán)的單項(xiàng)保護(hù)層面,僅站在強(qiáng)化個(gè)人信息控制權(quán)與自決權(quán)角度予以配置,導(dǎo)致個(gè)人信息保護(hù)機(jī)制利益失衡。應(yīng)以信息的風(fēng)險(xiǎn)系數(shù)和個(gè)人與信息的關(guān)系為標(biāo)準(zhǔn)將個(gè)人信息分為三類,并分別配置不同的保護(hù)機(jī)制。

    騰訊守護(hù)者計(jì)劃安全專家馬瑞凱亦認(rèn)為,如何引導(dǎo)行業(yè)對(duì)于個(gè)人信息進(jìn)行分類,構(gòu)建分級(jí)分類保護(hù)體系,這是當(dāng)前個(gè)人信息防泄露問(wèn)題要著重考慮的一項(xiàng)。

    鄭寧建議,區(qū)分可使用、可交易的商業(yè)數(shù)據(jù)信息和不可使用、不可交易的(商業(yè)秘密等)數(shù)據(jù)信息,劃分個(gè)人一般信息和個(gè)人隱私或敏感信息的邊界。根據(jù)相關(guān)數(shù)據(jù)信息的屬性(包括商業(yè)屬性和人身屬性等)、所屬領(lǐng)域和類別、可對(duì)數(shù)據(jù)信息權(quán)利人造成的影響等多方面對(duì)其分類,再根據(jù)具體的類別給予相應(yīng)級(jí)別的保護(hù)。

    此外,企業(yè)要推動(dòng)數(shù)據(jù)防竊密、防篡改、防泄露等安全技術(shù)的研發(fā)和部署,有效降低不法分子竊密風(fēng)險(xiǎn)；監(jiān)管部門(mén)應(yīng)進(jìn)一步加大對(duì)電信詐騙、網(wǎng)絡(luò)詐騙等違法犯罪活動(dòng)的打擊力度,保護(hù)消費(fèi)者的合法權(quán)益。

    隨著移動(dòng)互聯(lián)網(wǎng)時(shí)代的發(fā)展，個(gè)人信息價(jià)值逐漸凸顯，例如新聞、游戲、社交、金融等都是個(gè)性化定制，每個(gè)人在不同平臺(tái)都有相應(yīng)的一套賬戶密碼體系，為適應(yīng)這一變化，互聯(lián)網(wǎng)安全技術(shù)正在發(fā)生本質(zhì)的變化。具體來(lái)說(shuō)，傳統(tǒng)的網(wǎng)絡(luò)安全應(yīng)對(duì)的是攻防，即與黑客進(jìn)行此消彼長(zhǎng)的對(duì)抗，但上層業(yè)務(wù)的安全往往易被人忽略而出現(xiàn)問(wèn)題，在應(yīng)對(duì)個(gè)人化攻擊中會(huì)顯得疲軟乏力，這給新一代的信息安全技術(shù)帶來(lái)巨大的發(fā)展空間。

    隨著信息技術(shù)的蓬勃發(fā)展和深入應(yīng)用，網(wǎng)絡(luò)成為人類活動(dòng)的重要平臺(tái)。一個(gè)安全穩(wěn)定繁榮的網(wǎng)絡(luò)空間，對(duì)各國(guó)乃至世界都具有重要意義，它不僅關(guān)乎人民群眾切身利益，也事關(guān)國(guó)家安全和社會(huì)穩(wěn)定。而網(wǎng)絡(luò)身份的可信，則是網(wǎng)絡(luò)空間安全穩(wěn)定繁榮的重要基石。首先，網(wǎng)絡(luò)可信身份能夠建立網(wǎng)絡(luò)身份與現(xiàn)實(shí)身份的綁定關(guān)系，實(shí)現(xiàn)網(wǎng)絡(luò)行為不可抵賴，是數(shù)字經(jīng)濟(jì)繁榮發(fā)展的基礎(chǔ)，有助于增強(qiáng)國(guó)家整體競(jìng)爭(zhēng)實(shí)力。其次，網(wǎng)絡(luò)可信身份具備優(yōu)異的安全性能，可以抵御各類身份盜用、網(wǎng)絡(luò)欺詐、網(wǎng)絡(luò)攻擊等行為，是解決一系列網(wǎng)絡(luò)安全問(wèn)題的重要手段。再次，建立網(wǎng)絡(luò)空間可信身份體系，可以對(duì)網(wǎng)絡(luò)空間實(shí)體實(shí)施更有效的管理和更高效的服務(wù)，提升網(wǎng)絡(luò)空間社會(huì)治理能力和水平，是網(wǎng)絡(luò)空間國(guó)家主權(quán)的重要內(nèi)容。

    2017年我國(guó)網(wǎng)絡(luò)身份認(rèn)證信息安全規(guī)模112.1億元，其中，硬件產(chǎn)品市場(chǎng)占整體市場(chǎng)的一半左右，軟件產(chǎn)品占信息安全整體市場(chǎng)的4/10左右，服務(wù)占1/10左右。

中國(guó)網(wǎng)絡(luò)身份認(rèn)證信息安全產(chǎn)品結(jié)構(gòu)

資料來(lái)源：智研咨詢整理

網(wǎng)絡(luò)身份認(rèn)證信息安全產(chǎn)業(yè)鏈

資料來(lái)源：智研咨詢整理

    網(wǎng)絡(luò)身份認(rèn)證信息安全行業(yè)的下游行業(yè)為銀行業(yè)、電子商務(wù)、電子政務(wù)、企事業(yè)OA/VPN 系統(tǒng)、第三方支付、移動(dòng)支付、云計(jì)算、智能卡等各行各業(yè)。隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展和信息技術(shù)的不斷進(jìn)步，互聯(lián)網(wǎng)在帶來(lái)便利性的同時(shí)，各類黑客技術(shù)和木馬攻擊不斷出現(xiàn)，專門(mén)針對(duì)網(wǎng)上銀行服務(wù)的欺詐和病毒攻擊現(xiàn)象與日俱增，信息安全問(wèn)題也日益嚴(yán)峻，各行各業(yè)的信息系統(tǒng)均面臨信息安全問(wèn)題，網(wǎng)絡(luò)身份認(rèn)證作為防護(hù)網(wǎng)絡(luò)安全的第一道關(guān)口，是信息安全的基礎(chǔ)。隨著網(wǎng)上銀行的推廣和發(fā)展以及其他信息系統(tǒng)安全性要求的提高，網(wǎng)絡(luò)身份認(rèn)證市場(chǎng)將面臨巨大的市場(chǎng)增長(zhǎng)需求。