為落實《中華人民共和國網絡安全法》關於個人信息收集合法、正當、必要的原則,規範App個人信息收集行為,保障公民個人信息安全,國家網際網路信息辦公室研究起草了《常見類型移動網際網路應用程式(App)必要個人信息範圍(徵求意見稿)》,於12月1日起向社會公開徵求意見,意見反饋截至12月16日。該文件規定了旅遊服務類、酒店服務類等38類常見類型App必要的個人信息範圍。
該文件明確,必要個人信息是指保障App基本功能正常運行所必須的個人信息。只要用戶同意收集必要個人信息,App不得拒絕用戶安裝使用。其中,旅遊服務類App必要個人信息包括註冊用戶行動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一);出行人旅遊目的地、旅遊時間;出行人姓名、證件類型和號碼。酒店服務類App必要個人信息包括註冊用戶行動電話號碼或其他真實身份信息(App提供者提供多種選項,由用戶選擇其一);住宿人姓名、聯繫方式;入住、退房時間和入住酒店名稱。
不給個人信息就不能用?App的「霸道」該管!
絕大多數用戶應該都遇到過這種情況:打開一款新下載的手機APP,首先會彈出一個要求授權的頁面或者相關提示,不點同意就無法正常使用該APP;可點了同意,有時冗長的隱私條款、晦澀的專業術語之下,用戶卻很可能把自己的個人信息稀裡糊塗交了出去。
對於拒絕個人信息授權就不讓用APP的「霸道」,這一回國家網信辦要動真格了!日前,國家網信辦就《常見類型移動網際網路應用程式(App)必要個人信息範圍(徵求意見稿)》,向社會公開徵求意見。該徵求意見稿規定了地圖導航、網絡約車、即時通信等38類常見類型App必要個人信息範圍。根據該徵求意見稿,必要個人信息是指保障App基本功能正常運行所必須的個人信息,缺少該信息App無法提供基本功能服務。只要用戶同意收集必要個人信息,App不得拒絕用戶安裝使用。
這一文件的確打中了多年來個人信息保護的痛點。近年來移動網際網路應用程式(App)得到廣泛應用,的確在促進經濟社會發展、服務民生等方面發揮了重要作用;但同時,App超範圍收集、強制收集用戶個人信息普遍存在,用戶拒絕同意就無法安裝使用。
過度收集個人信息及其帶來的個人信息濫用,已經帶來了許多社會問題。例如在瀏覽器搜索某些關鍵詞後,網頁的廣告位便頻繁出現該關鍵詞相關的廣告;在電商平臺購物後,轉眼在自己的社交平臺也看到了所購物品的廣告——這樣「驚」準廣告背後,就是各類平臺在搜集用戶的上網痕跡。還有諸如各類「精準詐騙」,一些平臺在掌握大量用戶個人信息的同時,安防技術卻相對滯後,導致用戶信息洩露呈現渠道多、竊取違法行為成本低、追查難度大等特點,給不法分子以可趁之機,嚴重危害人民群眾財產安全。
只有必要的個人信息才允許收集,這是一條不應逾越的紅線。網絡安全法規定,網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則。法律所強調的「必要性原則」,要求APP自我限制信息收集範圍,不應收集對提供服務而言不必要的個人信息。當前,一些APP所收集使用的用戶個人信息並不是開展安全、高效、便利的服務所必需的,無論內容還是範圍都過於寬泛。實際上,只有那些對開展相關服務而言非收集不可、不收集就無法滿足用戶服務需要的信息才應被收集,而諸如以精準分發廣告、推廣產品為目的而收集的個人信息,顯然與用戶當前需要無關,就超出了收集的必要限度。
再好的創新,也不能以侵害用戶合法權利為代價。因此我們看到,此次徵求意見稿中,對網絡直播類、在線影音類、短視頻類、拍攝美化類、應用商店類等多種與老百姓日常生活密切相關的App,均要求「無須個人信息,即可使用基本功能服務」,這都是必要性原則的體現。當然,APP 個人信息保護問題不僅與 APP 自身有關,還涉及行動裝置生產商(手機廠商)、APP 分發平臺(應用商店)、第三方(第三方 SDK、合作夥伴)等多方主體,是一個複雜的移動生態問題。因此,要保護好用戶個人信息,除了監管發力、用戶維權意識增強之外,更需要推動多方合力的形成,共同營造一個健康、合規的行業生態。(人民日報政文微信公號 張璁)
個人信息是被誰「偷走」的?酒店快遞外賣成信息洩露重災區
4日,北京市第三中級法院通報了該院審理涉公民個人信息犯罪案件的情況及典型案例。根據三中院的統計,該院自2013年7月建院至今,轄區法院共受理涉及公民個人信息犯罪公訴案件75件,涉案人員104人,涉案單位2個,其中上訴案件16件。
記者梳理這些案件,發現近幾年被侵犯的公民個人信息數量從「倍數級」進階至「指數級」爆炸式增長,酒店、快遞公司、外賣平臺等企業成為信息洩露的重災區。
洩露了啥:徵信行蹤住宿房產越來越多的個人信息被洩露
從信息特點看,被侵犯的公民個人信息數量從「倍數級」進階至「指數級」爆炸式增長。在信息類型上,涉案信息過去主要是姓名、身份證號、手機號、住址等傳統靜態信息,現在增加了徵信信息、定位信息、行蹤軌跡信息、住宿信息、房屋產權信息等多方面、多維度的動態信息。從個案上看,被侵犯的公民個人信息數量日益龐大,儲存信息的載體從傳統的U盤、硬碟等變為儲存量更大的雲盤。
因公民個人信息內容存在重複、混同、龐雜的特點,且數量巨大,信息本身識別困難,鑑定機構在認定涉案信息數量方面存在一定難度。與之相對的卻是,公民個人信息被打包出售、價格低廉,甚至在犯罪分子間進行二次販售。
如何洩露:木馬伺服器數據竊取暗網手段太多監管難度加大
從犯罪手段看,獲取公民個人信息的手段不僅包括通過木馬程序、改寫網址、架設伺服器、搭建網站等有技術含量的方式對特定機關、機構的資料庫資料秘密竊取,也包括通過流動QQ群、微信群、論壇等網絡平臺明碼標價購買,以及利用「大數據截取」或「暗網進入」等「暗網」方式進行公民個人信息的非法交易等。
暗網確切的技術名詞叫做「隱藏的伺服器」,是需要通過特殊軟體、授權才能連接的網絡,更是暗黑交易的絕佳隱匿場所。在暗網,像比特幣、萊特幣等加密貨幣有了「流通」的價值。
由於「暗網」的訪問門檻低、用戶匿名、交易隱蔽,交易方式亦從「現實貨幣」演進為「虛擬貨幣」,導致交易對方信息難以查詢、交易金額難以認定,給偵查機關調查下遊犯罪及計算犯罪分子違法所得造成阻礙。
有啥後果:綁架詐騙敲詐勒索極易引發關聯犯罪
在犯罪主體上,近年來出現了公司、公司總經理、公司職員共同承擔刑事責任的情形,企業如酒店、快遞公司、外賣平臺等成為信息洩露的重災區。
單位職員利用職務之便獲取公民個人信息、犯罪分子通過惡意軟體等方式侵入企業獲取個人信息現象多發;涉案公民個人信息歸屬主體類型化明顯,如考生群體、老年人群體、新生兒群體等。
從危害後果看,公民個人信息因涉及住宿、財產、徵信、軌跡等敏感內容,極易引發綁架、詐騙、敲詐勒索等關聯犯罪。犯罪實踐中,行為人利用非法獲取的公民個人信息實施的犯罪主要有詐騙罪,比如向不特定對象發送「中獎」信息;合同詐騙罪,比如利用某些理財軟體漏洞騙取財物;敲詐勒索罪,比如利用酒店開房記錄等住宿信息對相關人員進行勒索。
但囿於信息洩露違法所得金額的限制,對於涉公民個人信息犯罪違法所得的追繳與罰金的財產性處罰,卻遠不足以填平公民個人信息洩露造成的次生危害。
典型案例一:單位犯罪!為電話推銷獲取公民信息
為了電話推銷而侵犯公民信息,不僅牽連員工「受過」,單位也難逃刑責。
北京某文化傳播有限公司為推銷演講培訓課程,僱傭被告人孫某等20餘人從事電話銷售工作,並通過入職培訓、口口相傳等方式,授意被告人張某等人加入以信息資源交流為目的的QQ群,獲取包括姓名、手機號碼等在內的公民個人信息。
以單位名義由銷售人員實施侵犯公民個人信息,且獲取的銷售利潤歸公司所有,該公司的行為符合單位犯罪的條件,因此被列為刑事被告。
最終,法院以侵犯公民個人信息罪判處該公司罰款50萬元,判處被告人張某、孫某等11人有期徒刑1年10個月至有期徒刑8個月、緩刑1年不等的刑罰,並處相應罰金。
被另案處理的該公司總經理劉某,作為直接負責的主管人員,組織、授意公司員工向他人非法提供公民個人信息,為公司獲取經濟利益,同樣被以侵犯公民個人信息罪判處有期徒刑3年6個月,並處罰金3萬元。
典型案例二:「內鬼」洩露!中介串通物業竊取業主信息
近年來,大面積的用戶個人信息洩露事件屢見不鮮,除了網絡「黑客」,更多的是因為企業「內鬼」。
在三中院通報的典型案例中,有一起房產中介串通小區物業人員竊取業主信息的案件。徐某是某物業公司的內保員,歐陽某是一名房產中介。因歐陽某多次與徐某接觸,商談購買北京某小區的業主信息,因此徐某夥同物業公司的中控員李某、熊某和負責秩序維護的吳某等人,非法進入物業公司電腦,竊取業主信息4000餘條,並以人民幣4000元的價格出售給歐陽某。
物業公司出具材料證明,徐某等4人均無權拷貝業主信息。法院經審理以非法獲取公民個人信息罪,對歐陽某和徐某判處有期徒刑1年,罰金2000元;對李某、熊某、吳某三人判處緩刑,並處罰金。
在另一起某知名招聘平臺員工售賣個人簡歷信息案中,被告人申某、李某利用公司系統漏洞,私自將公司的15萬餘條個人簡歷信息,包括姓名、身份證號、住址、電話、受教育程度、工作單位、薪資收入等非法出售或提供給他人;被告人餘某從中非法獲取10萬餘條。三名被告人被法院以侵犯公民個人信息罪分別判處期徒刑3年6個月至1年6個月不等,並分處罰金。
典型案例三:中間商倒賣!倒手1.8萬條信息賺差價
遭到洩露的公民信息常常在「二道販子」手中流轉,被層層加價倒賣,從而形成黑色產業鏈。「二道販子」倒手雖然賺的錢不多,卻可能因此付出沉重的代價。
大學畢業的李某在某貼吧看到販賣電商平臺客戶信息的廣告,遂萌生轉賣信息賺取差價的想法。2019年11月,李某以人民幣1.3萬元的價格向他人倒賣北京某貿易公司的客戶購物交易信息1.8萬餘條,一審法院以侵犯公民個人信息罪判處李某有期徒刑3年2個月,罰金1萬元。
李某認為量刑過重,提出上訴。三中院審理認為,李某販賣的每條信息都包含公民的姓名、手機號碼、地址、購買商品、購買價格、購買時間等內容,屬於交易信息,結合販賣信息的數量,屬於法條中「情節特別嚴重」的情形,認為一審判決量刑適當,遂裁定駁回上訴。
值得注意的是,根據法律規定,非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等可能影響他人人身、財產安全的信息500條以上,即視為「情節嚴重」,處三年以下有期徒刑或拘役,並處或單處罰金;數量或者數額達到規定標準10倍以上的,即視為「情節特別嚴重」,處三年以上七年以下有期徒刑,並處罰金。
即將於明年1月1日起實施的民法典人格權編明確個人信息受法律保護。三中院相關負責人表示,我國刑法、網絡安全法、民法典和正在制定的個人信息保護法等法律規定設定了法律紅線,有助於構建起公民個人信息民事、行政、刑事的全方位保護體系。但從個人角度,也要增強個人信息保護意識,從源頭減少、杜絕信息的洩露。
比如,不隨意填寫、分享、丟棄個人信息,身份證等證件複印時一定要寫明用途,妥善保管、處理好包含個人信息的票據,如快遞單、銀行卡交易小票等;注意網絡安全,儘量不在公共設備上輸入個人帳號及密碼,不輕易接收和安裝不明軟體,不隨便點擊聊天中對方發來的連結,避免在朋友圈過度暴露自己的個人情況、子女信息等;個人證件丟失或者個人信息洩露後,要第一時間補辦證件、更換帳號;個人信息一旦洩露,要第一時間報警。
責編:劉曉蒙