王超 張博卿

摘? ?要：在大數(shù)據(jù)時(shí)代，個(gè)人信息收集亂象突出，個(gè)人信息泄露事件頻發(fā)，數(shù)據(jù)黑色產(chǎn)業(yè)鏈逐漸完善，我國個(gè)人信息安全面臨著嚴(yán)峻的挑戰(zhàn)。與此同時(shí)，我國在個(gè)人信息保護(hù)方面還存在著法律法規(guī)原則分散、政府監(jiān)管能力不足、企業(yè)安全管理不規(guī)范等痛點(diǎn)難點(diǎn)問題，對此文章從國家、企業(yè)、個(gè)人三個(gè)維度，提出了加強(qiáng)個(gè)人信息保護(hù)的措施建議。

關(guān)鍵詞：信息收集亂象;信息泄露;數(shù)據(jù)黑色產(chǎn)業(yè)鏈;個(gè)人信息保護(hù)

Abstract： In the era of big data， the chaos of personal information collection is prominent， incidents of personal information leaks are frequent， and the data black industry chain is gradually improved， Chinas personal information security is facing severe challenges. At the same time， there are still some pain points and difficulties in the protection of personal information in China， such as decentralized laws and regulations， insufficient government supervision capabilities， and irregular corporate security management. In this regard， this paper proposes measures to strengthen the protection of personal information from the three dimensions of the state， the enterprise and the individual.

Key words： information collection chaos; information leakage; data black industry chain;? personal information protection

1 引言

在大數(shù)據(jù)時(shí)代，數(shù)據(jù)是一種重要的社會(huì)資源，并逐步成為重塑國家競爭優(yōu)勢、推進(jìn)經(jīng)濟(jì)高質(zhì)量發(fā)展的重要?jiǎng)幽?。然而，不斷凸顯的個(gè)人信息安全問題已成為影響數(shù)據(jù)價(jià)值釋放的“絆腳石”。當(dāng)前，個(gè)人信息收集亂象叢生，諸多APP利用隱私條款的默認(rèn)勾選、霸王條款獲取用戶信息，甚至在用戶未經(jīng)授權(quán)時(shí)奪取用戶信息;不法分子利用系統(tǒng)漏洞和黑客技術(shù)盜取個(gè)人信息，頻繁造成個(gè)人信息泄露;以數(shù)據(jù)交易、數(shù)據(jù)清洗、數(shù)據(jù)分析為核心的數(shù)據(jù)黑色產(chǎn)業(yè)鏈條也在逐漸完善。與此同時(shí)，我國個(gè)人信息保護(hù)還存在諸多痛點(diǎn)、難點(diǎn)問題，亟需研究解決。

2 我國個(gè)人信息安全面臨嚴(yán)峻挑戰(zhàn)

2.1 個(gè)人信息收集亂象突出

2.1.1 通過“默認(rèn)勾選”“套取”個(gè)人信息

近年來，默認(rèn)勾選已成為業(yè)內(nèi)信息收集、捆綁銷售的“通用”做法。2018年1月，支付寶引發(fā)年度賬單事件，支付寶在年度賬單的首頁左下方利用小字體、接近背景色和默認(rèn)勾選同意，讓相當(dāng)多的用戶在不知情的情況下“被同意”接受芝麻信用。3月，支付寶又由于默認(rèn)勾選“授權(quán)淘寶獲取你線下交易信息并展示”的選項(xiàng)，并將交易信息提供給支付寶、淘寶、天貓，而被用戶起訴，索賠2元。

2.1.2 利用“霸王條款”“強(qiáng)取”個(gè)人信息

APP通過過度索權(quán)、強(qiáng)制授權(quán)兩套組合拳，能輕易迫使用戶開通APP要求的各種權(quán)限，用戶若不同意則強(qiáng)制退出。2018年，一些網(wǎng)絡(luò)安全機(jī)構(gòu)在對中國電信APP進(jìn)行檢測時(shí)發(fā)現(xiàn)，用戶在初次安裝使用該APP時(shí)僅有存儲(chǔ)、電話、通訊錄和位置信息四項(xiàng)權(quán)限提示，但是隨后其還要獲取其他70項(xiàng)子權(quán)限，且修改通訊錄、讀取聯(lián)系人、錄音、修改通話記錄、撥打電話、發(fā)送短信等敏感項(xiàng)并不顯示通知，如用戶點(diǎn)擊不同意時(shí)，則應(yīng)用自動(dòng)退出。在2019年中央廣播電視總臺(tái)3·15晚會(huì)上，曝光了部分查社保、查違章的APP通過不平等、不合理?xiàng)l款的授權(quán)協(xié)議，強(qiáng)制索取用戶個(gè)人信息的亂象。

2.1.3 未經(jīng)授權(quán)，“奪取”個(gè)人信息

未經(jīng)用戶許可私自獲取用戶數(shù)據(jù)也是部分APP的慣用伎倆。2017年12月，國家計(jì)算機(jī)病毒應(yīng)急處理中心通過對互聯(lián)網(wǎng)監(jiān)測，發(fā)現(xiàn)《歡聊》（版本V2.0.1_0edd508）、《仿Iphone來電閃光》（版本V2.1.32）款移動(dòng)應(yīng)用均存在危險(xiǎn)行為代碼，存在竊取用戶隱私信息，造成用戶隱私泄露資費(fèi)消耗的情況。根據(jù)騰訊社會(huì)研究中心和DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心聯(lián)合發(fā)布的《2018年度網(wǎng)絡(luò)隱私及網(wǎng)絡(luò)欺詐行為研究分析報(bào)告》顯示，2017年上半年，25.3%的安卓系統(tǒng)APP存在越界獲取用戶隱私的行為;2018年上半年，該比例降低到5.1%;到2018年下半年，僅有2.0%的APP存在越界獲取手機(jī)隱私權(quán)限的行為。

2.2 個(gè)人信息成為數(shù)據(jù)泄露的重災(zāi)區(qū)

2.2.1 漏洞是數(shù)據(jù)泄露的重要源頭

2018年，F(xiàn)acebook全年三次被曝發(fā)生數(shù)據(jù)泄露事件，兩次都與系統(tǒng)漏洞直接相關(guān)，涉及約1億用戶。2018年9月，F(xiàn)acebook因安全漏洞遭黑客攻擊，導(dǎo)致3千萬用戶信息泄露，包括1.4千萬用戶的姓名、聯(lián)系方式、搜索記錄、登錄位置等敏感信息。12月，F(xiàn)acebook再次被曝因軟件漏洞可能導(dǎo)致6.8千萬用戶的私人照片泄露。2015年4月，我國超過30個(gè)省市的社保系統(tǒng)、戶籍查詢系統(tǒng)、疾控中心等系統(tǒng)被曝存在漏洞，可能導(dǎo)致個(gè)人身份證、社保參保信息、房屋產(chǎn)權(quán)、個(gè)人聯(lián)系方式等個(gè)人信息泄露，影響范圍數(shù)千萬人。此外，美國票務(wù)巨頭Ticketfly、面包連鎖店P(guān)anerabread以及谷歌等企業(yè)均因系統(tǒng)漏洞導(dǎo)致數(shù)據(jù)泄露。

4.2.2 切實(shí)承擔(dān)起保護(hù)用戶個(gè)人數(shù)據(jù)的責(zé)任

企業(yè)應(yīng)加強(qiáng)對處理個(gè)人信息的員工的約束，明確其安全職責(zé)，加強(qiáng)對員工的安全培訓(xùn);對訪問個(gè)人信息的內(nèi)部數(shù)據(jù)操作人員進(jìn)行嚴(yán)格的訪問權(quán)限控制;加強(qiáng)審計(jì)，確保數(shù)據(jù)操作雁過留痕。企業(yè)應(yīng)將個(gè)人信息保護(hù)理念融入企業(yè)運(yùn)營管理的全流程，在產(chǎn)品及服務(wù)設(shè)計(jì)階段進(jìn)行風(fēng)險(xiǎn)預(yù)測，將必要的隱私設(shè)計(jì)納入產(chǎn)品及服務(wù)的最初設(shè)計(jì)之中。定期開展個(gè)人信息安全影響評(píng)估，根據(jù)評(píng)估結(jié)果采取適當(dāng)措施，降低侵害個(gè)人隱私安全風(fēng)險(xiǎn)。

4.2.3 管理和技術(shù)手段結(jié)合保護(hù)用戶個(gè)人信息

針對云計(jì)算、大數(shù)據(jù)等新技術(shù)新業(yè)務(wù)帶來的個(gè)人信息保護(hù)挑戰(zhàn)，企業(yè)應(yīng)進(jìn)一步加強(qiáng)大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)安全防護(hù)技術(shù)手段建設(shè)，推進(jìn)大數(shù)據(jù)環(huán)境下防攻擊、防泄露、防竊取的監(jiān)測、預(yù)警、控制和應(yīng)急處置能力建設(shè)，提升重大安全事件應(yīng)急處理能力。

4.3 個(gè)人層面，提升個(gè)人信息保護(hù)意識(shí)

一方面，要充分認(rèn)識(shí)個(gè)人信息泄露的嚴(yán)重后果，不斷加強(qiáng)自我保護(hù)意識(shí)和提升保護(hù)技能，通過了解隱私政策、關(guān)閉非必要權(quán)限、增強(qiáng)社交隱私設(shè)置、加強(qiáng)對個(gè)性化標(biāo)簽和定向推送的管理等方式，避免個(gè)人信息泄露。

另一方面，了解個(gè)人信息保護(hù)相關(guān)法律法規(guī)，做到知法懂法守法用法。應(yīng)重點(diǎn)了解《中華人民共和國網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》等個(gè)人信息保護(hù)相關(guān)法律，一旦發(fā)現(xiàn)個(gè)人信息泄露和違法使用的行為立即向監(jiān)管部門舉報(bào)，依法維護(hù)好自身權(quán)益。

5 結(jié)束語

大數(shù)據(jù)時(shí)代，個(gè)人信息收集亂象突出，個(gè)人信息泄露事件頻發(fā)，以數(shù)據(jù)交易、數(shù)據(jù)清洗、數(shù)據(jù)分析為核心的數(shù)據(jù)黑色產(chǎn)業(yè)鏈條正逐漸完善。本文以個(gè)人信息安全亂象治理研究為切入點(diǎn)，針對我國在個(gè)人信息保護(hù)方面存在的法律法規(guī)規(guī)定原則分散、政府監(jiān)管能力不足、企業(yè)安全管理不規(guī)范等痛點(diǎn)難點(diǎn)問題，從國家、企業(yè)、個(gè)人三個(gè)維度，提出了加強(qiáng)個(gè)人信息保護(hù)的措施建議。

參考文獻(xiàn)

[1] 馮登國，張敏，李昊.大數(shù)據(jù)安全與隱私保護(hù)[J].計(jì)算機(jī)學(xué)報(bào)， 2014，37（01）：246-258.

[2] 方濱興，賈焰，李愛平，江榮.大數(shù)據(jù)隱私保護(hù)技術(shù)綜述[J].大數(shù)據(jù)，2016，2（01）：1-18.

[3] 張莉.數(shù)據(jù)治理與數(shù)據(jù)安全[M].北京：人民郵電出版社， 2019：108-120，242-253.

[4] 王超.從華為和騰訊數(shù)據(jù)之爭看規(guī)范用戶數(shù)據(jù)管理的重要性[J].網(wǎng)絡(luò)空間安全，2018，9（01）：27-29.

[5] 張博卿.我國大數(shù)據(jù)安全現(xiàn)狀、問題及對策建議[J].網(wǎng)絡(luò)空間安全，2018，9（08）：45-47+80.

[6] 李兆利.個(gè)人信息匿名化：大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)與利用的選擇與挑戰(zhàn)[J].湖南警察學(xué)院學(xué)報(bào)，2019，31（06）：21-29.

[7] 魏書音.個(gè)人信息保護(hù)制度研究[N].中國計(jì)算機(jī)報(bào)，2018-12-24（011）.

[8] 王超.個(gè)人信息保護(hù)規(guī)范助力走出APP隱私安全困境[N].中國計(jì)算機(jī)報(bào)，2018-05-28（012）.

[9] 史衛(wèi)民.大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的現(xiàn)實(shí)困境與路徑選擇[J].情報(bào)雜志， 2013（12）：158-163.

[10] 黃藍(lán).個(gè)人信息保護(hù)的國際比較與啟示[J].情報(bào)科學(xué)， 2014（01）：145-151.

[11] 趙陽.大數(shù)據(jù)時(shí)代對國家安全的挑戰(zhàn)及對策研究[D].濟(jì)南：山東師范大學(xué)，2015.

[12] 洪延青.網(wǎng)絡(luò)運(yùn)營者隱私條款的多角色平衡和創(chuàng)新[J].中國信息安全， 2017（9）：46-49.

[13] 魏書音.國外關(guān)于APP收集使用個(gè)人信息的立法狀況[J].中國信息安全，2019， 112（04）：58-61.