正在阅读:

用户信息保护政策透明度报告:千家常用网站、APP过半评分为“低”级

扫一扫下载界面新闻APP

用户信息保护政策透明度报告:千家常用网站、APP过半评分为“低”级

在参与测评的生活服务、休闲娱乐、医疗健康等各个领域的1000家常用平台中,无一平台达到“高”评级,超过50%的网站与APP评分为“低”级别。这表明,在无相关法律规范及缺乏外部监督的情况下,互联网企业对隐私政策的重视程度并不高。

图片由会务方提供。

《中华人民共和国网络安全法》于2017年6月1日起施行,这是我国网络领域的基础性法律,明确加强了对个人信息的保护。在该法生效前一天,由南方都市报、北京玺泽律师事务所主办、中国政法大学传播法研究中心承办的“个人信息保护促进联盟成立仪式暨用户信息保护政策透明度报告发布会”在京举行,据主办方透露,此次大规模地了解互联网企业隐私政策透明度的测评,在国内尚属首次。

报告结果显示,在参与测评的生活服务、休闲娱乐、医疗健康等各个领域的1000家常用平台中,无一平台达到“高”评级,超过50%的网站与APP评分为“低”级别。这表明,在无相关法律规范及缺乏外部监督的情况下,互联网企业对隐私政策的重视程度并不高。

700元就能买到包括乘机、开房、上网吧等的他人行踪,600元买到他人精准定位,300元买到高考以来的全部开房记录及四大银行存款余额信息……曾有南都记者对信息黑灰产业链做过暗访。“不仅如此,我们还发现一个技术小白,经过并不复杂的培训就可以成为可轻易获得用户个人信息的高手”,《南方都市报》编委会委员虞伟在发布会开场即发出感慨,“个人信息泄露已经到了十分严峻的程度”。

多年来致力于发展自主可控信息安全技术的中国工程院院士倪光南则从技术角度对保护信息安全性的重要性展开论述:“高科技手段与信息安全关联紧密,当前得到越来越多应用的指纹、声音、虹膜等生物识别技术,不需要繁琐的按键密码即可完成认证,但另一方面这类技术“一旦泄露不可更改”的生活特征也决定了应用上涉及重要隐私信息的极大风险。因此,需要我们在使用的时候树立严格的规范,需要制度来作保障。”在他看来,在大数据不断发展的今天,不注重个人隐私的保护,势必会造成严重的后果,2016年为信息泄露付出了生命代价的山东徐玉玉案,即是明证。

此份报告的调查显示,网站和APP泄露的隐私,是非法交易中个人信息的主要来源。用户上网的习惯偏好、日常的行动轨迹、甚至连通话记录、手机里安装的应用都可能被获知,但很多时候,用户对此一无所知。

然而目前,在国内并没有相关的第三方隐私保护组织,也没有一部直接针对个人信息保护的基本法律。关于个人信息保护的规定散见于民法、刑法、网络安全法及其他特别领域的法律法规中。其中,2017年6月1日起施行的《网络安全法》首次在法律层面规定了个人信息保护的基本原则。《网络安全法》明确指出,收集适用信息应经用户明示同意,不得收集无关信息,不得向他人提供个人信息,经过处理无法识别特定个人且不能复原的除外,不得非法出售个人信息。

用户个人信息保护究竟难在哪里?亚太网络法律研究中心主任、北京师范大学法学院教授刘德良认为,互联网信息黑色产业链的本质问题是信息滥用,而我们的立法里面大都把个人信息等同于隐私,在如何有效防止个人信息滥用方面却提及甚少。

此外,多位与会专家认为,解决个人信息保护,立法是一个方面,可能执法更重要。“执法方面最主要是取证难的问题,不仅涉及到法律层面的因素,还有技术层面的因素,再者,个人信息的保护牵涉面广,情况也较复杂,需要在政府管理、(企业)利益诉求与个人保护方面得到平衡”,国家工业信息安全发展研究中心网络与信息安全研究部主任助理肖俊芳指出。

中国政法大学传播法研究中心副主任、主持人朱巍则从实名制的角度进行分析,他提出,《网络安全法》要求网络实名制,事实上北京2016年底已经实现了手机号码的全部实名,但是用户与号码完全对应上的,估测不超过90%,剩余的10%的漏洞便是电信诈骗作恶的空间。因此说,表面的实名制不能解决电信诈骗的问题,甚至还会有加深的可能。

作为玺泽律师事务所测评代表的程贞及南方都市报记者、测评组专家李玲介绍了此次评测标准的认定。她们在研究了国内的法律法规、行业标准、隐私政策的文本并同国外的相关法律规定进行对比分析后,以1000家常用网站和APP作为样本,以履行必要的告知和警示义务、用户选择和同意权、向第三方披露用户个人信息、特殊情形下个人信息的处理原则等13大项作为标准,对隐私政策进行测评。

测评发现,从得分情况来看,绝大部分的网站和APP隐私条款非常简单,内容多是免责声明,约束注册用户的行为,对于如何使用个人信息、是否与第三方或者是关联公司共享个人信息等的表述大都语意模糊,对企业自己行为提及甚少;很多平台没有在隐私政策中公布生效信息,或者是政策修改的渠道和时间,这也意味着平台可以不经用户同意随时修改条款,这在一定程度上就损害了用户的知情权。

对于以上提到的个人信息安全保护问题如何解决,参与研讨的专家学者也给出了不同建议。

肖俊芳认为,首先在立法上,应出台的不仅仅是某一部法律或者是部门规章,而应是一整套的体系,从各个方面对《网络安全法》做一个法律层面上或者是政策文件上的顶层设计;其次,在法律施行过程中应平衡各方的诉求,明确信息主体和权责,在个人信息顺畅流通和保护利益之间寻求平衡;最后,信息保护意识的普及、个人信息保护力度的提高也至关重要。

另一层面上,保护个人信息是否会阻碍大数据应用的问题也备受关注,“保护信息恰恰是使大数据得到更好的应用,使大数据进入一个法治的轨道”,中国信息安全研究院副院长左晓栋认为,但在现实中,在没有完备信息规范的情况下,很多服务提供者要求用户留下尽可能全面的个人信息,实际上是远超出需要的,这方面应得到规范。另外他建议,鼓励更多地使用匿名化、伪匿名化措施:既可以充分保护个人信息,也有利于大数据的应用。

“在发展过程中,综合性的问题要完全解决,无疑需要相当长的时间。这其中,需要加强法制上的建设;应用层面,手机制造商、软件开发商也需要行业自律,同时还需要有相关第三方的监督,需要协会、社团工作的开展。比如,今天要成立个人信息保护联盟,就充分发挥了各方面的作用,反映了广大消费者的利益,开了个好头”,倪光南评价道。

未经正式授权严禁转载本文,侵权必究。

评论

暂无评论哦,快来评价一下吧!

下载界面新闻

微信公众号

微博

用户信息保护政策透明度报告:千家常用网站、APP过半评分为“低”级

在参与测评的生活服务、休闲娱乐、医疗健康等各个领域的1000家常用平台中,无一平台达到“高”评级,超过50%的网站与APP评分为“低”级别。这表明,在无相关法律规范及缺乏外部监督的情况下,互联网企业对隐私政策的重视程度并不高。

图片由会务方提供。

《中华人民共和国网络安全法》于2017年6月1日起施行,这是我国网络领域的基础性法律,明确加强了对个人信息的保护。在该法生效前一天,由南方都市报、北京玺泽律师事务所主办、中国政法大学传播法研究中心承办的“个人信息保护促进联盟成立仪式暨用户信息保护政策透明度报告发布会”在京举行,据主办方透露,此次大规模地了解互联网企业隐私政策透明度的测评,在国内尚属首次。

报告结果显示,在参与测评的生活服务、休闲娱乐、医疗健康等各个领域的1000家常用平台中,无一平台达到“高”评级,超过50%的网站与APP评分为“低”级别。这表明,在无相关法律规范及缺乏外部监督的情况下,互联网企业对隐私政策的重视程度并不高。

700元就能买到包括乘机、开房、上网吧等的他人行踪,600元买到他人精准定位,300元买到高考以来的全部开房记录及四大银行存款余额信息……曾有南都记者对信息黑灰产业链做过暗访。“不仅如此,我们还发现一个技术小白,经过并不复杂的培训就可以成为可轻易获得用户个人信息的高手”,《南方都市报》编委会委员虞伟在发布会开场即发出感慨,“个人信息泄露已经到了十分严峻的程度”。

多年来致力于发展自主可控信息安全技术的中国工程院院士倪光南则从技术角度对保护信息安全性的重要性展开论述:“高科技手段与信息安全关联紧密,当前得到越来越多应用的指纹、声音、虹膜等生物识别技术,不需要繁琐的按键密码即可完成认证,但另一方面这类技术“一旦泄露不可更改”的生活特征也决定了应用上涉及重要隐私信息的极大风险。因此,需要我们在使用的时候树立严格的规范,需要制度来作保障。”在他看来,在大数据不断发展的今天,不注重个人隐私的保护,势必会造成严重的后果,2016年为信息泄露付出了生命代价的山东徐玉玉案,即是明证。

此份报告的调查显示,网站和APP泄露的隐私,是非法交易中个人信息的主要来源。用户上网的习惯偏好、日常的行动轨迹、甚至连通话记录、手机里安装的应用都可能被获知,但很多时候,用户对此一无所知。

然而目前,在国内并没有相关的第三方隐私保护组织,也没有一部直接针对个人信息保护的基本法律。关于个人信息保护的规定散见于民法、刑法、网络安全法及其他特别领域的法律法规中。其中,2017年6月1日起施行的《网络安全法》首次在法律层面规定了个人信息保护的基本原则。《网络安全法》明确指出,收集适用信息应经用户明示同意,不得收集无关信息,不得向他人提供个人信息,经过处理无法识别特定个人且不能复原的除外,不得非法出售个人信息。

用户个人信息保护究竟难在哪里?亚太网络法律研究中心主任、北京师范大学法学院教授刘德良认为,互联网信息黑色产业链的本质问题是信息滥用,而我们的立法里面大都把个人信息等同于隐私,在如何有效防止个人信息滥用方面却提及甚少。

此外,多位与会专家认为,解决个人信息保护,立法是一个方面,可能执法更重要。“执法方面最主要是取证难的问题,不仅涉及到法律层面的因素,还有技术层面的因素,再者,个人信息的保护牵涉面广,情况也较复杂,需要在政府管理、(企业)利益诉求与个人保护方面得到平衡”,国家工业信息安全发展研究中心网络与信息安全研究部主任助理肖俊芳指出。

中国政法大学传播法研究中心副主任、主持人朱巍则从实名制的角度进行分析,他提出,《网络安全法》要求网络实名制,事实上北京2016年底已经实现了手机号码的全部实名,但是用户与号码完全对应上的,估测不超过90%,剩余的10%的漏洞便是电信诈骗作恶的空间。因此说,表面的实名制不能解决电信诈骗的问题,甚至还会有加深的可能。

作为玺泽律师事务所测评代表的程贞及南方都市报记者、测评组专家李玲介绍了此次评测标准的认定。她们在研究了国内的法律法规、行业标准、隐私政策的文本并同国外的相关法律规定进行对比分析后,以1000家常用网站和APP作为样本,以履行必要的告知和警示义务、用户选择和同意权、向第三方披露用户个人信息、特殊情形下个人信息的处理原则等13大项作为标准,对隐私政策进行测评。

测评发现,从得分情况来看,绝大部分的网站和APP隐私条款非常简单,内容多是免责声明,约束注册用户的行为,对于如何使用个人信息、是否与第三方或者是关联公司共享个人信息等的表述大都语意模糊,对企业自己行为提及甚少;很多平台没有在隐私政策中公布生效信息,或者是政策修改的渠道和时间,这也意味着平台可以不经用户同意随时修改条款,这在一定程度上就损害了用户的知情权。

对于以上提到的个人信息安全保护问题如何解决,参与研讨的专家学者也给出了不同建议。

肖俊芳认为,首先在立法上,应出台的不仅仅是某一部法律或者是部门规章,而应是一整套的体系,从各个方面对《网络安全法》做一个法律层面上或者是政策文件上的顶层设计;其次,在法律施行过程中应平衡各方的诉求,明确信息主体和权责,在个人信息顺畅流通和保护利益之间寻求平衡;最后,信息保护意识的普及、个人信息保护力度的提高也至关重要。

另一层面上,保护个人信息是否会阻碍大数据应用的问题也备受关注,“保护信息恰恰是使大数据得到更好的应用,使大数据进入一个法治的轨道”,中国信息安全研究院副院长左晓栋认为,但在现实中,在没有完备信息规范的情况下,很多服务提供者要求用户留下尽可能全面的个人信息,实际上是远超出需要的,这方面应得到规范。另外他建议,鼓励更多地使用匿名化、伪匿名化措施:既可以充分保护个人信息,也有利于大数据的应用。

“在发展过程中,综合性的问题要完全解决,无疑需要相当长的时间。这其中,需要加强法制上的建设;应用层面,手机制造商、软件开发商也需要行业自律,同时还需要有相关第三方的监督,需要协会、社团工作的开展。比如,今天要成立个人信息保护联盟,就充分发挥了各方面的作用,反映了广大消费者的利益,开了个好头”,倪光南评价道。

未经正式授权严禁转载本文,侵权必究。