筑牢信息共享安全边界

筑牢信息共享安全边界 字体： 小 中 大 分享到： 筑牢信息共享安全边界 2021-11-01 08:21:38 来源：人民日报

王鹏佐(新华社记者)

核心阅读

很多用户在跨平台使用智能设备应用时，往往会有这样的困惑:为什么在一个平台搜索到的内容会被推送到另一个平台？存储在各种应用中的个人信息能否妥善保管？

11月1日，《个人信息保护法》正式实施，个人信息安全将得到全面保护。建立信息使用的安全边界需要监管体系、企业责任和用户意识的共同推动。

还在浏览楼盘信息，就接到了推销电话；注册会员后，推销短信会铺天盖地；搜索一件商品后，我经常收到类似商品的广告...这些经历让很多用户很困惑:谁动了我的个人信息？为什么手机这么“懂”我？

个人信息一定要妥善保管。

随着移动互联网的快速发展，各类手机app和小程序已经成为人们社交、日常生活和学习工作中不可或缺的一部分。那么，海量的个人信息都存储在哪里呢？

吕蒙科技集团副总裁李晨介绍，各类应用的后端都会有一个数据存储环境，大量的应用数据和个人信息都存储在数据库中。比如，人们使用各种社交app，上面发布的文字或图片会产生数据，这些数据经过处理，通过网络传输，最终存储在后端数据库中。数据库一般位于企业数据中心或云服务提供商提供的“云”中。数据库和其中的数据由商家和应用运营商维护和保存。

个人信息会被“肆意”使用吗？

李晨表示，企业收集的个人信息能否得到有效保护，在一定程度上取决于企业的数据安全控制水平。今年9月1日正式实施的数据安全法，以及相关国家和行业标准，都要求企业提高数据安全管控能力。然而，技术的不断发展对企业数据安全能力提出了更高的要求。不同企业的数据安全建设水平不同，导致部分用户个人信息仍存在被非法获取、滥用和泄露的风险。

类似的隐患还包括人脸等生物信息。APP专项治理工作组发布的《人脸识别应用公开研究报告》显示，64.39%的受访者认为人脸识别技术存在被滥用的倾向，30.86%的受访者曾因人脸信息泄露和滥用遭受损失或隐私被侵犯。这种风险也从线上延伸到线下。此前有媒体报道，售楼处愿意收集和识别人脸信息。不久前，***人民***发布司法解释，规范人脸识别的应用。

信息收集不得超出范围。

北京市民刘女士每次下载该应用程序或授权使用个人信息时，都会浏览隐私政策条款。然而，她发现这些说明要么非常冗长，要么非常隐蔽，“对普通用户不太友好”。

隐私政策(Privacy policy)被认为是网络服务提供商(企业)与用户之间的契约，用于陈述企业如何收集、使用和保护用户的个人信息。

北京贾云律师事务所副主任赵占领表示，《网络安全法》规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则。个人信息收集的范围应当与所提供的产品和服务直接相关，不得超出这一必要范围。同时，在收集用户敏感个人信息时，应取得用户的明确同意，而不是简单地默认勾选用户协议。

目前仍有部分应用存在超范围收集个人信息的情况，例如，收集个人信息过多、要求权限过大、强制用户使用定向推送功能、私自与第三方共享用户信息、无法注销账号等。

对于个人用户来说，一方面无法确定企业在收集其个人信息后会如何使用、保护以及是否会被泄露或滥用。即使有顾虑，在面对“无权限、无APP”、“频繁申请权限”、“权限要求过高”等问题时，也往往会选择妥协。同时，在遇到个人信息被侵犯的问题时，有些人会因为保护意识不强、维权成本高、时间预测（数据为往年仅供参考）长、举证难而选择放弃维权。

往年以来，***网信办等四部门持续开展全国违法违规收集使用个人信息专项治理。检测出数万个app，1000多个问题严重的app被公开曝光、约谈、下架等。采取了处罚措施，发现并监管了一大批强制授权、过度索赔、超范围收集个人信息的app，治理取得丰硕成果。

只分享必要的个人信息。

浙江杭州的王女士在某购物app中搜索电视商品后，发现相关商品的推荐也出现在手边打开的另一个APP中。“其他app怎么知道我搜了电视？”

文海律师事务所合伙人杨建远分析，手机用户隐私泄露的主要担忧是跨平台广告推送和个性化内容推荐。“相当一部分跨平台的广告推送或内容推荐发生在大型互联网平台的关联公司或授权合作伙伴之间。”杨建远说，如果你查阅一些大型互联网平台的隐私政策，会发现其中有“与关联公司共享”、“与授权合作伙伴共享”等条款。从技术角度来看，每个移动电话设备都有一个比较好的标识符。当用户在同一个手机设备上使用不同的应用时，比较好标识符可以被应用追踪，可以准确地进行跨平台的广告推送和效果追踪。此外，当用户浏览网页时，浏览器的cookie技术也会记录使用足迹。

***营销时代，跨平台广告推送和个性化内容推荐越来越频繁。用户需要担心这个吗？杨建元表示，《个人信息保护法》规定，通过自动化决策向个人进行信息推送和商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。《信息安全技术个人信息安全标准》指出，收集个人信息后，个人信息处理者应当立即对其进行去识别。但在大数据时代，如果数据存储不当或者访问和使用权管理不严格，借助数据挖掘和关联匹配技术，去身份化的信息仍然存在暴露个人敏感身份信息的风险。为防范这些风险，互联网公司应以法律手段严格规范收集、存储、共享和使用个人信息的行为，即使是关联公司也应仅共享必要的个人信息。此外，用户还应加强隐私保护意识，在安装和使用应用时注意阅读隐私条款。比如一些应用的个性化广告推荐选项是默认开启的，用户可以选择关闭。

目前，我国已经形成了较为完整的个人信息保护法律体系，涵盖民法典、刑法、未成年人保护法、电子商务法、网络安全法、广告法、消费者权益保护法、数据安全法、个人信息保护法等。构建个人信息使用的安全边界，离不开监管要求、企业责任和用户意识的共同推动。

李晨建议，监管机构应加强监管和处罚力度，为用户提供便捷的维权渠道；企业应当承担保护用户个人信息的责任和义务，遵守个人信息保护相关法律法规，守住合规红线；用户要提高个人信息保护意识和数字素养。(记者关吴)据

【纠错】