扫码登记、移动支付、刷脸就诊……随着“互联网+”日渐融入生活,老百姓跑窗口排长队的时间少了,动动手指在电脑手机上办业务的机会多了。
便利生活的背后,是“数字政府”建设的持续推进。当前,智慧城市建设如火如荼,“一网通办APP”“健康码”遍地开花,政务服务 “触网”提速。但个人信息数字化归集带来便利的同时,也面临前所未有的安全风险。
此前,网友“信息安全老骆驼”自述“丢手机后‘被网贷’”,犯罪分子正是通过某政务APP获取了他的身份证号等敏感信息。
这样的漏洞不是个例。在APP违法违规收集使用个人信息治理工作组11月通报的违规名单中,“鄂汇办”“皖事通”等政务APP赫然在列,被指存在“明文上传用户账户、密码”,“在申请打开可收集个人信息的位置权限时,未同步告知用户其目的”等多项问题。
“政务APP收集的海量个人敏感信息,一旦泄露或被非法使用,将会给个人和社会造成严重损害。”多位专家、律师在接受人民网记者采访时表示,个人信息收集不当、安全技术保障不足、专业管理人员缺失……当前我国政务APP在个人信息处理上存在诸多不足,相关部门应该提起重视,加强对个人信息处理的敬畏之心。
收集海量真实数据 政务APP责任重大
《2020全国网民网络安全感满意度调查报告》显示,网民对于侵犯个人信息的关注度高达80.94%,有49.42%的网民认为自己的个人信息遭遇过侵害。
在万物互联的今天,个人信息不只关乎隐私,还与车子、房子、“钱袋子”紧密相连。身份证号、户籍、社保、银行卡号等关键个人信息,是打开这些“钱袋子”的数字“钥匙”,它们往往在政务APP使用过程中被归集到后台或云端。
“在‘信息安全老骆驼’事件中,犯罪分子通过政务APP获取其银行卡号,并据此成功申请贷款,政务APP无形中为后续的犯罪行为提供了‘跳板’。”中国电子技术标准化研究院网安中心测评实验室副主任何延哲接受人民网记者采访时表示,政务APP背后的数据归集帮助政府部门实现业务流程再造方便了用户,但同时也加剧了数据集中的风险。
清华大学法学院副院长程啸指出,政务APP收集的个人信息数量大,真实性、准确性高,且往往包含姓名、身份信息、行踪轨迹、人脸特征等敏感个人信息,一旦出现泄露或被非法使用,会给自然人造成严重损害。
“基于权责对等的原则,有必要在法律上规定国家机关负有更加严格的保护个人信息的义务。”程啸说。
重视不足、技术有限 政务APP存在短板
中国互联网络信息中心今年发布的第45次《中国互联网络发展状况统计报告》显示,截至2020年3月底,中国在线政务服务用户规模达6.94亿,较2018年底增长76.3%,占网民整体数量的76.8%。
随着我国数字政府建设步伐加快和电子政务需求不断攀升,近年来,各地政务APP如雨后春笋般不断涌现,“指尖上的政务服务”日趋完善。但由于在重视程度、技术水平、管理能力等方面发展不均,各地政务APP在个人信息权益保护方面也呈现出参差不齐、鱼龙混杂的现象。
“我们在对大量APP进行检测的过程中发现,一些政务APP在个人信息处理上思想重视程度明显不足,常常犯下‘低级错误’。”何延哲透露,随着APP治理工作不断推进,大部分APP的基础性违规问题正在逐步得到解决。
在11月份APP治理工作组的通报名单中,一些政务APP被指存在,如“明文上传用户账户与密码”“在收集用户身份证号等个人敏感信息时,未同步告知用户其目的”等问题。
对敏感信息进行数据变形,实现敏感隐私数据的可靠保护,这样的数据脱敏操作是个人信息保护的“基本功”。何延哲直言,“这些都属于基础性违规。如果思想足够重视,实现数据脱敏并不难。”
他同时透露,与大多数违规商业APP相同,一些政务APP在个人信息收集过程中也没有遵循必要原则,仍存在过度收集个人信息的情形。
而在个人信息管理方面,程啸透露,当前很多政务APP由各地政府部门委托企业开发甚至直接运行管理,对于受委托企业在个人信息保护方面的内部管理制度、操作规程、安全防护能力以及人员素质,政府部门缺乏必要的评估和有效的监督管理。
程啸认为,这不仅使被收集的个人信息缺乏相应的安全技术保障,也造成公民个人信息被商业化使用、泄露等风险增加。
“缺乏必要的推广和宣传,也是当前政务APP在保障个人信息权益上的现实问题。”何延哲坦言,一些政务APP推出后,在后续宣传和功能完善上表现得差强人意,容易给不怀好意的“山寨政务APP”提供“灰色空间”,也给个人信息权益保护埋下了隐患。
完善制度、一视同仁 政务APP亟待加强监管
专家指出,正因政务APP覆盖面广、归集的关键个人信息多,更应在个人信息权益保护方面做出表率,提高群众满意度。
目前,我国《民法典》《网络安全法》《电子商务法》等法律对于国家机关及工作人员履行职责过程中保护个人信息和隐私的义务已经作出相关规定。已完成公开征求意见的《个人信息保护法草案》还采用专节对于国家机关处理个人信息作出了特别规定。
此外,日前,工信部组织中国信息通信研究院、电信终端产业协会制定发布了《APP用户权益保护测评规范》10项标准和《APP收集使用个人信息最小必要评估规范》8项系列标准,要求按“最小必要”等原则收集涉图片、通信录、设备信息、人脸、位置、录像、软件列表等个人信息。
程啸指出,在个人信息处理上,政务APP应该和其他市场主体标准一致,在处理个人信息时,严格遵守相关法律,坚持合法、正当、必要的原则。
工信部副部长刘烈宏在近日召开的全国APP个人信息保护监管会上也透露,APP侵害用户权益专项整治行动开展以来已取得阶段性明显成效。针对APP违规收集个人信息、侵害用户权益等问题,工信部将于明年初继续开展APP侵害用户权益专项整治。
程啸建议,应从国家法律法规和标准层面,对于在全国范围处理个人信息尤其是敏感个人信息的行为进行全方位、全过程的规范与监督管理:包括明确有必要收集的个人信息的范围和方式;强化告知义务;严格个人信息的安全防护措施;严肃追究泄露或非法使用个人信息的违法者的法律责任等。
工信部相关负责人此前表示,下一步,将组织行业力量,继续推动制定《APP收集使用个人信息最小必要评估规范》剩余9项标准,涵盖录音信息、短信信息、房产信息等个人信息的收集使用规范要求。同时积极总结经验,推动将团体标准提升为行业标准、国家标准。
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:wangxu
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。