专家解读“BOSS直聘”等APP被网络安全审查
APP收集用户信息边界在哪里?
信息安全已经越来越受到重视。7月5日,国家网信办发布公告,对“运满满”“货车帮”“BOSS直聘”实施网络安全审查。对此, 中国传媒大学人类命运共同体研究院副院长王四新,中国政法大学传播法研究中心副主任、中国互联网协会法律工作委员会专家委员朱巍接受了成都商报-红星新闻记者采访。
APP为何收集个人信息?
个人信息具有潜在商业价值
APP收集用户个人信息的动力是什么?中国传媒大学人类命运共同体研究院副院长王四新接受记者采访时表示:“收集个人信息是每一个APP都很愿意干的事情,因为信息越丰富,对用户的画像就越具体,各类数据信息交叉比对,产生的潜在商业价值就越大。不论是APP自身变现,还是通过广告等商业途径变现,都需要收集这类信息。”
那么,本次整治为何是从“BOSS直聘”、“运满满”、“货车帮”等APP开始?对此,朱巍分析认为,对于BOSS直聘等平台的治理原因,或与今年3·15释放的信号有关。
记者了解到,在今年的3·15晚会上,多个数字网络经济领域的黑色产业链被集中曝光,其中就包括用户人脸信息等个人隐私被非法采集,个人简历在招聘网站被下载后大量流向黑市等。晚会同时披露,只要在一些招聘网站注册企业账号,在支付一定费用后就可以随意下载信息详尽的个人简历。由此,大量的个人简历信息流入不法分子的黑手,甚至被用作精准诈骗的实施。
超范围收集信息
必须征得个人同意
那么APP收集用户信息的边界在哪里?王四新表示,我国APP收集个人信息方面有一些基本的原则,比如收集想要的信息要和用户之间有明确的协议,而且这个协议要明示同意。不同类型的APP,国家法律规定了有明确的收集范围,也就是说APP只能收集保证它功能发挥的必要信息。比如打车软件,地理位置信息就是必要信息,但是如果收集其他方面的信息,显然就超范围了。超范围的信息必须征得个人同意。
2019年12月,国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅联合印发《APP违法违规收集使用个人信息行为认定方法》(以下简称《认定方法》)。该《认定方法》可以说更系统地回答了“APP收集用户信息的边界在哪里”的问题。
《认定方法》对上述《公告》中提到的“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则,收集与其提供的服务无关的个人信息”、“未经同意向他人提供个人信息”、“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”六种违规做出了更加详尽的解释。
比如,哪些行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”?《认定方法》提到:1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;3.APP新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;4.收集个人信息的频度等超出业务功能实际需要;5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
这种专项评估和整治的方式,属于事后审查,审查范围主要是:“问题反映集中、用户数量大、与民众生活密切相关的APP”。
网络安全审查有哪些内容?
那么,网络安全审查主要审查什么?朱巍告诉记者,从目前国内多数网络平台来看,其所暴露出的问题已经不仅是个人信息的泄露,还包括信息过度索权、个人信息使用不透明等不法行为,而根据《个人信息保护法》的规定,过度搜集个人信息、擅自披露个人信息、非法买卖个人信息等行为都将成为重点审查对象。
2020年4月,国家互联网信息办公室有关负责人就《网络安全审查办法》相关问题答记者问。答问中明确提到网络安全审查的内容。其中提到,网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险,包括:产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章情况;其他可能危害关键信息基础设施安全和国家安全的因素。”
王四新解释说,近年来网络领域的一些数据问题,实际上可能涉及到很多行业。很多数据涉及到个人隐私或者数据权益的行使方式。还有一些数据越来越上升到了国家安全、公共安全的角度。这些数据存储、使用的过程中,潜在的风险很大。这次审查,其实就是要给这些企业传达一个强烈的信号。以后这些企业涉及到数据收集处理的,必须得有安全意识,采取安全措施。
“从大的时代走向来看,这更加说明我们正逐步从过去粗放追求经济效益的模式,逐步过渡到了在安全的基础上去追求效益。”中国政法大学传播法研究中心副主任、中国互联网协会法律工作委员会专家委员朱巍告诉记者,近日连续启动的网络安全审查释放出一个比较重要的信号在于,现在要追求的不是网络信息保护的事后安全,更多在于事前安全体系的构建,要做到未雨绸缪。
王四新表示,今年可能成为网络安全审查元年。去年出台的《网络安全审查办法》可以说有了一个详细的行动方案,一个程序性规定,一个操作规程。
“这可以看作是第一批审查对象,但未来很大可能会有第二批、第三批对更多平台的审查工作开展,这将会成为一种网络安全的监管常态。“朱巍说。
成都商报-红星新闻记者 吴阳 杨雨奇