欧盟有了GDPR，中国人的数据安全呢？

这两天，最火爆的行业新闻莫过于GDPR生效。GDPR（General Data Protection Regulation，通用数据保护条例 ），是由欧盟起草的史上最严格的公民隐私数据保护条例，旨在保护人们的个人隐私数据。在新的条例下，不光用户的姓名、身份证号、邮箱等常规数据受到保护，用户的位置、DNA信息等也算个人数据，互联网企业要收集这些数据，必须经过用户明确同意，不能偷偷使用或者储存。毫无疑问，GDPR的出台，为国内日益严重的移动互联网应用（APP）过度收集用户信息敲响了警钟。

（资料图片 来源互联网）

随着移动互联网的快速发展，各种手机应用软件呈爆发式增长，越来越多的消费者在惊叹其所带来的各种便利之余，也越发担心自己的个人信息安全。

APP玩套路：不授权不给用

不久前，北京市消协发布手机APP（应用软件）个人信息安全调查报告，显示部分手机APP存在过度收集、违规使用个人信息的现象。

“我想掌握自己的流量使用情况，所以下载了一个某运营商营业厅APP，结果要使用它我还得授权它读取我的通话记录，允许它拨打电话，甚至允许它修改我的通话记录。”提到新近下载的这款掌上营业厅，杭州的胡先生显得非常生气。记者调查发现，安装此APP时，应用程序将访问传输手机号码、IMSI、IMEI、MEID、手机型号等设备信息，系统验证通过后提供安全免密登录、读取用户位置信息、读取手机通讯录、获取通话记录、拨打电话、发短信、修改联系人、调用摄像头、改变WLAN状态及录音等权限。如用户点击不同意，则自动退出该应用。

其实这只是当下APP越权过度搜集手机用户信息，并导致一系列侵权、信息泄露事件发生的一个缩影。北京市消协报告显示，部分手机APP过度收集、违规使用个人信息，可能导致个人隐私信息泄露或被窃取。问卷调查显示，有89.62%的被调查者认为手机APP存在过度采集个人信息的问题，41.16%的被调查者在安装或使用手机APP之前不看授权须知等。被调查者最担心的是身份证号和银行账号被采集，最担心的问题是个人信息被贩卖或交换给第三方以及被利用从事诈骗等。但是，消费者对个人信息泄露的维权意识薄弱，个人信息遭到侵害时，选择向消协或主管部门投诉的仅占35.00%。

3月29日，央视《经济半小时》栏目对WiFi万能钥匙APP作了深度报道，揭露了其带来的安全隐患。节目称，“从个人到商场，从外交大楼到金融重地，万能钥匙统统可以轻松窃取密码”，多个国家机关、多个金融机构和9亿用户如同“裸奔”。

1月3日，支付宝推出2017账单查阅活动，不少消费者纷纷晒出2017年支付宝年度账单及关键词。但与此同时，很少有消费者意识到自己“被”签了一份《芝麻服务协议》。有用户发现，首次勾选后，再次点进账单页面，这个选项就会消失。对此，不少网友表示，打开授权管理后，发现会被捆绑共享单车、打车软件、银行等诸多授权。

2017年12月25日，由全国人大常委会执法检查组委托中国青年报社社会调查中心所做的“万人调查报告”显示：有49.6%的受访者曾遇到过度收集用户信息现象，其中18.3%的受访者经常遇到过度采集用户信息现象；有61.2%的人遇到过有关企业利用自己的优势地位强制收集、使用用户信息，如果不接受就不能使用该产品或接受服务的“霸王条款”；有52.5%的人认为执法部门保护用户信息的成效一般或者不好，不少人反映，在发现本人信息被泄露或者被滥用后，举报难、投诉难、立案难现象比较普遍。许多受访者反映，当前免费应用程序普遍存在过度收集用户信息、侵犯个人隐私问题，但几乎没有受到任何监管和依法惩处。

造成这一现象的原因在于，在当前互联网服务中，服务提供商和用户之间存在明显不对等的关系。相对于用户，服务提供商明显占据优势地位，其在服务协议中事先设置“默认同意”，如果用户取消勾选同意，将不能享有该项服务内容，用户处于被动的地位，缺乏充分的自主选择权。另外，“默认同意”的法律定性及相应法律责任并不明晰，这给网络服务提供商“钻空子”“打擦边球”造成了可乘之机。

“强制授权”折射行业“数据之争”

《人民邮电》报记者就上述“强制授权”的技术问题采访了四叶草安全移动安全专家田铭。田铭认为，某些强制授权存在一定的必要性，例如基于位置服务的交友软件必须开启定位功能才可以正常使用，电商类软件则需要获取用户设备的唯一ID，来控制优惠券的发放范围。

田铭说，对一些企业而言，强制授权虽是一种必需行为，但也是一项风险行为。在大数据时代，获取更多的用户信息是一个趋势，例如通过“获取设备安装软件列表”权限了解用户的手机中同时安装了哪些软件，既可以了解竞争对手产品的市场占有率，还可以实现对该用户的标签化，可应用在之后推广营销信息的分发中。

专家指出，在“大数据决胜”的背景下，一些互联网企业将线上消费者视为大数据掠夺的重要资源，超范围攫取用户隐私已成为行业潜规则。

上海信息安全行业协会专委会副主任张威表示，除手机APP主动索权外，一些企业利用格式条款将诸多索权隐匿在连篇累牍的用户协议中，这样的做法也已是行业内“公开的秘密”。获取的消费者信息越多，能绘制的消费者画像越精准，从而达到流量变现的目的。

360企业安全研究院院长裴智勇认为，企业通过索权在取得消费者信息后，数据保存和利用也存在安全隐患。一些企业的数据库缺乏有力的安全防护，在遭遇网络攻击时容易造成用户数据的泄露。他指出，企业内部对数据查询、输出的授权也存有安全隐患，近年来多次出现知名互联网企业“内鬼”泄露消费者隐私事件。

“九龙治水”不知向哪个部门举报和投诉

专家认为，针对互联网企业线上侵权形式日益多样化，有关部门可通过落实监管、细化法律法规、提高行业准入门槛等方式维护消费者合法权益。

1.及时出台相关法律法规监管APP行为

当前，手机APP过度采集个人信息已经成为网络诈骗的源头之一。但是，目前法律法规的原则多、细则少，自律规范多、监管规制少，而且消费者个人信息保护的职责分散，权益受到侵害后，救济渠道不畅通。

2017年6月1日，国家《网络安全法》正式实施，针对个人信息保护明确规定：网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。此外，《互联网交易管理办法》《移动互联网应用程序信息服务管理规定》等均对个人信息保护作出了规定。建议对APP过度搜集用户信息行为，制定专门的法律法规予以规范。

2.与APP相关的监管部门应明确职责

如今，网络安全监管“九龙治水”现象仍然存在，权责不清、各自为政、执法推诿、效率低下等问题尚未有效解决。一些地方网络信息安全多头管理问题比较突出，但在发生信息泄露、滥用用户个人信息等信息安全事件后，用户又经常遇到投诉无门、部门之间推诿扯皮的问题。专家认为，相关监管部门应合理定位，准确厘清部门之间的职责，形成分工明确、共同发力的监管格局。

3.可适当引入第三方评估机制

尽管美国、欧盟等发达国家对于个人数据权益的保护出台了更为系统的法律，但在实际中，互联网公司的自身发展与用户隐私保护之间的纷争一直存在。业内人士指出，个人数据权益的保护可以说是在互联网公司与用户等各方的博弈中不断前进。

在欧盟，存在通用的数据信息保护条款，相应权利的保护也更加严格。最广为人知的是数据的遗忘权，即用户在某平台注销了账户，其留在该平台上的所有历史数据记录需要被同步消除，后期在没有得到该用户授权的情况下，平台不能继续给该用户提供相应的服务。

美国对于隐私权的理解与欧盟不同，更多地建立在自由的基础上，以行业自律为主导。对于个人数据权益保护，美国有多种形式的行业自律组织。其中，网络隐私认证计划颇具特色：网站提出申请，经过第三方隐私认证机构认证后，可以在其网页上放置“信任标志”，以此表示将遵守网络隐私保护和数据收集的原则，以及接受相应的监督。

在国内，若有第三方评估机构对互联网企业、对个人信息保护等行为进行评测，会给用户以提醒和支持作用。

4. 加大对APP违法行为处罚力度

调查显示，要对APP进行监管，62.1%的受访者认为应加强对违规APP的处罚力度，51.4%的受访者希望提高行业准入门槛，39.4%的受访者希望健全对APP的投诉制度，30.4%的受访者认为应对手机APP权限进行明确界定。

手机APP虽然发展很快，但大部分依托的都是背后的网站。对APP的监管可以借鉴桌面互联网的监管体系，即从“备案”“许可”和“特殊证照”这三个层级对APP进行监管。其中，应用商店对APP上架负有把关责任，应该对APP进行全程的追踪监督。

对手机APP的管理应“适中”。同时应有法必依、执法必严，加大对违规APP的处罚力度，提高企业违法的成本，这样才能使企业不敢去触碰法律的底线。（记者 徐勇）

转自：人民邮电报