个人信息泄露为何频频出现

随着移动互联网的普及使用，应用商店上架推出和使用的APP数量呈井喷式增长，随之而来的，还有日益泛滥的违法违规收集使用个人信息的情况。日前，工业和信息化部网站公布关于侵害用户权益行为的App通报（2020年第七批）。截至通报发出时，尚有 63 款 App涉及“违规收集个人信息”尚未完成整改。

据悉，工信部已连续两年组织开展移动应用程序（App）侵害用户权益专项整治行动，已对52万款App进行技术检测，责令违规的1571款进行整改，公开通报500款，对120款整改不到位及拒不整改的责令下架。

你的个人信息安全可能正在受到威胁

上述通报所指App违法违规收集个人信息，主要表现为存在强制授权、过度索权、超范围收集个人信息等。以超范围收集个人信息为例，不少用户可能会遇到这样的情况，即在无十分必要的情况下，天气类App要求访问通讯录，健身软件要求授权手机相册……若用户拒绝接受授权，将无法下载或正常使用App。

事实上，不仅是部分App，对用户个人信息安全造成威胁的还有SDK。这种在手机软件中，提供某种功能或服务的插件可谓是隐形“窃贼”。据业内人士介绍，第三方SDK除了收集用户手机号码、设备信息之外，还会收集用户手机通讯录、短信信息、传感器信息等隐私信息，在采集之后还会发送至指定服务器进行存储。有的SDK甚至会收集并上传用户手机中的短信内容，带有验证码的短信同样会被采集上传。

除了上述隐蔽手段，记者发现，还有不少明目张胆的威胁，将个人信息堂而皇之地摆上交易桌。

在一些知名的二手交易平台，个人户籍、名下房产、出行记录等20多项个人隐私信息被公开售卖，根据信息的查询等待时间及难度不同，费用也在几百元到上千元浮动。不仅如此，一些信息关联查询在这里也变得唾手可得，“提供手机号码可以查淘宝地址、美团地址、快递地址，找人肯定没问题。”

此外，随着人脸识别技术被广泛应用后，面部特征等生物特征信息收集使用不规范等问题也逐渐暴露，加剧了“人脸”信息泄露的风险。中消协律师团律师李斌表示，相比姓名、电话号码、消费记录等个人信息，人脸信息无疑更敏感，其泄露的后果也要严重得多。

保护公民隐私的相关立法在不断完善

由中国消费者协会发布的《APP个人信息泄露情况》提到，个人信息被泄露后，约86.5%的受访者曾收到推销电话或短信的骚扰，约75.0%的受访者接到诈骗电话，约63.4%的受访者收到垃圾邮件。

根据我国《刑法》规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，构成侵犯公民个人信息罪。根据相关司法解释，非法获取、出售通信信息、财产信息等50条以上，或者非法获取、出售或提供通信信息、交易信息等公民个人信息500条以上的，或违法所得5000元以上的，均属于情节严重的情形。

为保护个人信息权益，今年7月，中央网信办、工信部、公安部、国家市场监管总局四部门启动2020年App违法违规收集使用个人信息治理工作，重点打击App后台私自上传个人信息等群众反映强烈的问题。10月至12月，市场监管总局等14部门联合开展2020网络市场监管专项行动，重点任务之一是加强二手物品网络交易平台监管。

在制度建设方面，去年年初以来，国家四部委先后制定印发了《App违法违规收集使用个人信息行为认定方法》《App违法违规收集使用个人信息自评估指南》等政策规范。《民法典》在第四编第六章对隐私权的概念和保护范围作出明确具体的规定，提到“信息处理者在进行个人信息的收集、存储、使用、加工、传输等行为时，必须征得权利人同意，并明示处理信息的目的、方式和范围，不违反法律、行政法规的规定和双方的约定。”作为首部专门规定个人信息保护的法律，前不久提交审议的《中华人民共和国个人信息保护法（草案）》，对处理包括人脸等个人生物特征在内的敏感个人信息作出专门规定。

为落实《中华人民共和国网络安全法》关于个人信息收集合法、正当、必要的原则，规范App个人信息收集行为，12月1日，国家互联网信息办公室印发关于《常见类型移动互联网应用程序(App)必要个人信息范围(征求意见稿)》的通知，提出网络直播类、在线影音类、短视频类等APP无须个人信息，即可用基本功能。此外，《征求意见稿》还规定了地图导航、网络约车、即时通信等38类常见类型App必要个人信息范围。

遏制平台违法交易应压实监管责任

既然有主管部门的大力整治，又有法律制度的“加持”，为何个人信息泄露威胁仍然迟迟未能解除？

中国电子技术标准化研究院信安中心测评实验室副主任何延哲表示，当前，部分平台的应用程序接口存在安全漏洞，容易被黑客攻击。不法分子通过一些平台的信息接口，非法访问其数据库，继而造成了信息泄露。

防止个人信息泄露，应压实各方主体责任。切实解决责任落实不到位，监管不力、整改不到位的问题。

对于二手交易平台售卖个人信息的情况，北京孟真律师事务所律师胡佳成认为，虽然部分平台用户协议中有所谓的“免责声明”，平台方也不直接参与用户之间的交易，但平台方对平台上的违法行为有着不可推卸的监管责任，应主动履行遏制平台违法交易的义务。

通过专项整治行动，工信部信息通信管理局副局长鲁春丛发现，有一些企业经过多次整改仍存在问题，有的企业找不到管理层或者管理层互相推诿，这体现部分头部企业APP在个人信息保护的整改上存在思想漠视、抱有侥幸心理、甚至技术对抗等问题。他还提到，中小APP开发企业整改应对能力不足，出现了管理短板、技改短板、经验短板。

有关专家提到，个人信息保护法（草案）明确 “谁处理谁负责”原则，这对采集个人信息的企业来说，健全的内部管理制度和科学的操作规程乃当务之急。除了实施个人信息分级分类管理、完善安全技术措施之外，有必要合理规划内部操作权限配置。

此外，为保障国家数据安全、加强个人信息保护，工信部正着力研究制定APP个人信息保护暂行规定，并继续推动行业标准的制定，完善APP检测技术平台系统功能。原定于今年12月结束的APP侵害用户权益专项整治将再延长半年到明年年中。（陈瑶）