数据作为数字化经济时代最具价值的关键生产要素,与我们的社会生产、生活深度融合,成为加速经济增长的全新动力。与此同时,消费者的“个人隐私信息数据”开始被犯罪分子、竞争对手、跨境机构等多方势力所觊觎,频频滋生出数据买卖、电信诈骗、网络犯罪等问题。
2022年3月15日,一年一度的3·15晚会如期而至!值得关注的是,本届3·15首次设立了信息安全实验室,重点关注网络信息安全和儿童互动产品的信息安全。
在今年的3·15晚会上,诱导捆绑、非法索权、骚扰电话精准跟踪、过度收集用户信息等恶意利用数据的事件被揭露曝光,手机软件、网站、电话手表等无一不是数据泄露的源头,数据安全成为全场关注焦点,件件真实案例令人瞠目,为广大消费者敲响了安全警钟。
315晚会曝光了某WiFi软件,打着免费使用的旗号吸引用户使用,实际情况是根本连接不上,反而是存在诱导用户下载其他程序的行为;同时,该软件在用户不知情的情况下,在后台收集大量用户信息,一天之内收集用户位置信息高达67889次,意味着可以不断的通过定位将用户的行踪串联起来,掌握生活规律、喜好、职业等信息。此外,该软件存在自启动功能,能随时高频次启动,即使用户关掉,也能使用自启动重新启动,继续不断的收集用户信息。
《数据安全法》第三十二条规定:任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。
315晚会曝光了多个下载网站合作的某个PC下载平台,以"高速下载"为噱头诱骗用户点击使用,在用户选择高速下载后还会同时捆绑下载用户根本不需要的其他软件,电脑会莫名出现弹窗广告等情况。为了引导用户下载更多软件,即使用户关闭了默认勾选下载的选项,系统还会出现静默安装的情况,让用户无处可逃。更甚之,当用户用该下载器下载想要下载想要的软件时,会不知不觉中被替换成另一个软件。
国家工信部2012年施行的《规范互联网信息服务市场秩序若干规定》第八条规定:互联网信息服务提供者在用户终端上进行软件下载、安装、运行、升级、卸载等操作的,应当提供明确、完整的软件功能等信息,并事先征得用户同意。规定了不得以欺骗误导或者强迫用户下载、安装、运行、升级、卸载软件
315晚会曝光了某公司专门为电销公司搭建外呼系统并提供外呼线路,电销公司通过这个系统拨打骚扰电话,可以隐藏真正的主叫号码,防止被投诉;该公司会向拨打骚扰电话的公司收取每分钟0.1元左右的通话费,大量的骚扰电话给该公司带来了丰厚的花费收入。同时,315晚会还曝光了某些公司为骚扰电话提供大数据支撑,只要用户浏览了网站,就能通过系统可以直接给用户打电话,收取每条3元的费用;部分公司还能通过技术手段直接获取明码手机号码。用户上网行为的大数据就这样被滥用,并带来了严重的影响。抓取网站用户数据、规避运营商监管,在黑科技的加持下,骚扰电话已经形成了一条完整的黑色产业链。
《民法典》第1033条规定,除权利人明确同意外,任何组织或者个人不得以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁。
《个人信息保护法》第10条规定:任何组织、个人不得非法收集、使用、加工、传输他人个人信息;不得非法买卖、提供或者公开他人个人信息。
315信息安全实验室对某款热销10万+的低配版儿童智能手表展开了专门的安全测试,同时将一个恶意程序进驻到智能手表中,可以实现对孩子实时定位,不间断收集孩子的移动轨迹,轻松圈定孩子的活动范围等。其根本原因是在厂家出于压低成本的考虑,选用低版本的操作系统,这意味着在这样的儿童手表上,各种App安装后,无需用户授权就可以开启定位通讯录、麦克风、摄像头等多种敏感权限,轻易获得孩子的位置、人脸图像、录音等隐私信息,这类智能终端在个人信息保护上成为了一个重灾区。
《个人信息保护法》第十四条规定:基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
事实上,数据泄漏无孔不入,无所不在,我们看到的仍然只是冰山下的一角。非法收集、使用、买卖个人信息数据,不仅会导致个人隐私、财产等权益受到损害;若这些敏感数据被不法分子盗用、滥用,严重时甚至会影响社会治安稳定。
鉴于此 ,我国出台了《数据安全法》《个人信息保护法》等多部数据安全领域的针对性法律,监管的加持出击,将对敏感信息滥用、大数据杀熟、个人信息泄露等数据安全问题进行有力规制。
尽管监管重拳出击,但数据安全保护依旧任重道远。随着技术的不断发展,网络环境日趋复杂,攻击手段和套路多变难辨,即使大多数消费者在个人隐私信息保护方面的安全意识已经有所提升,但依旧容易衍生出不少数据泄漏风波。此外,除了立法层面的统一规范推动,作为数据处理者,企业自身也需要建设相应的数据安全保护生态,提高数据安全保护意识,不断提高数据安全治理能力,积极守护用户的个人信息安全。