又有24款违法违规移动应用遭到点名。日前,国家计算机病毒应急处理中心在“净网2020”专项行动中通过互联网监测发现,民生银行、兴业银行等多家银行因“未向用户明示申请的全部隐私权限,涉嫌隐私不合规”,这些银行的APP被列入有害名单。
除上述金融类APP之外,记者发现,违法的APP还集中在出行和采购农产品领域,例如,《12306买票》(版本2.3.11)、《飞常准》(版本4.8.1)、《航旅纵横》(版本5.1.3)、《东方航空》(版本7.3.13)和《筐鲜生采购端》(版本1.2.1)等。
“以前这方面的监管处于真空状态,但随着互联网侵占个人信息事件增多,站在国家信息安全和个人信息保护的角度,强监管是必要的,需清理整顿APP违规采集信息的问题。”中央财经大学中国互联网经济研究院副院长欧阳日辉对第一财经记者表示。
民生银行、兴业银行等被列入违规名单
国家计算机病毒应急处理中心监测发现24款违法移动应用。新华社1月13日称,国家计算机病毒应急处理中心近期在“净网2020”专项行动中通过互联网监测发现,多款违法、违规有害移动应用存在隐私不合规行为,违反《网络安全法》相关规定,涉嫌超范围采集个人隐私信息。
第一财经发现,其中有6家银行因“未向用户明示申请的全部隐私权限,涉嫌隐私不合规”,分别为《民生银行》(版本5.12)、《兴业银行》(版本5.0.4)、《内蒙古农信》(版本2.4.6)、《内蒙古银行》(版本2.0.4)、《海峡银行》(版本2.4.8)、《鄂尔多斯银行》(版本3.1.0)。
上述一家银行相关负责人对第一财经回应称,上述被点名的版本是之前的,现在已经更新了版本,按照要求整改完毕。
因上述相同原因不合规的还有,《12306买票》(版本2.3.11)、《订票助手12306高铁抢票》(版本8.1.2)、《抢火车票》(版本8.0.0)、《高铁票务》(版本8.1.2)、《高铁管家》(版本7.3.1)、《铁友火车票-12306抢票》(版本9.0.0)、《飞常准》(版本4.8.1)、《航旅纵横》(版本5.1.3)、《东方航空》(版本7.3.13)、《山航掌尚飞》(版本4.10.1)、《飞行加》(版本3.4.11)、《快票出行》(版本2.6.8)、《12306买火车票》(版本8.5.89)、《搜狗浏览器》(版本5.25.9)、《搜狗搜索》(版本7.3.5.2)。
另外,因“未经用户同意收集个人隐私信息,涉嫌隐私不合规”的App有:《深圳航空》(版本5.3.1)、《遨游旅行》(版本5.6.2)、《筐鲜生采购端》(版本1.2.1)。
国家计算机病毒应急处理中心对此提醒,首先广大手机用户不要下载这些违法有害移动应用,避免手机操作系统受到不必要的安全威胁;其次,建议打开手机中防病毒移动应用的“实时监控”功能,对手机操作进行主动防御,这样可以第一时间监控未知病毒的入侵活动。
欧阳日晖称,从国家信息安全和个人信息保护的角度,目前,有必要清理整顿APP违规采集信息的问题。而对消费者而言,要认识到隐私保护的重要性,不要为了微薄利益而出让个人信息。消费者若不了解个人隐私的重要性,可能会陷入更严重的金融诈骗和网络诈骗。
APP专项整治行动趋严
2019年11月以来,公安部加大打击整治侵犯公民个人信息违法犯罪力度,组织开展APP违法违规采集个人信息集中整治,深入推进由中央网信办、工业和信息化部、公安部、市场监管总局联合开展的APP违法违规采集使用个人信息专项整治行动。
2019年12月4日, 国家网络安全通报中心称,全国公安机关网安部门按照公安部网络安全保卫局的部署要求,快速行动,重拳出击,集中发现、集中侦办、集中查处整改了100款违法违规APP及其运营的互联网企业。此次集中整治,重点针对无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形,责令限期整改27款,处以警告处罚63款,处以罚款处罚10款,另有2款被立为刑事案件开展侦查,相关案件正在侦查中。
在上述100款违法违规APP中也有银行的身影,例如,光大银行、天津银行以及天津农商银行。另外,乐贷款、借钱呗、资金保等多个借款类App也在违法违规之列。
“针对当前一些金融机构客户端软件存在的安全防护能力参差不齐、超范围收集个人信息、仿冒钓鱼现象突出等问题,各金融机构要建立客户端软件安全管理全程覆盖机制,相关部门要建立健全客户端软件监督处置机制。”人民银行科技司司长李伟在金融业移动金融客户端应用软件备案管理工作试点启动会议上称。
2019年12月30日,监管力度再次加强。国家互联网信息办公室秘书局、工信部、公安部办公厅及国家市场监督管理总局办公厅联合印发《App违法违规收集使用个人信息行为认定方法》(以下简称《认定方法》),对“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则,收集与其提供的服务无关的个人信息”、“未经同意向他人提供个人信息”、“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”的行为均有规定。
“上述文件从源头上治理数据采集和使用问题,从法律上明确了认定App收集使用个人信息的行为,具体划分了6个层面的行为。这对企业收集使用信息有了明确的指引,对个人保护信息提供了有力的保障,提高数据治理的有效性。”欧阳日晖称,数据是生产要素,没有数据,数字经济发展不起来。在数据采集和使用需要寻求一个平衡点、一套规则,既要达到维护国家安全和保护个人隐私的目的,又要合理地利用数据促进数字经济发展。这是考验监管层智慧的事情。美国和欧盟等国外的做法值得我们借鉴,也要根据我国国情,制订适合我国的相应的法律法规。
欧阳日晖称,个人隐私和信息的保护,既要靠监管层有一套完善的法律法规,也要靠平台公司遵守法律法规保护消费者的权益,同时消费者自己也要提高保护意识。