2019年3月15日晚20點,中央廣播電視總臺聯合國家政府部門,如期播出第29屆《3·15晚會》。本次晚會以“共治共享、放心消費”為主題,聚焦產品質量、售后服務、個人信息保護、互聯網消費等領域侵犯消費者權益的違法違規行為,曝光行業內幕和消費“潛規則”。其中,晚會的一大亮點在于侵犯消費者權益的違法違規行為,已經由傳統的人工侵權向利用高精尖技術侵權轉化。例如,此次晚會曝光了多家科技公司利用人工智能技術,違法獲取個人姓名、性別、電話、收入等敏感數據,再運用機器人尋呼系統精準撥打騷擾電話,以達到企業創收目的。
實際上,隨著個人信息泄露危害性的不斷擴大,政府相關部門已經開始重視個人信息安全問題,并著手開展打擊活動。今年3·15晚會在曝光非法收集個人數據的App運營者后,國家市場監管總局當天就在官網上發布《關于開展App安全認證工作的公告》,宣告App安全認證工作正式拉開序幕。與此同時,工信部隔天立刻展開對曝光的App運營者的核查處理,政府部門反應迅速的背后,反應的是各個政府部門針對個人信息保護,實際上已經形成了較為完善地協同聯動機制。因此,App運營者要格外重視今年“3·15”晚會所釋放的信號,自覺做好數據合規工作,將用戶數據合法的攤在陽光下。
一、揭開騷擾電話神秘面紗
相信大家生活中,或多或少都會接到騷擾短信或者客服電話。殊不知,跟你通話的客服小姐極有可能是個機器人!今年晚會重點曝光了中科智聯科技、易龍芯科人工智能科技、壹鴿科技等多家高科技公司利用機器人尋呼系統,撥打騷擾電話。據悉,人工外呼的極限是1人1天500個電話,但是機器人1天可以打出1000個電話,市場上現有的機器人一年能呼出40億個電話,這也就是很多人都會接到騷擾電話的原因。
那么,高科技公司是如何獲取我們的電話號碼?實際上,市場上有種產品叫做探針盒子,將探針盒子放在人流量大的火車站、商場等地方,當用戶手機無線局域網處于打開狀態時,會向周圍發出尋找無線網絡的信號,探針盒子發現這個信號后,就能迅速識別出用戶手機的MAC地址,MAC地址再和后臺數據進行匹配,就能轉換出用戶的電話,而后臺數據主要來源于用戶手機上所安裝的一些軟件。
可見,騷擾電話背后隱藏著一條灰色產業鏈,即App運營者利用APP軟件違法收集大量的個人數據,探針盒子利用收集到的MAC地址與后臺數據進行匹配,進而轉換獲取附近用戶的電話,再利用機器人尋呼系統撥出海量的騷擾電話!
二、標本兼治,政府部門重拳出擊
魔高一寸,道高一丈。雖然App運營者借助高新技術的外衣,非法收集個人信息的方式看上去天衣無縫。然而,政府部門已經洞悉騷擾電話背后的產業鏈,并采取了標本兼治的措施。
在治標方面,針對騷擾電話問題,2018年7月,工業和信息化部、最高人民法院、最高人民檢察院等13個部門聯合下發《綜合整治騷擾電話專項行動方案》的通知,要求各部門對商業營銷類、惡意騷擾類和違法犯罪類騷擾電話進行整治,規范通信資源管理。2018年10月,工信部辦公廳下發《關于推進綜合整治騷擾電話專項行動的工作方案》的通知,將13部門的通知文件進行具體細化。2019年2月,工信部發布《關于電信服務質量的通告》,對2018年綜合整治騷擾電話專項行動做了通報,該通報顯示2018年有較好的整治效果。
當然,政府部門意識到單純整治騷擾電話無法解決實質問題,于是2019年1月,中央網信辦、工業和信息化部、公安部、市場監管總局聯合發布《關于開展App違法違規收集使用個人信息專項治理的公告》,宣告利用1年的時間在全國范圍開展專項治理App違法違規收集使用個人信息問題。
《關于開展App違法違規收集使用個人信息專項治理的公告》發布后不到一個月,全國信息安全標準化技術委員會隨后發布了《信息安全技術 個人信息安全規范(草案)》,面向社會公開征求意見。草案重點新增了app軟件等收集用戶信息的平臺“不得強迫收集個人信息的要求”等重點內容。緊接著,App專項治理工作組3月份正式對外亮相,同時下發《App違法違規收集使用個人信息自評估指南》,要求App運營者對照指南做合規整改;指南下發的同一天,App專項治理工作組還對外宣布已經設立了“App個人信息舉報”微信公眾號和“pip@tc260.org.cn”專用郵箱兩種舉報渠道,歡迎消費者舉報維權,試圖利用民眾的舉報倒逼App運營者做合規整改。半個月后,國家市場監管總局接著發布了《市場監管總局中央網信辦關于開展App安全認證工作的公告》,鼓勵App運營者主動向有關機構申請App安全認證。
可以看出,不僅綜合整治騷擾電話專項行動取得了較為明顯的效果,而且政府在切斷App對用戶數據違規違法收集上,更是不予余力。今年僅僅三個月之間,政府相關部門就密集推出各項舉措,眼花繚亂,亮點突出。足見政府部門兩手都有準備,兩手同樣強硬。最關鍵的是,面對個人信息不斷泄露的問題,政府監管的達摩克利斯之劍已經漸漸升起,App運營者無法規監管,任意收集個人信息的時代將一去不復返。
三、用戶數據如何合法攤在陽光下
App運營者目前的當務之急應是做好合規整改工作,那么,App運營者如何才能將用戶數據合法地攤在陽光下接受檢驗呢?本文認為,App運營者主動向有關機構申請App安全認證,是將潛在隱患扼殺在搖籃里的最好辦法。因為一旦申請了APP安全認證,就等于得到了政府的信用背書,對內面對用戶,可以增加用戶對企業的信任度;對外面對權力機關,可以預防被懲處的潛在風險,一舉多得。
那么,App運營者該如何才能順利申請到App安全認證呢?實際上,近日,國家認證認可監督管理委員會發布了《移動互聯網應用程序(App)安全認證實施規則》,該文件對申請流程做了具體介紹。筆者通過研讀該《實施規則》,對申請App安全認證的流程做了如下歸納,可供App運營者參考。
首先,App運營者應保證自己是通過App向用戶提供服務的網絡運營者,且已取得市場監督管理部門或有關機構注冊登記的法人資格。其中,如果App運營者有違反相關法律法規;在12個月內發生重大信息安全事件;所持同類證書在撤銷認證影響期內或者認證機構規定的其他情況的,不得申請認證。在申請認證中,App運營者應提交指定的文件和材料。
其次,認證機構對App運營者的申請資料進行審核后,做出是否受理的決定。認證機構不管是否受理,都應向App運營者反饋情況。如果認證機構受理了認證申請,App運營者還應按照申請書填寫的送樣方式提交樣本,送樣副本應反映所有發布渠道App副本與認證相關的技術特性;不能反映時,還應選送申請單元內其他App副本。
再次,受理申請后,檢測機構應按照技術驗證規范實施技術驗證,并按照認證機構有關規定出具技術驗證報告。發現不符合時,檢測機構應向App運營者出具不符合報告,并要求其限期整改;App運營者逾期未完成整改的,檢測機構中止認證過程。
再次,如果技術驗證順利通過后,認證機構還需依據GB/T35273《信息安全技術個人信息安全規范》,對App運營者進行現場審核,并按認證機構有關規定出具現場審核報告。如果發現不符合時,認證機構要向App運營者出具不符合報告,并要求限期整改;App運營者逾期未完成整改的,認證機構中止認證過程。
最后,認證機構會根據申請資料、技術驗證結論和現場審核結論等進行綜合評價,做出認證決定。認證決定通過后,由認證機構向App運營者頒發認證證書,并授權獲證App運營者使用規定的認證標志。認證決定不通過的,認證機構終止認證。在認證證書有效期內,獲證App運營者可將證書在網站、工作場所和宣傳資料中展示,但不應進行誤導性宣傳。
在獲取安全證書后,App運營者應持續進行獲證后自評價,并配合認證機構的監督活動。認證機構應對獲證App和App運營者實施持續監督,監督方式包括日常監督和專項監督。而如果App運營者認證不通過的,App運營者可在收到認證結果通知后10個工作日內通過認證機構指定的申訴渠道進行申訴。
