您正在浏览是   观点频道 > 说法释理  > 正文
保护个人信息: 勿以恶小而为之
发布时间:2020年07月27日 11:18    来源:常州日报    编辑:常昊

    ■ 背景简介

    在今年被推迟播出的央视“3·15”晚会上,除了被曝光的有关食品、房屋、汽车等商品的品质安全问题外,一些因手机软件中的SDK插件窃取用户隐私信息、侵犯个人隐私安全的问题,尤为令人关注和担忧。越来越离不开手机使用环境的我们,如何才能设置好防范那些恶意SDK插件的屏障,更好地保护个人隐私安全呢?

    ■ 律师有话说

    SDK,被称为“软件开发工具包”,是一种为手机软件提供或提升某种功能或服务的便捷插件。虽然现行的法律法规尚未对SDK插件本身作出明确限制,但是,对于其中涉及用户个人信息收集、使用的部分,仍应当遵循关于“保护个人信息安全”的相关法律规定。

    其一,侵犯个人信息的行为,或将面临刑事追责。根据《中华人民共和国网络安全法》第41条的规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则。这次涉案的两款SDK插件,都存在于用户不知情的情况下,偷偷窃取用户设备的IMEI、IMSI、运营商信息、电话号码、短信记录、通讯录和应用安装列表等信息的嫌疑。有的插件甚至会在采集用户手机中带有验证码、个人行程的短信内容后,发送至指定服务器进行存储。上述情况还违背了《App违法违规收集使用个人信息行为认定方法》中对于App收集个人信息应满足的提示要求与限制条款。根据网络安全法第64条规定,违反第41条规定的,可以对网络运营者、网络产品或者服务的提供者处以警告、没收违法所得、处违法所得一倍以上十倍以下罚款,甚至责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。情节严重的,还可能进一步追究刑事责任。此处的“网络产品或者服务的提供者”应包含了SDK插件的第三方提供者。

    其二,若平台违规,也需承担用户的损失。对于侵犯个人信息的责任承担,根据国家网信办发布于2019年5月28日的《数据安全管理办法(征求意见稿)》第30条,以及国家标准化管理委员会于2019年8月5日发布的《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》第4章的规定精神,App平台作为网络运营者应当督促监督SDK插件的第三方提供者加强数据安全管理。因第三方应用发生数据安全事件对用户造成损失的,网络运营者将被推定有过错,并承担部分或全部责任。

    因此,为避免发生不必要的纠纷,App开发者尤其需要“谨小慎微”。在使用第三方的SDK插件时,相关开发者应当预先进行检测排查、风险评估,确保软件没有“越权”收集个人信息,并依照《信息安全技术 个人信息安全规范》相关规定的要求,通过合同等形式与第三方共同确定保障个人信息安全的内容,以及在个人信息安全方面自身与第三方分别应承担的责任和义务,并向个人信息的主体明确告知。

    窃取隐私往往“趁虚而入”。作为个人用户,我们一方面需谨防“以身犯险”,应首选主流应用商店下载App,避免使用来路不明的App而导致增加隐私泄露的风险以及后期维权的难度;另一方面,还需时刻“居安思危”,对于通过网络传输的隐私信息,应尽量进行加密与限制处理,必要时选择电话或语音的方式传递信息。

    侯忠群 江苏张林芳律师事务所律师、江苏省律师协会消费者权益保护法律业务委员会主任

    ■ 点评

    个人的一些信息,看似微不足道,可也涉及我们的基本权益。无论技术如何发展进步,都不应牺牲这些权益而换取市场优势与商业利益。自2020年起,随着全新的《信息安全技术 个人信息安全规范》《移动互联网应用程序(App)收集使用个人信息自评估指南》等相关规定陆续实施,以及对隐私权和个人信息保护作出专门规定的《中华人民共和国民法典》即将施行,针对个人信息的保护网已日益完善。在国家立法的规制下,我们需要进一步督促应用平台严格把关安全监管,还需要进一步引导公众强化自我保护及维权意识,进而真正实现利益与权益的双赢。 栏目主持 车玉

频道首页
延陵评论
觅渡时评
理论之窗
漫画评论
每周话题
网论精选
常言道
说法释理
  您正在浏览是   观点频道 > 说法释理  > 正文
保护个人信息: 勿以恶小而为之
发布时间:2020年07月27日 11:18 来源:常州日报
编辑:常昊

    ■ 背景简介

    在今年被推迟播出的央视“3·15”晚会上,除了被曝光的有关食品、房屋、汽车等商品的品质安全问题外,一些因手机软件中的SDK插件窃取用户隐私信息、侵犯个人隐私安全的问题,尤为令人关注和担忧。越来越离不开手机使用环境的我们,如何才能设置好防范那些恶意SDK插件的屏障,更好地保护个人隐私安全呢?

    ■ 律师有话说

    SDK,被称为“软件开发工具包”,是一种为手机软件提供或提升某种功能或服务的便捷插件。虽然现行的法律法规尚未对SDK插件本身作出明确限制,但是,对于其中涉及用户个人信息收集、使用的部分,仍应当遵循关于“保护个人信息安全”的相关法律规定。

    其一,侵犯个人信息的行为,或将面临刑事追责。根据《中华人民共和国网络安全法》第41条的规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则。这次涉案的两款SDK插件,都存在于用户不知情的情况下,偷偷窃取用户设备的IMEI、IMSI、运营商信息、电话号码、短信记录、通讯录和应用安装列表等信息的嫌疑。有的插件甚至会在采集用户手机中带有验证码、个人行程的短信内容后,发送至指定服务器进行存储。上述情况还违背了《App违法违规收集使用个人信息行为认定方法》中对于App收集个人信息应满足的提示要求与限制条款。根据网络安全法第64条规定,违反第41条规定的,可以对网络运营者、网络产品或者服务的提供者处以警告、没收违法所得、处违法所得一倍以上十倍以下罚款,甚至责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。情节严重的,还可能进一步追究刑事责任。此处的“网络产品或者服务的提供者”应包含了SDK插件的第三方提供者。

    其二,若平台违规,也需承担用户的损失。对于侵犯个人信息的责任承担,根据国家网信办发布于2019年5月28日的《数据安全管理办法(征求意见稿)》第30条,以及国家标准化管理委员会于2019年8月5日发布的《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》第4章的规定精神,App平台作为网络运营者应当督促监督SDK插件的第三方提供者加强数据安全管理。因第三方应用发生数据安全事件对用户造成损失的,网络运营者将被推定有过错,并承担部分或全部责任。

    因此,为避免发生不必要的纠纷,App开发者尤其需要“谨小慎微”。在使用第三方的SDK插件时,相关开发者应当预先进行检测排查、风险评估,确保软件没有“越权”收集个人信息,并依照《信息安全技术 个人信息安全规范》相关规定的要求,通过合同等形式与第三方共同确定保障个人信息安全的内容,以及在个人信息安全方面自身与第三方分别应承担的责任和义务,并向个人信息的主体明确告知。

    窃取隐私往往“趁虚而入”。作为个人用户,我们一方面需谨防“以身犯险”,应首选主流应用商店下载App,避免使用来路不明的App而导致增加隐私泄露的风险以及后期维权的难度;另一方面,还需时刻“居安思危”,对于通过网络传输的隐私信息,应尽量进行加密与限制处理,必要时选择电话或语音的方式传递信息。

    侯忠群 江苏张林芳律师事务所律师、江苏省律师协会消费者权益保护法律业务委员会主任

    ■ 点评

    个人的一些信息,看似微不足道,可也涉及我们的基本权益。无论技术如何发展进步,都不应牺牲这些权益而换取市场优势与商业利益。自2020年起,随着全新的《信息安全技术 个人信息安全规范》《移动互联网应用程序(App)收集使用个人信息自评估指南》等相关规定陆续实施,以及对隐私权和个人信息保护作出专门规定的《中华人民共和国民法典》即将施行,针对个人信息的保护网已日益完善。在国家立法的规制下,我们需要进一步督促应用平台严格把关安全监管,还需要进一步引导公众强化自我保护及维权意识,进而真正实现利益与权益的双赢。 栏目主持 车玉

相关新闻:
常州市互联网新闻中心版权所有