千家网站APP测评 超五成级别为“低”

6月1日起,《网络安全法》等多项法律规章正式开始实施,重拳保护中国7亿多网友的个人信息,解决此前频发的个人信息泄露、网络电信诈骗等问题。

    对于《网络安全法》的规定,南都制作了一段动漫视频,用2分钟时间对个人信息保护的新规作出详解。

    中国网络安全首部综合性、框架性法律

    《网络安全法》是中国网络安全首部综合性、框架性法律,它意味着中国对网络安全的重视和保护已经上升到前所未有的高度。

    它先后经过全国人大常委会三次审议,去年11月7日,在全国人大常委会会议上以“154票赞成、1票弃权”获得高票通过。

    作为网络安全领域的“基础法”,《网络安全法》围绕维护网络空间的国家主权,维护网络空间的国家安全、维护公共利益,保护公民、法人和其他组织在网络空间的合法权益做出详细的规定。

    南都记者关注到,《网络安全法》共有7章,其中专门有一章就用户信息保护有关内容作出规定,分别从个人信息的收集、存储、使用、转让等多个环节,对个人信息保护提出要求。

    《2分钟学会保护个人信息不“裸奔”》即是用生动活泼、通俗易懂的卡通动漫形象,对法律新规作出详细阐释。

    违规收集用户个人信息可处百万元罚款

    动漫视频中鲜活地呈现了《网络安全法》中针对备受各界关注的个人信息泄露问题作出的新规定:

    法律规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;

    还规定:任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

    违反这些规定的,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款;没有违法所得的,可以处100万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照。

    互联网不是法外之地禁止“用网络实施诈骗”

    随着互联网的飞速发展,不少犯罪活动从网下蔓延到网上,甚至还衍生出了个人信息买卖、网络诈骗等犯罪新手法。

    《2分钟学会保护个人信息不“裸奔”》动漫视频,也用生动活泼的卡通形象,呈现了习近平总书记此前在多个场合所强调的“互联网这块‘新疆域’不是‘法外之地’,同样要讲法治”这一原则。

    《网络安全法》的新规,也体现了这一原则。

    针对网络诈骗多发态势,《网络安全法》规定,任何个人和组织不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。

    违反上述规定,对于尚不构成犯罪的、将由公安机关处五日以下拘留,可以并处一万元以上十万元以下罚款;情节较重的,处五日以上15日以下拘留,可以并处五万元以上50万元以下罚款。

    支招

    个人信息被商家超范围收集怎么办?

    《网络安全法》中对公民个人信息的要求、维权渠道,动漫视频进行了重点、直观的呈现。

    如果你的个人信息被商家超范围收集该怎么办?根据《网络安全法》规定:个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

    另外,法律也鼓励公民可以向网信、工信、公安等主管部门举报相关的不法分子、不规范的从业行为。

    保护好个人信息,动漫视频还综合了业内人士的建议,给大家支招:

    日常生活中保护好个人信息要“长点心”:带有个人信息的照片可别随便晒;要“长记性”:账号口令要复杂安全性才更高。除此之外,还要“涨姿势”:登录账号、网银支付时的动态口令不能外泄;电脑、手机端上必要的安全软件也不能少;遇到可疑情况,第一时间向网信、工信、公安等部门举报。

    延伸阅读

    多项法规全面保护个人信息安全

    值得关注的是,从6月1日起正式实施的,除了《网络安全法》之外,还有“两高”首次就个人信息发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,以及国家网信办公布的《网络产品和服务安全审查办法(试行)》。

    这些法律规章,将从不同角度强化对公民个人信息的保护。

    比如试行的《网络产品和服务安全审查办法(试行)》,即要求要审查评估网络产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险。

    而“两高”的司法解释,则明确将“公民个人信息”规定为身份识别信息和活动情况信息,个人“行踪轨迹”也被列入个人信息范围。

    司法解释中,还有多处对侵犯个人信息的行为“从严惩处”:设置了较低的入罪门槛,只要是非法获取出售公民个人信息超50条即可入罪;针对公民个人信息泄露案件不少系内部人员作案,司法解释对此予以从重处罚,明确“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人”的,认定“情节严重”的数量、数额标准减半计算。

    报告:没有一个达到“高”评级157个平台为0分

    透明度“较高”的有84个平台,占总平台个数的8 .4%;透明度“中等”的平台个数为110个,占比11%

    你知道吗?很多人每天都要使用的摩拜、ofo等共享单车类A P P,饿了么、百度外卖等叫餐A P P,以及大量收集用户信息的赶集网、智联招聘等求职类A P P,它们有一个共同的特点,那就是这些常用的手机应用A P P或网站的用户信息保护政策严重不透明,评分都处于低与较低级别。对此,作为用户的你知情吗?

    5月31日,《南方都市报》与中国政法大学传播法研究中心联合发布《互联网企业隐私政策透明度报告》,北京玺泽律师事务所为此次测评的法律顾问。对1000家常用网站、A P P的用户信息保护政策透明度进行排名,结果显示,测评的生活服务、休闲娱乐、医疗健康等各个领域1000家平台中,超过50%的网站与A P P评分为“低”级别。

    看点1

    透明度“较低”和“低”的平台超过总数80%

    根据报告结果,在参与测评的1000家网站与A PP中,没有一个能够达到隐私政策透明度“高”的标准,透明度“较高”的有84个平台,占总平台个数的8.4%;透明度“中等”的平台个数为110个,占比11%;而透明度“较低”和“低”的平台个数相加则多达806个,超过总数的80%,透明度为“低”的超过五成。

    值得注意的是,在隐私政策透明度较高的84个平台中,既有小米、腾讯、阿里、京东、网易等大型互联网公司旗下的产品,也有一些不太知名的网站或A P P。这些公司制定的隐私政策相对完善,能够覆盖大部分必要的隐私保护条款。

    因此,在隐私政策透明度方面,互联网企业大小与最终的表现并没有直接关系。

    而在透明度低的548个平台中,有157个得到零分,即不提供隐私政策。其中教育文化行业最为突出,有32个平台没有隐私政策。除了有相当一部分平台没有提供隐私政策,还有一部分尽管提供了隐私政策,但主要内容在于约束注册用户的行为,没有提及隐私保护的相关条款。

    令人担心的是,一些我们每天都会使用的手机应用,如摩拜、ofo等共享单车类A PP,饿了吗、百度外卖等叫餐A P P,以及大量收集用户信息的赶集网、智联招聘等求职类A P P的表现不尽如人意,分数基本都处在“较低”层级。

    看点2

    社交类平台得分领先旅游交通类垫底

    把1000个网站和A P P平台按照十大行业划分,平均得分从高到低排列,分别是社交交友、生活服务、休闲娱乐、购物导购、互联网金融、医疗健康、新闻资讯、体育健身、教育文化和旅游交通。

    然而,即使是排名最高的社交交友类平台,平均分也只有50 .5分,处于隐私政策透明度较低的层级。除了排名前四的行业,剩余六个行业的整体得分都低于40分,隐私政策透明度低。

    需要指出的是,以上排名与平台和用户交互的程度也有一定关系。社交和生活服务平台需要收集大量个人信息,所以相对来说,隐私政策透明度相对较高;而教育文化、旅游交通等行业即使提供用户交互功能,但平台功能以资源提供为主,对隐私政策制定的关注度也较低。

    看点3

    评测结果与互联网企业规模大小并不一定相关

    根据测评结果来看,各行业内排名前三的平台基本上都是大型知名互联网企业旗下的网站和A PP,例如淘宝、京东、腾讯等等,但同时,排名在前十的平台中,也不乏一些非大型互联网企业旗下的网站和A PP。这意味着,平台在用户信息保护政策透明度方面的表现与互联网公司的规模大小并不一定呈正相关关系。

    测评办法

    取样1000家常用网站和A P P十三项测评标准类别

    为了让更多互联网企业重视个人信息保护及隐私政策,让更多用户关注隐私协议,了解自己被“明示同意”收集了哪些信息,用作何处以及与谁共享,同时加强隐私保护意识,南都选取了1000家常用网站和APP,对它们的隐私政策进行测评。

    基于所提供的服务与人们的生活的相关度,用户使用量和使用频率等因素,测评选择了购物导购、互联网金融、教育文化、旅游交通、生活服务、社交交友、体育健身、新闻资讯、休闲娱乐、医疗健康等十类测评对象,并根据公开报道,APP应用商店排行榜以及使用诸如“社交类网站排行榜”、“购物导购网站排行榜”等关键词进行搜索,在十大类中每类随机选取100家平台参与测评,其中50家APP,50家网站。

    在测评标准上,隐私政策评测标准十三大项包括个人信息保护政策的规范性、履行必要的告知和警示义务、用户选择和同意权、向第三方披露用户个人信息、特殊情形下个人信息的处理原则等。信息的采集时间主要为2017年5月4日到5月30日。

    此次测评的法律顾问为北京玺泽律师事务所。

    新闻背景

    隐私政策受互联网企业轻视网络安全法启动规管

    隐私政策,是企业与用户之间关于如何处理和保护用户个人信息的基本的权利义务的文件,用以告知用户个人信息如何被收集、使用、与第三方共享的情况。它不是仅对企业的束缚,也是企业提示用户自主、自愿、合理提供和处分个人信息,并区分与用户责任的依据。

    但南都在日常报道与研究中发现,在无相关法律规范及缺乏外部监督的情况下,互联网企业对隐私政策的重视程度并不高。

    以移动端APP为例,在谷歌Play、苹果APPStore的应用商店上,均有要求凡涉及个人信息及敏感信息的网络运营商必须提供隐私政策,说明如何收集使用、分享和处理用户数据。但并非所有上线的APP都有隐私政策。在大多数无这方面要求的应用商场里,情况更是如此。

    这种有意或无意的疏忽已成为如今互联网产品用户个人信息泄露的重要原因之一。据调查显示,网站和APP泄露的隐私,是非法交易中个人信息的主要来源。用户上网的习惯偏好、日常的行动轨迹,甚至连通话记录、手机里装了什么应用都可能被获知,但很多时候,用户对此一无所知。

    目前,在国内并没有相关的第三方隐私保护组织,也没有一部直接针对个人信息保护的基本法律。关于个人信息保护的规定散见于民法、刑法、网络安全法及其他特别领域的法律法规中。

    其中2017年6月1日生效的《网络安全法》,首次在法律层面规定了个人信息保护的基本原则。《网络安全法》明确指出,收集适用信息应经用户明示同意,不得收集无关信息,不得向他人提供个人信息,经过处理无法识别特定个人且不能复原的除外,不得非法出售个人信息。