拿什么保护你，我的个人信息

拿什么保护你，我的个人信息

2019年1月25日，中央网信办会同工信部、公安部、市场监管总局在北京举行“App违法违规收集使用个人信息专项治理”新闻发布会。四部门对外对外发布《关于开展App违法违规收集使用个人信息专项治理的公告》，强调App运营者不得收集与所提供服务无关的个人信息，不以默认、捆绑、停止安装使用等手段变相强迫用户授权，不得违反法律法规和与用户的约定收集使用个人信息。手机App过度收集个人信息的问题，再度引起舆论关注。

（四部门举行“App违法违规收集使用个人信息专项治理”新闻发布会）

个人信息知多少

个人信息被过度搜集的问题由来已久。北京市消费者协会于2018年3月发布的《手机APP个人信息安全调查报告》显示，被调查者中有89.62%的人认为手机APP存在过度采集个人信息，79.23%的人认为手机APP上的个人信息不安全。其中，被手机APP采集最多的个人信息依次是联系方式、姓名和头像，被调查者最担心被采集的个人信息是身份证号和银行账号，最担心出现的问题是个人信息被贩卖或交换给第三方以及被利用从事诈骗和窃取活动。个人信息又具体指什么，它又有哪些分类呢？

所谓个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。对于经不可逆的匿名化或去身份化处理，使信息或信息集合无法合理识别特定用户身份的信息不属于上述“个人信息”。“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》及《信息安全技术个人信息安全规范》都对此予以了明确。

个人信息的外延一般包括：（1）个人基本资料；（2）个人身份信息；（3）个人生物识别信息；（4）网络身份标识信息；（5）个人健康生理信息；（6）个人教育工作信息；（7）个人财产信息；（8）个人通信信息；（9）联系人信息；（10）个人上网记录；（11）个人常用设备信息（12）个人位置信息；（13）其他信息。

个人信息可以分为敏感信息和一般信息，前者在被泄露、非法提供或滥用后可能会危害人身或财产安全。通常情况下，14岁以下（含）儿童的个人信息和自然人的隐私信息属于个人敏感信息，依据《信息安全技术 个人信息安全规范》（GB/T 35273—2017），其范围和类型大致如下表所示：

（图片来源于《信息安全技术个人信息安全规范》）

缘何会被过度收集

那么，App运营者为何会热衷于过度采集用户的个人信息呢？

。在互联网领域，通过搜集用户个人信息为其精准推送相关广告，早已成为行业通行的惯例。各类算法经过大数据的不断训练，可以在了解用户个人信息的基础上，分析用户消费行为，在极度颗粒化的场景下确定用户的需求，从而为其精准地提供个性化服务或商品。相关广告在被点击后，运营平台也因此得以获利。故而有人称之，“在信息社会，信息就是最大的资源”。加之我国现有法律法规中，对互联网企业搜集个人信息、推送商业广告的行为并未予以规制，运营平台为了获利也必然绞尽脑汁收集用户个人信息。

除了获利因素外，利用数据分析客户需求和用户黏性，从而将产品更好地迭代升级也是App运营者热衷采集个人信息的一大主因。对产品经理而言，从APP产品创意产生到整体规划、到推动研发、到项目管控、再到运营推广，乃至于持续的迭代升级，客户数据的收集、分析一直都是重中之重，贯穿于产品的整个生命周期。此外，为了从激烈的市场竞争中胜出，为用户提供新功能，开发APP新技术也会大概率使用用户的个人信息。

（Facebook获得新专利，可以利用相关元数据发掘用户亲友关系）

对运行于安卓系统的APP而言，获得移动终端相应权限是提供系统服务的前提。所谓“权限”是指为保护用户的隐私，移动终端操作系统对于应用访问敏感用户数据或使用特定系统功能的限制。中国信通院与泰尔实验室等机构于2018年11月共同发布的《智能终端产业个人信息保护白皮书》显示，APP运营者为了突破上述技术限制，往往采用一揽子授权方式，取得远超服务需求的权限。“申请超出应用实际业务功能和场景的权限，为应用过度收集用户个人信息打开了通道，极易造成用户信息泄漏。”

（《智能终端产业个人信息保护白皮书》统计的过度申请授权情况）

无论是个人还是企业，当前对过度收集个人信息所带来的危害普遍存在认识不足的问题。一方面，潜在危险并不一定能够真实转化为现实危害，如果用户的个人生活没有受到太多负面影响，即使个人信息被过度搜集甚至泄露，对大多数用户而言也仅是一件无关痛痒的小事；另一方面，即使相关国家标准中不断强调个人信息搜集务必遵守“目的明确原则”和“最少够用原则”，但由于缺乏明确的法律责任规定，APP运营者在实际中也往往不予遵守，过度搜集用户个人信息。

目的明确原则：处理个人信息具有特定、明确、合理的目的，不扩大使用范围，不在个人信息主体不知情的情况下改变处理个人信息的目的。

最少够用原则：只处理与处理目的有关的最少信息，达到处理目的后，在最短时间内删除个人信息。

——《信息安全技术 公共及商用服务信息系统个人信息保护指南》

避免成为受害者

一些企业在收集用户个人信息后，由于没有按照相关规范采取相关保密措施，或相关技术措施不过关，或由于企业内部人员非法转让、出售用户信息来牟利，最终导致用户个人信息泄露，对自身生活带来诸多负面影响。作为普通用户的我们，又该如何避免成为过度收集行为的受害者呢？

l  谨慎使用公共WiFi。公共场合WiFi不要随意链接，尽量不要使用这样的无线网进行网购等活动。进入公共场合后关闭WiFi开关，避免在自己不知道的情况下连接上恶意WiFi。

l  谨慎使用手机充电桩、共享充电宝。使用公共充电设备时，不要点击任何手机提示框出现的同意或者信任按钮；尽量使用自己的充电设备。

l  手机、电脑等都需要安装安全软件，每天至少进行一次对木马程序的扫描，尤其在使用重要账号密码前。每周定期进行一次病毒查杀，并及时更新安全软件。

l  正确设置手机系统。来路不明的软件不要随便安装（安卓手机用户建议在正规应用商店下载APP使用）。在使用智能手机时，不要轻易修改手机中的系统文件，也不要随便参加注册信息获赠品的网络活动。

l  设置高保密强度的密码，不同网站最好设置不同的密码。网银、网购的支付密码最好定期更换。在非个人电脑上，尽量不要使用“记住密码”模式，上网后注意个人使用记录。

l  到正规网站购物。尤其是在支付的时候，务必使用正规且有保障的官方网站，安装官方防钓鱼查件，安全系数更高。

l  不随意点击陌生链接（邮件、陌生好友、陌生短信）。不随意接收或打开陌生邮件，打开邮箱，看到陌生人发来的邮件千万不能轻易打开，尤其是看到中奖或者是奖品认领等带有诱惑性信息的内容。

l  个人信息单独务必妥善处置。在处理快递单、各种账单和交通票据时，最好先涂抹掉个人信息部分再丢弃，或者集中起来定时统一销毁。身份证、户口本等有个人信息的证件，一定要保存好。

l  转卖旧手机前消除使用记录。建议旧手机恢复出厂设置后，再用一些不涉及个人隐私的较大文件，如图片、视频进行填充，对储存区域进行全面覆盖，卖给相对正规厂家。