WPS侵犯隐私背后 信息泄露顽疾不容忽视
如果缺少隐私边界,最终只会砸自己的招牌和口碑。
2022年7月11日,“WPS被曝会删除用户本地文件”词条冲上微博热搜。据了解,一名网友称自己利用WPS写作编辑的一百多万字小说,被WPS以“文件含有违禁内容,禁止访问”的理由进行封锁,完全打不开。
面对侵犯用户隐私和财产权益的汹涌指责,WPS很快回应称,是用户分享的在线文档链接涉嫌违规,依法禁止了他人访问该链接,此事被讹传为“WPS删除用户本地文件”。
虽然,WPS方面通过回应表明了自己的态度,但仍留下不少疑点:
第一,对于基于何种规则禁止了用户链接访问?
第二,这种技术手段是否安全合规?
WPS陷入隐私风波
WPS方面的回应引起了群情激愤。在WPS声明下,评论和点赞最多的是,“你怎么知道是违规的?你偷偷打开别人文件检查了?”
虽然没有直接删掉,还可以用WORD等软件打开了,但是在自己家里的PC电脑里的文件,被一个IT巨头细细审查,觉得“违规”就可以上锁,难道还不可怕吗?
此事的核心在于:WPS到底有没有权限,或者说在哪种情况下有权限查看用户的文档内容?如果审核判定存在敏感词违规,是否有权自作主张上锁处理?我们存在手机、电脑里的文件,还安全吗?
从报道来看,该位用户开启了WPS的云服务功能,所以创建编写的本地内容会自动同步存储到云端。WPS回应称,是用户分享的在线文档涉嫌违规,言外之意是,用户对外分享传播环节进行了读取审核,然而这一说法和用户的吐槽相矛盾。据用户所言,除了配合WPS的调查,“并未给其他人分享过”。
如果用户所言不假,那么就意味着,WPS方面或许并非传播分享环节审核了用户文档,而是通过云端环节,甚至是直接“偷看”本地文档。
自己创建编写的文档内容,不管是存储在本地,还是同步上传到了云端,只要没有对外分享传播,WPS有什么权限和理由来偷看呢?
而且所谓“违规”也是很武断的标准,比如,司法工作人员在文档里为存留证据,会涉及到一些敏感词,这就不能在电脑里顺利打开、编辑文档了吗?为了怕用户传播“违规”内容,就不允许在自己的电脑里打开、编辑文件?
其实,就连最新更新的《金山办公在线服务协议》也强调,对于用户使用该服务,上传、提交、发布、存储、发送、接收、传播或分享的内容,仅在有关法律、法规、国家政策等规定或者相关国家机关的要求的前提下,才能自行或者委托第三方进行审阅。
事实上,金山作为网络服务提供者,对于违法信息有依法进行管理的义务。用户的网络分享中如果存在违规内容,金山通过技术手段进行发现,并依据法律及用户协议约定对此进行处理,这是具备合理性的。
只不过在这个过程中,如果用户的网络分享并非向不特定对象公开,而是仅限于其朋友或工作伙伴等,则用户的分享行为本身可能属于私密行为,属于隐私的范围,未经用户本人同意,不能非法获取该隐私信息。
像WPS这样活跃用户上亿的主流办公软件,在隐私保护和用户体验上必须做到万无一失,包括让用户开通云服务同步上传功能,要建立在知情、同意的基础上。如果缺少隐私边界,最终只会砸自己的招牌和口碑。
网络上的个人信息泄露不容忽视
随着信息技术的日新月异,各种网络监控以及智能信息收集技术的出现,让大众的个人数据以及私密信息一度处于“裸奔”状态。
虽然,近两年相关部门也先后推出了《个人信息保护法》《数据安全法》等法律。但事关隐私侵犯及数据泄露的事情,依然层出不穷。
2017年6月,《中华人民共和国网络安全法》正式施行。同年8月,国家计算机病毒应急处理中心曝光第一批问题App,截至目前(2022年7月11日),共通报55期751款。
在被通报的违法违规行为中,涉嫌超范围采集个人隐私信息成为占比最高的一类。违法违规App覆盖游戏、办公、车票机票、银行、学习、健康、短视频等领域。
未向用户明示申请的全部隐私权限”是最常见的隐私不合规行为,高达451款App出现过这个问题,占比约60%。违规搜集用户个人信息的手段包括“在征得用户同意前就开始收集”“以默认选择同意隐私政策等非明示方式征求用户同意”“申请的权限与隐私条款不对应”“向第三方提供个人信息未做匿名化处理”等。
不仅如此,一些App往往选择在非必要的情况下使用高等级个人信息。比如,人脸、声纹、指纹、虹膜等生物信息开始用于移动支付等领域,与个人金融安全密切相关。
这导致人脸识别等个人生物信息大范围滥用。今后更多个人信息可能面临泄露的风险,场景也将更为复杂。
当前,我国个人信息泄露呈现出“问题频出——公安打击——安全平稳期——问题再次复现”的往复循环的态势,个人信息泄露问题日趋常态化。几乎每个人都被信息泄露这一顽疾所困扰。
对此有专家指出,根治顽疾还需跨过几座“山”,加大处罚力度的同时,亟须划定信息收集红线、强化制度震慑作用,加强重点领域立法补齐监管短板。
过度索权“套路多”信息收集要划定底线红线
多项调研结果显示,移动互联网平台读取和收集用户信息的边界尚不清晰,造成用户的个人信息常常被过度收集。
APP强制、频繁、过度索取权限,欺骗误导用户提供个人信息等问题受到社会广泛关注,特别是APP过度索取“麦克风”、“相册”、“通讯录”等权限问题,用户反映强烈。
对此,中国电子信息产业发展研究院网络安全所所长刘权直言,“相比日新月异、快速更迭的人工智能、大数据等信息技术,我国监管制度滞后于技术及应用场景的发展。”
他说,借助互联网平台和技术,各个应用程序和网站门户极易在用户无感知的状态下,采集并处理用户大量个人信息,比如肆意调取手机摄像头权限、复制剪贴板内容、读取操作相册图片、强制读取通讯录等。
另外,为满足监管要求,一些APP制定的隐私政策冗长复杂,用户常因难以理解而舍弃阅读,从而导致“收集用户信息需经用户同意”成为了一项无法落实的“摆设”。
中国司法大数据研究院社会治理研究中心主任李俊慧表示,越是在业务开展中具有收集个人信息需要的行业,越是个人信息泄露或不当买卖最为集中的领域。
因此,一方面,要明确各类企业或平台收集个人信息的边界,尤其是在何种情况下不得或不必收集个人信息,另一方面,对于收集了个人信息的企业或平台,也需要综合采取技术、管理及惩戒等措施或手段,加强对此类企业或平台个人信息保护能力的评估和动态监管。
违法成本过“低廉”制度震慑作用亟待加强
中国司法大数据研究院对2016年至2020年全国各级人民法院一审审结的涉侵害个人信息犯罪案件分析发现,近几年涉侵害个人信息犯罪案件呈快速增长的趋势。
2016年至2020年,全国各级人民法院一审审结涉侵害个人信息犯罪且裁判文书已公开的案件共计4443件。
其中,2016年审结12件,2017年审结113件,同比上升841.67%,2018年审结388件,同比上升243.36%,2019年审结1723件,同比上升344.07%,2020年审结2207件,同比上升28.09%。
信息泄露为何屡禁不止?业内人士表示,治理个人信息泄露乱象,必须要完善顶层制度建设,加大对泄露和滥用个人信息的处罚力度,让犯罪者付出沉重代价。
实际上,在国际范围内,企业信息泄露的处罚金额高昂。例如,2020年,因Facebook违反用户隐私保护策略,美国对其处以50亿美元巨额罚款;爱尔兰也就个人信息非法跨境传输问题,对Facebook处以了高达28亿美元的罚款。
通过提高单笔处罚金额等惩罚措施,倒逼数据控制者加强个人信息安全保护,是打击违法违规行为的有效手段。
此外,还要要加强行业自律,除数据采集层面外,也要从数据归集、加工、流动等技术层面上细化规定,防止企业打“擦边球”,导致数据在流动中泄露用户原始信息。
随着应用场景的逐步扩展,我国亟须成立专门的信息保护机构,一方面承接群众举报,及时回应群众关切,另一方面从根源上打击非法获取、售卖个人信息的不法分子,铲除其滋生的土壤。
与此同时,相关部门也需进一步加大执法力度,使企业对于个人隐私权保护存有敬畏之心,同时开展普法宣传,提升群众的个人信息保护意识。
责编:孙浪
监制:李红梅
参考资料:
1.《马上评|WPS有没有偷看我们的文档?这必须讲清楚!》澎湃新闻
2.《WPS被曝侵犯用户隐私 官方微博回应:该说法纯属误导》环球网
3.《根治信息泄露顽疾还需跨过几座“山”》经济参考报
4.《5年750多款App被曝光,手机里的信息泄露不容忽视》澎湃新闻
5.《最高法:加强隐私权和个人信息保护 依法惩治网络侵权行为》中国证券报