近日,国家网信办发布两则通报,对“滴滴出行”“运满满”“货车帮”“BOSS直聘”等实施网络安全审查。调查期间,有关App要停止新用户注册,有的还从应用商店下架。
这些App被审查的事由中,出现了“违法违规收集使用个人信息”“防范国家数据安全风险”等字眼。这是什么意思呢?
“滴滴出行”资料图(图源:网络)
一
App超范围收集个人信息、过度使用个人信息的情况,近年来屡见不鲜。 相信不少人都有这样的疑问:明明只是一个功能简单的App,为啥要读取这么多用户信息,包括通讯录、定位甚至是机器识别码、人脸识别信息?要知道,这增加了用户隐私信息泄露风险,甚至催生了交易用户数据的黑色产业链。
针对App过度收集使用个人信息的乱象,2019年起,相关部委就已开始多批次专项整顿。 今年6月,工信部发布侵害用户权益行为的App通报第14批次;5-6月,国家网信办发布了4批次App违法违规收集使用个人信息情况通报,涉及App超300款 ,包括Keep、抖音等知名手机应用。
相关App被责令限期整改;拒不整改的,通知应用商店下架处理。
梳理今年工信部和网信办的通报,可以得出这些App的一些共性问题,大致分为“违规收集”和“违规使用”用户个人信息两个层面。
所谓“违规收集”,重点指这些App 私自收集个人信息、超范围收集个人信息 。例如,未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前,App就收集用户个人信息;或是在非服务所必需或无合理应用场景,超范围、超频次收集个人信息。先前发布的整改名单中,印象笔记、前程无忧51job等知名App涉及此问题。
“违规使用”,主要指 私自共享用户信息至第三方、强制用户使用定向推送功能 等。在App中,用户会产生搜索记录、浏览记录、使用习惯等个人信息,App未经用户同意与其他应用共享、使用用户个人信息,或者未向用户明确标示就用于不可关闭的定向推送或精准营销,都属于违规使用个人信息。熊猫优选、花椒等App,就曾因此问题被要求整改。
这次的滴滴出行App,被网信办称为“存在严重违法违规收集使用个人信息问题”。 “严重违法违规”到什么程度,需要等相关官方通报。
App权限(图源:网络)
二
数据是互联网经济和实体产业发展的重要推动力。有人说,大数据时代,数据的战略价值就跟此前的石油一样。
但在海量的数据规模、快速的数据流转带来前所未有的“数据价值”时,数据权益归属与利益分配不明,极容易引发数据获取、共享、交易等法治风险与困境。
中国信息通信研究院副院长、信息通信行业反诈中心负责人魏亮认为,App违规或超范围收集而来的个人信息,容易进入网络黑产链条,被不法分子用来施展网络诈骗。他表示,当前,“赌博杀猪盘”“刷单贷款”“投资理财”等诈骗行为频繁发生,诈骗呈现从电话诈骗向互联网诈骗转移的趋势,个人数据安全形势依然严峻。
2020年4月,国家网信办成立了网络安全审查办公室,这是依据同期12部门联合发布的《网络安全审查办法》所设的新机构。发布这一办法的机构,包括国家网信办、发改委、工信部、公安部、国家安全部、财政部、商务部、央行、市场监管总局、广电总局、国家保密局、国家密码管理局等,可见广泛。
更值得注意的是, 在《办法》中,对数据安全的重视,上升到了“关键信息基础设施供应链安全”“国家安全”等层面 。
国家网信办有关负责人表示:“关键信息基础设施,对国家安全、经济安全、社会稳定、公众健康和安全至关重要,中国建立网络安全审查制度,目的是及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害,保障关键信息基础设施供应链安全。”
有业内分析人士认为,根据《网络安全审查办法》有关条例,一些被审查的机构及App,可能被认定为“关键信息基础设施运营者”。国家网信办此前表示,“使用网络安全审查未通过的产品和服务,由有关主管部门责令停止使用,处采购金额1倍以上10倍以下罚款;对直接负责的主管人员和其他直接责任人员,处1万元以上10万元以下罚款”。
据中国信息通信研究院安全研究所数据安全研究部副主任陈湉介绍,截至去年6月底,有关数据安全风险监测机制已对主流应用商店分发渠道的4万多款App进行了监测,其中,92.97%的App存在“中高危”数据安全风险,“力保数据安全已刻不容缓”。
在陈湉看来,重要数据保护工作可从几个方面切入:
一是建立重要数据动态识别机制,及时研判数据是否因汇聚、整合、分析而“升级”为重要数据,及时调整保护策略;二是主抓数据活动关键环节,严防重要数据影响国家安全、公共利益;三是健全数据安全保障技术手段,健全覆盖数据生命周期的数据安全技术保障手段,与安全管理规程、人员管理等工作协同配合,实现对重要数据的全方位、立体式保护。
数据安全的刹车,必须时刻紧握在手。
相关报道:滴滴到底有没有危害国家安全?
2018年5月16日,柳传志在联想内部发了一封公开信,信的结尾他说道: “兄弟姐妹们,到了我们挺身站出来的时候了,朗朗乾坤,如果几万名员工都不能让正气自保,我们还办什么企业,我们就是一群窝囊废!” 结合周末刚发生的几件事,“朗朗乾坤”“正气自保”几个词从中关村教父嘴里说出来,多少显得有些讽刺了。
7月2号,“网信中国”发布公告:为防范国家数据安全风险,维护国家安全,依据《国安法》《网络安全法》对“滴滴出行”实施网络安全审查。审查期间滴滴停止新用户注册。
一款国民级APP公开受到国安调查,被叫停新用户注册,这在中国还属首次。 网信办通报发出后,很快有网友在微博爆料了滴滴为赴美上市,“把数据打包交了过去”。7月3号,滴滴副总裁在微博上辟谣称“绝无可能”,“也包括道路数据,请不要恶意揣测”。
但辟谣第二天就迎来了官方更为严厉的公告措辞:“经检测核实”,滴滴出行存在“严重的违法违规收集使用个人信息问题”。APP也从各大应用商店下架。
事件爆发后,很多网友在社交平台上表达了自己的看法。 有人觉察到滴滴选的上市时间很有“讲究”,选在了6月30号晚上,赶在了百年党庆前。一位知乎网友评价: 在百年党庆前一天美国上市,这个时间点选的有点挑衅意味了。
也有人担心滴滴要“跑路”,特地跑去开发票,抱着“即使拿发票不报销也要让滴滴把税交了”的心态,一度滴滴系统快崩溃了。
更多人则是把怒火发泄到了柳传志家族身上。 因为滴滴总裁柳青是柳传志的女儿,柳传志又在世界5G标准投票大会上把票投给了高通,柳传志父亲柳谷书被指为“港D”维他奶申请大陆商标。 微博上有网友调侃:一家三代,一脉相承,满门忠烈。 当然了,也不是所有人都骂滴滴和柳传志一家。 有位微博大V就跑出来科普:其实就算真把地图数据给了美国,也不用大惊小怪的。
关于滴滴有没有“卖国”,有没有把“数据打包交过去”,目前国安已经介入调查,相信很快会有一个结果。 但在此之前,并不影响我们根据有关法律条文从过往的“蛛丝马迹”中找到一些石锤,以及搞明白这件事是不是真的像有些微博大V所说,就算交过去也没啥大不了的? 不知道大家发现个现象没有,大约从2020年开始,中概念股开始扎堆回港上市: 包括已经回来的汽车之家、哔哩哔哩、新东方,还有腾讯音乐、唯品会、蔚来、理想及小鹏等也纷纷传出回港二次上市的消息。
很多人会简单地把这些行为理解为“资本运作”,但实际上并不止这么简单。 造成大量中概股回港上市的直接原因是,美国2020年通过的《外国公司担责法案》(以下简称为“HFCAA法案”)。 HFCAA法案规定,所有赴美上市的企业必须接受PCAOB(美国公众公司会计监督委员会)对会计底稿的审查,否则将被强制退市。 但是,这一行为却直接违反了中国的新《证券法》! 2020年,正式生效的新《证券法》第一百七十七条明确规定:未经国务院证券监督管理机构和国务院有关主管部门同意,任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料。
也就是说,现在想去美国IPO,你要允许美国审计你底稿,不允许你就违法了;但同时,如果没有经过国务院有关部门同意,就把底稿交了出去,你在中国同样违法了。 那么第一个问题就来了:滴滴赴美IPO到底有没有经过国务院有关部门同意呢? 一般公司成功上市后,都是媒体稿子漫天飞的节奏,但滴滴如此“低调”,不由得让人产生些怀疑。 第二个疑问是,HFCAA法案规定,赴美上市公司须向美国证券交易委员会提供文件,以证明和确认其不被外国政府拥有或不受外国政府控制。 问题是如何证明呢?假如漂亮国让你交出本国“街道数据”来证明政府管不了你,合不合理?我觉得想一下也是合理的。 HFCAA法案是由特朗普签署生效的,目标就是针对中国,条款非常苛刻,甚至还要求上市公司: “披露上市公司董事会成员中属于中国共产党的名单,以及公司章程性文件中是否包含任何中国共产党党章”的规定。
在这种几乎无脑2选1的规定下,百度、B站、新东方等企业才排着队回香港上市,而滴滴现阶段主动选择赴美IPO本身就属于“跪美逆行者”了,起到个特别差的示范作用。 那么,是否又如某些大V所说,把“街道数据”交出去不需要大惊小怪呢? 我觉得还是直接上法律条文吧。国家《基础地理信息公开表示内容的规定》中明确规定:快速路、高架路、引道、街道和内部道路的铺设材料、最大纵坡、最小曲率半径不可公开。 “最大纵坡、最小曲率半径”这些数据一般公司还真搞不定,能搞定的只有那些申请到“全国高精地图测绘牌照”的企业。 因为关乎国家地理安全,长久以来,国家对企业高精地图的测绘审批极为严格。 据“盖世汽车”数据,从2001—2019近20年间只有20家企业拿到了资格。很不幸,20家企业中滴滴的大名早在2017年就赫然在列了。
高精地图的绝对精度一般都会在亚米级,以高德地图为例,绝对精度可以达到10厘米以内,而且横向的相对精度往往还要更高。 高精地图不仅有高精度的坐标,同时还有准确的道路形状,并且每个车道的坡度、曲率、航向、高程,侧倾的数据也都包含在内。 如果滴滴真把这些国家规定不能公开的数据交了出去,虽然我也不明确具体会产生怎样严重的后果,但说“不用大惊小怪”是不是有点太扯了呢? 随便搜搜往年新闻,因为非法测绘我们武警都把枪指在日本人头上了,这事好像没有那么轻松、简单吧?
况且,滴滴手上掌握的数据远不止地图数据这么简单。 网上有人爆料过,自己朋友被卷入上海某金融案,被警方带走调查后,回来发现滴滴顺风车的车主账号被永久注销了,原因是“账号违反规定”。 据此,网友怀疑滴滴可以从一定渠道接入公安信息系统,获得人员实时更新的“政审”状态。 滴滴账号绑定手机号,在我国目前手机号实名制、手机号约等于身份证号的治安防控体系下,等于在掌控特定人行动信息,大数据什么的就更不用说了。 所以,可能是中国和平太久了,让很多国人已经没有基本的敌我意识了吗? 好像间谍啊、卖国啊这些词都离自己很远,但事实上,这些在电视、老电影里看到的剧情,可能每天就发生在大家身边。 今年4月份,江苏盐城的渔民王锁和船员们在近海捕鱼,起网时,拉出来一个体积庞大的黑色物体。 黑色物体上有一块太阳能板,后边带螺旋桨,两边带着翅膀。
因为是第一次捕捞到这样奇怪的东西,靠岸后,他第一时间报告给了当地渔政和国家安全部门。 结果经研究发现,这台机器是个最新型的波浪滑翔机,上面搭载了非常多的传感器,能够测量好多海洋的环境参数。 “如果把环境测量得很清楚,我们水下目标的隐蔽性就会受到威胁。”研究员唐建生说道。
2019年3月,浙江在校大学生庄宇在“舟山全职兼职普工”QQ群中寻找兼职。 一位成员主动申请添加他为QQ好友,并向他提供了“某军港附近地图信息采集和沿街商铺拍摄”的兼职工作,要求“每天工作3小时,一周工作3天,日工资200元”。
觉着收入挺不错,这位大学生竟然答应了,先后8次应对方要求前往小区楼顶制高点、公园和医院附近,拍摄了几百张我国军港情况的照片,通过邮箱发送给对方。 2019年12月,庄宇被舟山市中级人民法院判处有期徒刑5年6个月,剥夺政治权利1年。 回到滴滴这件事上,根据公开资料,滴滴董事会里最让人难理解的就是竟然有一位出身于美国西点军校的前美国陆军军官担任独立董事。
在入职滴滴之前,此人在高盛工作过,高盛资本对中国企业的渗透我们之前专门写文章讲过;此外,他在苹果工作期间,担任的就是监督职责:包括硬件、软件和服务领域。 根据现代董事会制度,独立董事享有的基本权利之一就是“知情权”。 “凡须经董事会决策的事项,上市公司必须按法定的时间提前通知独立董事并同时提供足够的资料,独立董事认为资料不充分的,可以要求补充。” Adrian Perica从2016年6月30日起担任滴滴出行独立董事,到现在5年多了,他到底从滴滴拿走了多少敏感资料呢? 滴滴在美国上市后,没有找任何一家媒体发公关稿,想的就是可以闷声发大财。 按照 14 美元 / ADS 计算,滴滴创始人程维的身家高达人民币 282 亿元,滴滴总裁柳青身家高达人民币70亿元,滴滴高管和员工的股票池总金额约1128 亿元人民币。
海淀区东北旺路8号院里又要诞生上百位亿万富翁千万富翁了,只不过,如果这些钱是靠践踏国家信息安全、侵犯人民隐私换来的,他们怎么会得到这片土地的祝福呢?
写到这里,我想起了一个叫胡士泰的人。
从2003年到2009年期间,由于胡士泰充当商业间谍,导致我国在同澳大利亚铁矿石价格谈判中,7年累计多花了7000多亿冤枉钱。
胡士泰从中获利人民币646万元。也就是说,国家付出了超10万倍的代价,才为胡士泰泄露出的信息买了单。
希望滴滴不会给我们国家造成更大的损失。