今年的3·15晚会现场,曝光了一款名为“社保掌上通”的App。据介绍,该App在没有提前告知用户的情况下,大量、非法搜搜集用户的社会保障号、社保查询密码等个人敏感信息,并在用户注册并查询社保信息时,将以上个人隐私信息传送至第三方服务器。
用户在使用第三方App注册、查询社保信息时,第三方平台会对用户的隐私信息进行采集处理,轻则会向用户推送商业广告,重则可能将相关隐私信息以金钱交易等方式转移给其他机构,并且对用户可能出现的损失不承担任何责任。
该事件被曝光之后,工信部立即启动“应用商店联动处置机制”,要求腾讯、百度、华为、小米、OPPO、vivo、360等国内主要应用商店全面下架“社保掌上通”App,对“社保掌上通”手机App的责任主体杭州递金网络科技有限公司进行核查处理,并全力组织对同类App进行排查检测,对类似问题一并要求整改。
疑问一:用户为什么要用“山寨货”? ▲▲▲
工信部直接介入后,国内主要的手机应用商店已无法下载上述涉事“社保掌上通”。然而,留给我们的疑问是,用户为何要下载该非官方“山寨”社保应用呢?
证券时报记者在手机360应用商店输入“社保掌上通”关键词,已找不到相关应用。输入关键词“社保”后,默认排在前列的产品分别是58同城、社保、社保(同名App)、社保查询、启信宝、查悦社保、全国社保查询、我的社保、51爱社保、查社保等10个App,值得注意的是,“58同城”和“启信宝”App与记者搜索的主题毫无相关,且有浅色字体的“广告”二字。排在第六位的“查悦社保”、第八位的“我的社保”以及第九位的“51爱社保”均标有360应用商店的官方认证字样。
记者随后在豌豆荚应用商店做“社保”关键词搜索,依序出现的是社保、爱城市网(标注为官方)、全国社保查询、社保认证、社保一点通12333(标注官方)、社保查询、社保公积金管家(标注官方)、社保网络认证等App。
然而,上述社保类App的开发者却良莠不齐。记者发现,“查悦社保”由北京天笑科技有限公司开发,其公司官网内容多与社保、公积金等有关,看起来还算正规;“我的社保”由广州闪聘网络科技股份有限公司开发,其公司官网显示为一家“面向蓝领及打工群体的移动招工和招聘应用”,与社保尚有一定关联,但核心业务并非社保相关;“51爱社保”由杭州煎饼网络技术有限公司开发,其主推产品包括“51公积金”等。
在360应用商店及豌豆荚皆被标注为官方App的“社保一点通12333”,其开发者是玉丰普惠(厦门)金融信息服务有限公司,天眼查信息显示,该公司专注于为国内中低收入阶层(蓝领、高校学生和初级白领)提供小额借贷与理财撮合服务,打造国内技术先进的,以大数据分析为核心风控模型的移动互联网金融平台。 虽然“用户评价”均较为正面,但证券时报记者下载安装社保一点通App后,发现消息推送开关被锁定,试图关闭均失败。记者尝试注册时,仔细阅读“社保一点通平台注册协议”发现,这份全文11000余字的协议中,仍存在与本次曝光的“社保掌上通”类似的霸王条款。
其相应条款第6条称——您同意,社保一点通平台有权在未告知您的情形下使用您的注册信息、用户名、密码等信息,登录进入您的注册账户,进行证据保全,包括但不限于公证、见证等。
另有条款称——有权要求用户同意社保一点通平台可自行或委托第三方信息服务……查询、采集、使用、识别、处理……包括但不限于个人基本信息、行踪轨迹、借贷交易信息、银行卡交易信息、手机账单信息、通讯记录信息、短信信息、电商交易信息、公积金、公用事业信息、央行征信报告、能够联系到个人的实体地址、电子邮箱地址、微信号、反欺诈信息等。
该协议条款还称——我们还会记录您在使用我们服务时自愿提供的信息。例如……个人财务或账务信息、资产状况、社保公积金账户和密码、电子邮箱账户和密码、网银账户和密码以及个人相关征信信息等。
对此,记者只是简单检索了相关协议,已发现诸多涉嫌过度采集用户个人隐私甚至是与财产、人身安全等有关的重要信息。
事实上,无论是在哪个移动应用商店,均存在海量的此类涉嫌违规App。可以认为,绝大部分应用商店平台均有对App审查不严的法律责任。对于用户来说,一方面是难有大量精力研读用户协议,而一旦想要锱铢必较“挑刺”,可能就无法使用相关应用。正如记者想要主动关闭“社保一点通12333”App的广告消息推送功能,但却被强行阻止一样,用户在良莠难辨的庞杂App当中,很难挑选到真正的官方应用,便只有无奈选择“山寨货”。
疑问二:社保部门为何不阻止“非法登陆”? ▲▲▲
2019年3.15晚会上,央视曝光了手机App通过获取用户授权,搜集用户隐私信息的乱象。晚会现场做了一项测试,主持人准备了一份真实的社保信息,然后通过“社保掌上通”App进行登录,并输入相关信息。与此同时,一位专家在旁边通过电脑将主持人现场输入的社保人信息全部截取下来。
专家现场表示,这个APP在用户使用的时候,通过隐秘的隐私条款,获得了用户的授权,将用户的信息全部截取了。专家现场提醒,查社保、查违章、订票等,需要注意甄别,要使用官方出品的应用。
分析人士指出,晚会现场做测试用的“社保掌上通”App,实际上并不是社保部门推出的官方查询工具,也没有获得相关授权,实际是第三方公司所提供的高仿“山寨”产品,并存在在相关授权协议上设置陷阱“强制索权”的风险。
那么,对于此类以查询公民社保信息等为主要用途的手机App,国家社保部门在允许其接入官方数据库之前,是否有义务核查一下相关企业的资质或检验一下该App应用的功能?这些过度搜集用户信息的App企业,可能将这些非法获取的数据用于何处?
北京金诚同达(上海)律师事务所合伙人王良律师告诉记者,“社保掌上通”(或其他类似App)取得用户“授权”后访问社保官网抓取数据,形成社保数据库后,供注册用户查询相关信息。其衍生出来的业务,大致还包括社保代缴、信用卡办理等互联网金融相关业务。
“这些查询社保官网的软件可以自动实现登录、采集数据,不必经社保局同意。其频繁登录一般只会造成其他用户访问网站速度变慢。但社保局一旦察觉大量非正常访问,则应提高网络安全等级。”王良律师对证券时报记者表示。他说,社保掌上通一类的App在搜搜集用户信息时,违反了“合法”“正当”“必要”三个原则,并妨碍了用户的知情权。如果数据使用范围超越正常,就严重违反《中华人民共和国网络安全法》。
记者查询相关法律发现,2017年6月实施的《网络安全法》第六十四条规定,网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
记者注意到,这一“黑洞”被曝光后,工信部快速反应,责令国内主要应用商店全面下架“社保掌上通”App,后续将对该App的责任主体杭州递金网络科技有限公司进行核查处理。实际上,工信部作为主管部门,正是依据上述法规规定中“情节严重”的情形,实施全网关闭App的决定。
“那些没有考虑清楚商业模式的创业者,往往认为搜集的信息越多越好。其实是需要先明确使用目的和范围后,才去搜集用户信息。对此,数据搜集者有相关的证明义务。”王良律师表示。
文章来源:证券时报网