發(fā)布日期:2021-10-12 瀏覽次數(shù):4286
在網(wǎng)友舉報信息中,關(guān)于“某某App收集手持身份證照片”的信息可謂屢見不鮮,尤其是在App陸續(xù)上線注銷功能后更是成為一個普遍的現(xiàn)象。“人證合一”的高清照片之所以敏感,是其可以被用于辦理代理開戶、貸款、注冊公司、洗錢等用途,甚至成為了“數(shù)據(jù)黑市”中的“香餑餑”。
然而上網(wǎng)一搜,就會發(fā)現(xiàn),販賣手持身份證照片牟利的行為也時有發(fā)生,甚至有些照片還能被搜索引擎直接搜到。對此,很多網(wǎng)友表示“身邊經(jīng)常使用App的朋友幾乎都在使用某些功能時上傳過這樣的敏感信息,一旦這些信息泄露、濫用會給個人造成多大傷害真是細(xì)思極恐”。
問題舉報情況
App專項治理工作組“App個人信息舉報”舉報平臺收到的超過1萬條的有效舉報信息中,涉及“需要本人提供手持身份證照片”的舉報信息有400余條,主要集中在金融借貸、網(wǎng)絡(luò)社區(qū)、短視頻、交通票務(wù)、房屋中介等五類App。
主要收集場景
部分App為了完成對用戶身份的核驗等目的,將提供手持身份證照作為“硬指標(biāo)”和“必選項”,不提供便無法正常使用App的某些功能。主要場景有:
常見場景
注冊、認(rèn)證、開戶環(huán)節(jié)(尤其是支付、金融等App)
開通店鋪、可發(fā)布內(nèi)容賬號環(huán)節(jié)(廣告、商品、出租房、音視頻等)
綁卡、提現(xiàn)、領(lǐng)獎等環(huán)節(jié)
解綁、重置賬號密碼等環(huán)節(jié)
更正、刪除個人信息等環(huán)節(jié)
注銷賬號等環(huán)節(jié)
既然躲不開這些環(huán)節(jié),部分網(wǎng)友機智地選擇在照片上附上水印“此照片僅供***使用”等字樣,來保障照片不被用于其他場合,但提交后卻被告知審核不通過,原因是App要求照片上不能有任何水印和遮擋物,必須是清晰原圖。更有甚者要求用戶拿著一張紙條一起拍照,紙條上只是寫明是自愿提供,也不能寫具體目的等。
如此“處心積慮”收集手持身份證照片到底為那般?
問題成因和風(fēng)險分析
常見收集理由
對此,大部分App運營者給出的理由是為了滿足法律法規(guī)或行業(yè)監(jiān)管有關(guān)“實名制要求”,使用“人證合一”方式,驗證真實身份,目的是防止身份冒用,保障用戶賬號安全。
那么這個理由真的站得住腳嗎?App通常收集“人證合一”信息的過程合法合規(guī)嗎?
法律法規(guī)依據(jù)分析
《網(wǎng)絡(luò)安全法》第二十四條就規(guī)定,網(wǎng)絡(luò)運營者為用戶提供信息發(fā)布、即時通訊等服務(wù),在與用戶簽訂協(xié)議或者確認(rèn)提供服務(wù)時,應(yīng)當(dāng)要求用戶提供真實身份信息。用戶不提供真實身份信息的,網(wǎng)絡(luò)運營者不得為其提供相關(guān)服務(wù)?!兑苿踊ヂ?lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》中也提及移動互聯(lián)網(wǎng)應(yīng)用程序提供者應(yīng)當(dāng)嚴(yán)格落實信息安全管理責(zé)任,按照“后臺實名、前臺自愿”的原則,對注冊用戶進行基于移動電話號碼等真實身份信息認(rèn)證。
從以上內(nèi)容不難看出,通常情況下實名制要求更傾向于“實名”,比如在手機號碼強制實名登記后,使用手機號注冊App即達到實名要求。除此之外,在購票、跨國快遞、金融賬戶開戶、反洗錢、酒店預(yù)訂、網(wǎng)絡(luò)游戲注冊、直播開通等環(huán)節(jié),均出臺相關(guān)規(guī)定要求用戶進一步使用身份證件(身份證號或身份證復(fù)印件)進行身份認(rèn)證,但并沒有明確要求采取拍攝“人證合一”照片的方式進行身份認(rèn)證。
必要性和合理性分析
現(xiàn)如今,網(wǎng)上遠程辦理業(yè)務(wù)成為常態(tài),在方便用戶的同時也帶來了身份假冒等風(fēng)險。如果說App運營者擔(dān)心有用戶會使用虛假手機號、身份證號來避開實名制要求,那么,在一些涉及用戶重大利益的場景下,可以審慎使用“人證合一”的方式再次核驗身份,同時必須保證在“安全可信”的環(huán)境下進行。
但是,在提現(xiàn)、領(lǐng)獎、重置賬號密碼,更正、刪除個人信息等環(huán)節(jié),完全可以通過電話回訪、短信驗證等方式核驗用戶身份,而不是“逼迫”用戶拍攝上傳“人證合一”的照片。甚至,有些App只是通過手機號注冊就能使用,而在執(zhí)行上述環(huán)節(jié)過程中,需要“人證合一”照片身份核驗,由于App運營者沒有事先掌握手機號與“人證合一”照片之間的關(guān)聯(lián)關(guān)系,這種所謂的核驗毫無邏輯,屬于典型的以“欺騙”等方式收集個人敏感信息。
處理方式合規(guī)性分析
進一步分析App中收集手持身份證照片的過程和方式,不免讓人心生很多疑問。首先,部分App對收集使用該信息的目的、使用范圍等未作明確闡釋,甚至不允許用戶添加必要的使用目的限制相關(guān)的水??;其次,從核驗身份目的而言,完全可以在完成身份核驗后及時刪除收集的手持身份證信息。但是,很多App在注銷賬戶時,要求用戶提供該信息核驗身份,但并未向用戶表明不會存儲該信息。用戶不得不吐槽,“注銷賬戶收的信息還比注冊和使用多,也更敏感,這到底是注冊還是注銷?”,最后出于擔(dān)心敏感信息被濫用,只能作罷。
綜上分析,如此這般方式收集手持身份證照片信息,又如何保證信息的安全,如何讓用戶能夠放心?
幾點建議
手持身份證照片信息涉及用戶切身利益,App運營者必須高度重視對此類信息的收集使用行為,確保各環(huán)節(jié)安全。本文有以下建議供相關(guān)方參考:
1、杜絕一切“未經(jīng)本人用戶明示同意的”獲取和交換手持身份證照片信息的行為;
2、清查并刪除已達成使用目的但仍舊留存的手持身份證照片信息;
3、分析現(xiàn)有業(yè)務(wù)收集手持身份證照片信息的必要性,盡可能選擇合理的替代方案;
4、如業(yè)務(wù)本身涉及用戶重大利益或特殊監(jiān)管需求,必須收集該信息的,需采取加密保存及嚴(yán)密的權(quán)限控制、審計等措施確保收集使用環(huán)境的安全可信;
5、可展示搜索結(jié)果的搜索引擎、網(wǎng)站或App,對手持身份證相關(guān)關(guān)鍵字、圖片進行主動屏蔽,防止個人信息被惡意爬取、濫用。