在網(wǎng)友舉報(bào)信息中,關(guān)于“某某App收集手持身份證照片”的信息可謂屢見不鮮,尤其是在App陸續(xù)上線注銷功能后更是成為一個(gè)普遍的現(xiàn)象!叭俗C合一”的高清照片之所以敏感,是其可以被用于辦理代理開戶、貸款、注冊(cè)公司、洗錢等用途,甚至成為了“數(shù)據(jù)黑市”中的“香餑餑”。
然而上網(wǎng)一搜,就會(huì)發(fā)現(xiàn),販賣手持身份證照片牟利的行為也時(shí)有發(fā)生,甚至有些照片還能被搜索引擎直接搜到。對(duì)此,很多網(wǎng)友表示“身邊經(jīng)常使用App的朋友幾乎都在使用某些功能時(shí)上傳過這樣的敏感信息,一旦這些信息泄露、濫用會(huì)給個(gè)人造成多大傷害真是細(xì)思極恐”。
問題舉報(bào)情況
App專項(xiàng)治理工作組“App個(gè)人信息舉報(bào)”舉報(bào)平臺(tái)收到的超過1萬條的有效舉報(bào)信息中,涉及“需要本人提供手持身份證照片”的舉報(bào)信息有400余條,主要集中在金融借貸、網(wǎng)絡(luò)社區(qū)、短視頻、交通票務(wù)、房屋中介等五類App。
主要收集場(chǎng)景
部分App為了完成對(duì)用戶身份的核驗(yàn)等目的,將提供手持身份證照作為“硬指標(biāo)”和“必選項(xiàng)”,不提供便無法正常使用App的某些功能。主要場(chǎng)景有:
常見場(chǎng)景
注冊(cè)、認(rèn)證、開戶環(huán)節(jié)(尤其是支付、金融等App)
開通店鋪、可發(fā)布內(nèi)容賬號(hào)環(huán)節(jié)(廣告、商品、出租房、音視頻等)
綁卡、提現(xiàn)、領(lǐng)獎(jiǎng)等環(huán)節(jié)
解綁、重置賬號(hào)密碼等環(huán)節(jié)
更正、刪除個(gè)人信息等環(huán)節(jié)
注銷賬號(hào)等環(huán)節(jié)
既然躲不開這些環(huán)節(jié),部分網(wǎng)友機(jī)智地選擇在照片上附上水印“此照片僅供***使用”等字樣,來保障照片不被用于其他場(chǎng)合,但提交后卻被告知審核不通過,原因是App要求照片上不能有任何水印和遮擋物,必須是清晰原圖。更有甚者要求用戶拿著一張紙條一起拍照,紙條上只是寫明是自愿提供,也不能寫具體目的等。
如此“處心積慮”收集手持身份證照片到底為那般?
問題成因和風(fēng)險(xiǎn)分析
常見收集理由
對(duì)此,大部分App運(yùn)營(yíng)者給出的理由是為了滿足法律法規(guī)或行業(yè)監(jiān)管有關(guān)“實(shí)名制要求”,使用“人證合一”方式,驗(yàn)證真實(shí)身份,目的是防止身份冒用,保障用戶賬號(hào)安全。
那么這個(gè)理由真的站得住腳嗎?App通常收集“人證合一”信息的過程合法合規(guī)嗎?
法律法規(guī)依據(jù)分析
《網(wǎng)絡(luò)安全法》第二十四條就規(guī)定,網(wǎng)絡(luò)運(yùn)營(yíng)者為用戶提供信息發(fā)布、即時(shí)通訊等服務(wù),在與用戶簽訂協(xié)議或者確認(rèn)提供服務(wù)時(shí),應(yīng)當(dāng)要求用戶提供真實(shí)身份信息。用戶不提供真實(shí)身份信息的,網(wǎng)絡(luò)運(yùn)營(yíng)者不得為其提供相關(guān)服務(wù)!兑苿(dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》中也提及移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序提供者應(yīng)當(dāng)嚴(yán)格落實(shí)信息安全管理責(zé)任,按照“后臺(tái)實(shí)名、前臺(tái)自愿”的原則,對(duì)注冊(cè)用戶進(jìn)行基于移動(dòng)電話號(hào)碼等真實(shí)身份信息認(rèn)證。
從以上內(nèi)容不難看出,通常情況下實(shí)名制要求更傾向于“實(shí)名”,比如在手機(jī)號(hào)碼強(qiáng)制實(shí)名登記后,使用手機(jī)號(hào)注冊(cè)App即達(dá)到實(shí)名要求。除此之外,在購票、跨國(guó)快遞、金融賬戶開戶、反洗錢、酒店預(yù)訂、網(wǎng)絡(luò)游戲注冊(cè)、直播開通等環(huán)節(jié),均出臺(tái)相關(guān)規(guī)定要求用戶進(jìn)一步使用身份證件(身份證號(hào)或身份證復(fù)印件)進(jìn)行身份認(rèn)證,但并沒有明確要求采取拍攝“人證合一”照片的方式進(jìn)行身份認(rèn)證。
必要性和合理性分析
現(xiàn)如今,網(wǎng)上遠(yuǎn)程辦理業(yè)務(wù)成為常態(tài),在方便用戶的同時(shí)也帶來了身份假冒等風(fēng)險(xiǎn)。如果說App運(yùn)營(yíng)者擔(dān)心有用戶會(huì)使用虛假手機(jī)號(hào)、身份證號(hào)來避開實(shí)名制要求,那么,在一些涉及用戶重大利益的場(chǎng)景下,可以審慎使用“人證合一”的方式再次核驗(yàn)身份,同時(shí)必須保證在“安全可信”的環(huán)境下進(jìn)行。
但是,在提現(xiàn)、領(lǐng)獎(jiǎng)、重置賬號(hào)密碼,更正、刪除個(gè)人信息等環(huán)節(jié),完全可以通過電話回訪、短信驗(yàn)證等方式核驗(yàn)用戶身份,而不是“逼迫”用戶拍攝上傳“人證合一”的照片。甚至,有些App只是通過手機(jī)號(hào)注冊(cè)就能使用,而在執(zhí)行上述環(huán)節(jié)過程中,需要“人證合一”照片身份核驗(yàn),由于App運(yùn)營(yíng)者沒有事先掌握手機(jī)號(hào)與“人證合一”照片之間的關(guān)聯(lián)關(guān)系,這種所謂的核驗(yàn)毫無邏輯,屬于典型的以“欺騙”等方式收集個(gè)人敏感信息。
處理方式合規(guī)性分析
進(jìn)一步分析App中收集手持身份證照片的過程和方式,不免讓人心生很多疑問。首先,部分App對(duì)收集使用該信息的目的、使用范圍等未作明確闡釋,甚至不允許用戶添加必要的使用目的限制相關(guān)的水。黄浯,從核驗(yàn)身份目的而言,完全可以在完成身份核驗(yàn)后及時(shí)刪除收集的手持身份證信息。但是,很多App在注銷賬戶時(shí),要求用戶提供該信息核驗(yàn)身份,但并未向用戶表明不會(huì)存儲(chǔ)該信息。用戶不得不吐槽,“注銷賬戶收的信息還比注冊(cè)和使用多,也更敏感,這到底是注冊(cè)還是注銷?”,最后出于擔(dān)心敏感信息被濫用,只能作罷。
綜上分析,如此這般方式收集手持身份證照片信息,又如何保證信息的安全,如何讓用戶能夠放心?
幾點(diǎn)建議
手持身份證照片信息涉及用戶切身利益,App運(yùn)營(yíng)者必須高度重視對(duì)此類信息的收集使用行為,確保各環(huán)節(jié)安全。本文有以下建議供相關(guān)方參考:
1、杜絕一切“未經(jīng)本人用戶明示同意的”獲取和交換手持身份證照片信息的行為;
2、清查并刪除已達(dá)成使用目的但仍舊留存的手持身份證照片信息;
3、分析現(xiàn)有業(yè)務(wù)收集手持身份證照片信息的必要性,盡可能選擇合理的替代方案;
4、如業(yè)務(wù)本身涉及用戶重大利益或特殊監(jiān)管需求,必須收集該信息的,需采取加密保存及嚴(yán)密的權(quán)限控制、審計(jì)等措施確保收集使用環(huán)境的安全可信;
5、可展示搜索結(jié)果的搜索引擎、網(wǎng)站或App,對(duì)手持身份證相關(guān)關(guān)鍵字、圖片進(jìn)行主動(dòng)屏蔽,防止個(gè)人信息被惡意爬取、濫用。