收集“手持身份證照片”究竟為哪般?
發(fā)布日期:2021-10-12 瀏覽次數(shù):3913 發(fā)布者:來源: “App個人信息舉報”微信公眾號
在網友舉報信息中,關于“某某App收集手持身份證照片”的信息可謂屢見不鮮,尤其是在App陸續(xù)上線注銷功能后更是成為一個普遍的現(xiàn)象?!叭俗C合一”的高清照片之所以敏感,是其可以被用于辦理代理開戶、貸款、注冊公司、洗錢等用途,甚至成為了“數(shù)據黑市”中的“香餑餑”。
然而上網一搜,就會發(fā)現(xiàn),販賣手持身份證照片牟利的行為也時有發(fā)生,甚至有些照片還能被搜索引擎直接搜到。對此,很多網友表示“身邊經常使用App的朋友幾乎都在使用某些功能時上傳過這樣的敏感信息,一旦這些信息泄露、濫用會給個人造成多大傷害真是細思極恐”。
問題舉報情況
App專項治理工作組“App個人信息舉報”舉報平臺收到的超過1萬條的有效舉報信息中,涉及“需要本人提供手持身份證照片”的舉報信息有400余條,主要集中在金融借貸、網絡社區(qū)、短視頻、交通票務、房屋中介等五類App。
主要收集場景
部分App為了完成對用戶身份的核驗等目的,將提供手持身份證照作為“硬指標”和“必選項”,不提供便無法正常使用App的某些功能。主要場景有:
常見場景
注冊、認證、開戶環(huán)節(jié)(尤其是支付、金融等App)
開通店鋪、可發(fā)布內容賬號環(huán)節(jié)(廣告、商品、出租房、音視頻等)
綁卡、提現(xiàn)、領獎等環(huán)節(jié)
解綁、重置賬號密碼等環(huán)節(jié)
更正、刪除個人信息等環(huán)節(jié)
注銷賬號等環(huán)節(jié)
既然躲不開這些環(huán)節(jié),部分網友機智地選擇在照片上附上水印“此照片僅供***使用”等字樣,來保障照片不被用于其他場合,但提交后卻被告知審核不通過,原因是App要求照片上不能有任何水印和遮擋物,必須是清晰原圖。更有甚者要求用戶拿著一張紙條一起拍照,紙條上只是寫明是自愿提供,也不能寫具體目的等。
如此“處心積慮”收集手持身份證照片到底為那般?
問題成因和風險分析
常見收集理由
對此,大部分App運營者給出的理由是為了滿足法律法規(guī)或行業(yè)監(jiān)管有關“實名制要求”,使用“人證合一”方式,驗證真實身份,目的是防止身份冒用,保障用戶賬號安全。
那么這個理由真的站得住腳嗎?App通常收集“人證合一”信息的過程合法合規(guī)嗎?
法律法規(guī)依據分析
《網絡安全法》第二十四條就規(guī)定,網絡運營者為用戶提供信息發(fā)布、即時通訊等服務,在與用戶簽訂協(xié)議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網絡運營者不得為其提供相關服務?!兑苿踊ヂ?lián)網應用程序信息服務管理規(guī)定》中也提及移動互聯(lián)網應用程序提供者應當嚴格落實信息安全管理責任,按照“后臺實名、前臺自愿”的原則,對注冊用戶進行基于移動電話號碼等真實身份信息認證。
從以上內容不難看出,通常情況下實名制要求更傾向于“實名”,比如在手機號碼強制實名登記后,使用手機號注冊App即達到實名要求。除此之外,在購票、跨國快遞、金融賬戶開戶、反洗錢、酒店預訂、網絡游戲注冊、直播開通等環(huán)節(jié),均出臺相關規(guī)定要求用戶進一步使用身份證件(身份證號或身份證復印件)進行身份認證,但并沒有明確要求采取拍攝“人證合一”照片的方式進行身份認證。
必要性和合理性分析
現(xiàn)如今,網上遠程辦理業(yè)務成為常態(tài),在方便用戶的同時也帶來了身份假冒等風險。如果說App運營者擔心有用戶會使用虛假手機號、身份證號來避開實名制要求,那么,在一些涉及用戶重大利益的場景下,可以審慎使用“人證合一”的方式再次核驗身份,同時必須保證在“安全可信”的環(huán)境下進行。
但是,在提現(xiàn)、領獎、重置賬號密碼,更正、刪除個人信息等環(huán)節(jié),完全可以通過電話回訪、短信驗證等方式核驗用戶身份,而不是“逼迫”用戶拍攝上傳“人證合一”的照片。甚至,有些App只是通過手機號注冊就能使用,而在執(zhí)行上述環(huán)節(jié)過程中,需要“人證合一”照片身份核驗,由于App運營者沒有事先掌握手機號與“人證合一”照片之間的關聯(lián)關系,這種所謂的核驗毫無邏輯,屬于典型的以“欺騙”等方式收集個人敏感信息。
處理方式合規(guī)性分析
進一步分析App中收集手持身份證照片的過程和方式,不免讓人心生很多疑問。首先,部分App對收集使用該信息的目的、使用范圍等未作明確闡釋,甚至不允許用戶添加必要的使用目的限制相關的水??;其次,從核驗身份目的而言,完全可以在完成身份核驗后及時刪除收集的手持身份證信息。但是,很多App在注銷賬戶時,要求用戶提供該信息核驗身份,但并未向用戶表明不會存儲該信息。用戶不得不吐槽,“注銷賬戶收的信息還比注冊和使用多,也更敏感,這到底是注冊還是注銷?”,最后出于擔心敏感信息被濫用,只能作罷。
綜上分析,如此這般方式收集手持身份證照片信息,又如何保證信息的安全,如何讓用戶能夠放心?
幾點建議
手持身份證照片信息涉及用戶切身利益,App運營者必須高度重視對此類信息的收集使用行為,確保各環(huán)節(jié)安全。本文有以下建議供相關方參考:
1、杜絕一切“未經本人用戶明示同意的”獲取和交換手持身份證照片信息的行為;
2、清查并刪除已達成使用目的但仍舊留存的手持身份證照片信息;
3、分析現(xiàn)有業(yè)務收集手持身份證照片信息的必要性,盡可能選擇合理的替代方案;
4、如業(yè)務本身涉及用戶重大利益或特殊監(jiān)管需求,必須收集該信息的,需采取加密保存及嚴密的權限控制、審計等措施確保收集使用環(huán)境的安全可信;
5、可展示搜索結果的搜索引擎、網站或App,對手持身份證相關關鍵字、圖片進行主動屏蔽,防止個人信息被惡意爬取、濫用。