在网友举报信息中,关于“某某App收集手持身份证照片”的信息可谓屡见不鲜,尤其是在App陆续上线注销功能后更是成为一个普遍的现象。“人证合一”的高清照片之所以敏感,是其可以被用于办理代理开户、贷款、注册公司、洗钱等用途,甚至成为了“数据黑市”中的“香饽饽”。
然而上网一搜,就会发现,贩卖手持身份证照片牟利的行为也时有发生,甚至有些照片还能被搜索引擎直接搜到。对此,很多网友表示“身边经常使用App的朋友几乎都在使用某些功能时上传过这样的敏感信息,一旦这些信息泄露、滥用会给个人造成多大伤害真是细思极恐”。
问题举报情况
App专项治理工作组“App个人信息举报”举报平台收到的超过1万条的有效举报信息中,涉及“需要本人提供手持身份证照片”的举报信息有400余条,主要集中在金融借贷、网络社区、短视频、交通票务、房屋中介等五类App。
主要收集场景
部分App为了完成对用户身份的核验等目的,将提供手持身份证照作为“硬指标”和“必选项”,不提供便无法正常使用App的某些功能。主要场景有:
常见场景
注册、认证、开户环节(尤其是支付、金融等App)
开通店铺、可发布内容账号环节(广告、商品、出租房、音视频等)
绑卡、提现、领奖等环节
解绑、重置账号密码等环节
更正、删除个人信息等环节
注销账号等环节
既然躲不开这些环节,部分网友机智地选择在照片上附上水印“此照片仅供***使用”等字样,来保障照片不被用于其他场合,但提交后却被告知审核不通过,原因是App要求照片上不能有任何水印和遮挡物,必须是清晰原图。更有甚者要求用户拿着一张纸条一起拍照,纸条上只是写明是自愿提供,也不能写具体目的等。
如此“处心积虑”收集手持身份证照片到底为那般?
问题成因和风险分析
常见收集理由
对此,大部分App运营者给出的理由是为了满足法律法规或行业监管有关“实名制要求”,使用“人证合一”方式,验证真实身份,目的是防止身份冒用,保障用户账号安全。
那么这个理由真的站得住脚吗?App通常收集“人证合一”信息的过程合法合规吗?
法律法规依据分析
《网络安全法》第二十四条就规定,网络运营者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。《移动互联网应用程序信息服务管理规定》中也提及移动互联网应用程序提供者应当严格落实信息安全管理责任,按照“后台实名、前台自愿”的原则,对注册用户进行基于移动电话号码等真实身份信息认证。
从以上内容不难看出,通常情况下实名制要求更倾向于“实名”,比如在手机号码强制实名登记后,使用手机号注册App即达到实名要求。除此之外,在购票、跨国快递、金融账户开户、反洗钱、酒店预订、网络游戏注册、直播开通等环节,均出台相关规定要求用户进一步使用身份证件(身份证号或身份证复印件)进行身份认证,但并没有明确要求采取拍摄“人证合一”照片的方式进行身份认证。
必要性和合理性分析
现如今,网上远程办理业务成为常态,在方便用户的同时也带来了身份假冒等风险。如果说App运营者担心有用户会使用虚假手机号、身份证号来避开实名制要求,那么,在一些涉及用户重大利益的场景下,可以审慎使用“人证合一”的方式再次核验身份,同时必须保证在“安全可信”的环境下进行。
但是,在提现、领奖、重置账号密码,更正、删除个人信息等环节,完全可以通过电话回访、短信验证等方式核验用户身份,而不是“逼迫”用户拍摄上传“人证合一”的照片。甚至,有些App只是通过手机号注册就能使用,而在执行上述环节过程中,需要“人证合一”照片身份核验,由于App运营者没有事先掌握手机号与“人证合一”照片之间的关联关系,这种所谓的核验毫无逻辑,属于典型的以“欺骗”等方式收集个人敏感信息。
处理方式合规性分析
进一步分析App中收集手持身份证照片的过程和方式,不免让人心生很多疑问。首先,部分App对收集使用该信息的目的、使用范围等未作明确阐释,甚至不允许用户添加必要的使用目的限制相关的水印;其次,从核验身份目的而言,完全可以在完成身份核验后及时删除收集的手持身份证信息。但是,很多App在注销账户时,要求用户提供该信息核验身份,但并未向用户表明不会存储该信息。用户不得不吐槽,“注销账户收的信息还比注册和使用多,也更敏感,这到底是注册还是注销?”,最后出于担心敏感信息被滥用,只能作罢。
综上分析,如此这般方式收集手持身份证照片信息,又如何保证信息的安全,如何让用户能够放心?
几点建议
手持身份证照片信息涉及用户切身利益,App运营者必须高度重视对此类信息的收集使用行为,确保各环节安全。本文有以下建议供相关方参考:
1、杜绝一切“未经本人用户明示同意的”获取和交换手持身份证照片信息的行为;
2、清查并删除已达成使用目的但仍旧留存的手持身份证照片信息;
3、分析现有业务收集手持身份证照片信息的必要性,尽可能选择合理的替代方案;
4、如业务本身涉及用户重大利益或特殊监管需求,必须收集该信息的,需采取加密保存及严密的权限控制、审计等措施确保收集使用环境的安全可信;
5、可展示搜索结果的搜索引擎、网站或App,对手持身份证相关关键字、图片进行主动屏蔽,防止个人信息被恶意爬取、滥用。
