App专项整治工作组“App个人信息举报”举报平台收到的超过1万条的有效举报信息中,涉及“需要本人提供手持身份证相片”的举报信息有400余条,主要集中在金融借贷、网络社区、短视频、交通票务、房屋中介等五类App。
主要搜集场景
部分App为了完成对用户身分的核验等目的,将提供手持身份证照作为“硬指标”和“必选项”,不提供便难以正常使用App的个别功能。主要场景有:
常见场景
注册、认证、开户环节(尤其是支付、金融等App)
开通店面、可发布内容帐号环节(广告、商品、出租房、音视频等)
绑卡、提现、领奖等环节
解绑、重置帐号密码等环节
更正、删除个人信息等环节
注销帐号等环节
既然躲不开这种环节,部分网友机智地选择在相片上附上水印“此相片仅供***使用”等字样,来保障相片不被用于其他场合,但递交后却被告知初审不通过,原因是App要求合照上不能有任何水印和遮挡物,必须是清晰原图。更有甚者要求用户拿着一张字条一起照相,纸条上只是写明是自愿提供,也不能写具体目的等。
如此“处心积虑”收集手持身份证相片究竟为那般?
问题动因和风险分析
常见搜集理由
对此,大部分App运营者给出的理由是为了满足法律法规或行业监管有关“实名制要求”,使用“人证合一”方式,验证真实身分,目的是避免身分盗用,保障用户帐号安全。
那么这个理由真的站得住脚吗?App一般搜集“人证合一”信息的过程合法合规吗?
法律法规根据剖析
《网络安全法》第二十四条就规定,网络运营者为用户提供信息发布、即时通讯等服务,在与用户签署合同或则确认提供服务时,应当要求用户提供真实身分信息。用户不提供真实身分信息的,网络运营者不得为其提供相关服务。《移动互联网应用程序信息服务管理规定》中也提到联通互联网应用程序提供者应该严格落实信息安全管理责任,按照“后台实名、前台自愿”的原则,对注册用户进行基于移动电话号码等真实身分信息认证。
从以上内容不难看出,通常情况下实名制要求更倾向于“实名”,比如在手机号码强制实名登记后,使用手机号注册App即达到实名要求。除此之外,在买票、跨国快件、金融帐户开户、反洗钱、酒店预订、网络游戏注册、直播开通等环节,均颁布相关规定要求用户进一步使用身分护照(身份证号或身份证复印件)进行身分认证,但并没有明晰要求采取拍摄“人证合一”照片的形式进行身分认证。
必要性和合理性剖析
现如今,网上远程代办业务成为常态,在便捷用户的同时也带来了身分冒充等风险。如果说App运营者害怕有用户会使用虚假手机号、身份证号来避免实名制要求,那么,在一些涉及用户重大利益的场景下,可以审慎使用“人证合一”的形式再度核验身分,同时必须保证在“安全可信”的环境下进行。
但是,在提现、领奖、重置帐号密码,更正、删除个人信息等环节,完全可以通过电话回访、短信验证等方法核验用户身分,而不是“逼迫”用户拍摄上传“人证合一”的相片。甚至,有些App只是通过手机号注册才能使用,而在执行上述环节过程中,需要“人证合一”照片身分核验,由于App运营者没有事先把握手机号与“人证合一”照片之间的关联关系,这种所谓的核验毫无逻辑,属于典型的以“欺骗”等形式搜集个人敏感信息。
处理方法合规性剖析
进一步剖析App中搜集手持身份证相片的过程和方法,不免让人心生好多疑惑。首先,部分App对搜集使用该信息的目的、使用范围等未作明晰诠释,甚至不容许用户添加必要的使用目的限制相关的水印;其次,从核验身分目的而言,完全可以在完成身分核验后及时删掉搜集的手持身份证信息。但是,很多App在注销帐户时,要求用户提供该信息核验身分,但并未向用户表明不会储存该信息。用户不得不吐槽,“注销帐户收的信息还比注册和使用多,也更敏感,这究竟是注册还是注销?”,最后出于害怕敏感信息被滥用,只能定夺。
综上剖析,如此这般方法搜集手持身份证相片信息,又怎么保证信息的安全,如何让用户才能放心?
几点建议
手持身份证相片信息涉及用户切身利益,App运营者必须高度注重对此类信息的搜集使用行为,确保各环节安全。本文有以下建议供相关方参考:
1、杜绝一切“未经本人用户明示同意的”获取和交换手持身份证相片信息的行为;
2、清查并删掉已达成使用目的但仍然存留的手持身份证相片信息;
3、分析现有业务搜集手持身份证相片信息的必要性,尽可能选择合理的取代方案;
4、如业务本身涉及用户重大利益或特殊监管需求,必须搜集该信息的,需采取加密保存及严密的权限控制、审计等举措确保搜集使用环境的安全可信;
5、可展示搜索结果的搜索引擎、网站或App,对手持身份证相关关键字、图片进行主动屏蔽,防止个人信息被恶意爬取、滥用。
