App|App越界索权现象普遍 暴露公民个人信息保护短板
● 在现实生活中 , 许多App普遍存在越界索权现象 , 比如视频类App要求读取运动数据、资讯类App要求开启相机和麦克风录音权限等
● 目前相关部门对于App违法违规收集个人信息的处罚手段有限 , 主要依靠企业自律 , 或是监管部门采取限期整改、约谈和下架等方式 , 这也就意味着没有锋利的牙齿能震慑这类行为
● 互联网平台应加强对App上架环节的事前审核;建立健全投诉举报制度 , 进行相应回应;加大对违法违规App的惩处力度;运用新型监管方式 , 通过大数据、人工智能等技术进行监管
□ 本报采访人员赵丽
□ 本报实习生 贾婕
7月24日 , 工业和信息化部对侵害用户权益行为的手机应用软件进行通报 , 这是今年以来的第三批通报名单 。 截至目前 , 工业和信息化部已对今年检查出的存在问题的89款App进行了通报 。
《法治日报》采访人员注意到 , 私自收集个人信息私自共享给第三方过度索取权限等是这次通报的主要问题 。
同日 , 工业和信息化部发布《关于开展纵深推进App侵害用户权益专项整治行动的通知》 , 专项整治时间为通知印发之日至2020年12月10日 。 重点整治App、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意 , 私自收集用户个人信息的行为 。
近年来 , 通报App违规现象并不少见 , 涉及软件数量日益增多 , 侧面暴露了我国公民个人信息保护的短板和难题 。
应用软件越界索权
私自共享缺乏监督
在互联网时代 , 大数据在提供便利的同时也带来了隐私被泄露的潜在危险 。 身份证号码、手机号码、购买记录、行车路线等个人信息都在数据库里一览无余 。 大数据杀熟大数据二次贩卖等现象也层出不穷 。
消费记录被购物App分析 , 出行住宿被旅行App掌握 , 行车线路也被导航App知道得一清二楚……在互联网大数据面前 , 普通用户几乎是裸体的 , 而一旦这些数据被泄露 , 后果不堪设想 。 更为严重的是 , 一些手机App从一开始的信息采集就是过度的 。
2019年年初 , 中央网信办、工业和信息化部、公安部、市场监管总局对外发布《关于开展App违法违规收集使用个人信息专项治理的公告》 , 中国消费者协会、中国互联网协会等联合成立App专项治理工作组 , 对用户数量大、与民众生活密切相关的App的隐私政策和个人信息收集使用情况进行评估 。
然而 , 在专项治理的攻势下 , App过度采集个人信息的问题并未得到遏制 。
2019年7月16日 , 上述App专项治理工作组发布通知 , 称有40款App在个人信息收集方面存在问题 , 且未公开有效联系方式 。 工作组敦促这40款App的运营者30日内完成整改 , 并向工作组提交整改报告 。 这份通知显示 , Wi-Fi万能钥匙、同花顺、墨迹天气、安居客、糗事百科、起点读书等常见的App , 都在需要整改的名单之中 。
据了解 , 一般来说 , App的安装和使用只能对一些必要的权限征求使用人的同意 。 在使用安卓系统的手机中 , 有以下几个权限最常被调取 , 其一是读取已安装应用列表 , 借此可以了解和分析用户的使用习惯;其二是读取本机识别码 , 主要用来确定用户的身份;其三是读取位置信息 , 通过获取位置 , 搜集用户的活动范围 , 例如导航类软件就必须调取这一权限 。
然而 , 在现实生活中 , 许多App普遍存在越界索权现象 , 比如视频类App要求读取运动数据、资讯类App要求开启相机和麦克风录音权限等 。
更为严重的是 , 泄露的信息从一般信息向生物识别信息蔓延 。 近期 , 360安全大脑监测到 , 在金融类移动软件中 , 存在一批具有隐秘拍照行为的软件 , 以提供借贷服务之名 , 悄无声息地进行隐私非法收集行为 。 据360安全大脑监测数据显示 , 截至今年6月中旬 , 共发现9款软件 , 捕获90个样本 。 相比以往 , 这9款软件偷盗手段略有不同 , 除了非法收集用户敏感通讯数据外 , 还会尝试对用户面部图像进行静默偷拍与上传 。
除偷拍用户面部图像外 , 这类借贷软件扫荡式地采集用户的各种敏感通讯与网络数据 , 包括用户短信、通话记录、通讯录、接入网络等 , 进行非法收集与明文传输 。
中国传媒大学人类命运共同体研究院副院长王四新告诉《法治日报》采访人员 , App超范围收集个人信息、私自共享给第三方的行为屡禁不止的主要原因是 , App在收集使用和向第三方传输私人信息的整个流程缺乏有效监督 。
从个人来讲 , 用户完全没有知觉 , 所以没有办法进行维权 , 只能被动地依靠执法机关或者监管机关 。 此外 , 这种行为可以获得多层次的利益回报 , 再加上企业内部管理不严导致目前这种情况比较严重 。 王四新说 。
处罚手段比较有限
违法成本普遍偏低
《法治日报》采访人员调查发现 , 今年以来 , 违法App的种类在发生变化 。 从国家计算机病毒应急处理中心下架的App来看 , 今年上半年 , 直播、社交、外卖、医疗、在线教育等App涉嫌侵犯个人隐私占到很大比重 。
尽管App泄露个人信息日益严重 , 但《法治日报》采访人员梳理发现 , 目前对这些App还是以行政处罚为主 。 《App违法违规收集使用个人信息专项治理报告(2019)》显示 , 目前相关部门对App违法行为采取的惩罚措施主要有整改、通报、下架、罚款、查处、行政约谈等 。
在业内人士看来 , 责令整改、罚款等处罚措施往往对一些违规App不能产生触动 , 这次错了 , 下次还敢上榜单的现象比比皆是 。
工业和信息化部每曝出一批问题App名单 , 也会给相关App规定整改期限 , 如对于7月24日公布的App名单 , 工信部要求在7月30日之前完成整改 。
违法成本低 , 监管难度大成为当下监管App违规行为的主要难题 。 中国传媒大学文化产业管理学院法律系主任郑宁告诉《法治日报》采访人员 , 工业和信息化部如果仅依据相关部门规章进行处罚 , 只能予以警告和处以一定数额的罚款(通常是3万元以下) , 这种处罚力度对违反者而言成本很低 。
上海交通大学数据法律研究中心执行主任何渊认为 , 目前相关部门对于违法违规收集个人信息的处罚手段有限 , 主要依靠企业自律 , 或是监管部门采取限期整改、约谈和下架等方式 。 这也就意味着没有锋利的牙齿能震慑这类行为 。
除了违法成本低的问题外 , 监管部门还面临企业用户双方需求难以平衡的困境 。
有媒体报道称 , 企业收集用户隐私信息可以用来作为用户画像 , 便于发送广告 , 合理的广告诉求应该予以理解 , 一些小微企业的收入来源就是App中的广告 , 如果采用‘一刀切’的方式完全禁止发广告 , 一些App就无法生存 。 但从用户的直观角度考虑 , 用户有可能认为自己的隐私信息遭到了窃取 。 此时监管部门需要综合考虑用户与企业双方的需求 。
有监管层人士介绍说 , 目前查到一些App存在侵权问题时 , 他们会直接与App运营企业联系要求对方进行整改 , 对于比较容易整改的问题 , 如App注销难等 , 企业可以很快出台注销方式 , 用户也能简单地发现这一改变 , 因此关于注销难的整改容易推进;但私自收集个人信息的问题就较为复杂 , 如一些App出于使用目的不得不收集必要的个人信息 , 此时如何判断什么属于私自收集往往较麻烦 , 这可能是App通报名单中私自收集个人信息问题始终存在的原因之一 。
北京师范大学法学院教授刘德良告诉《法治日报》采访人员:企业收集用户隐私信息可以用来作为用户画像 , 可以更精准地为用户提供服务 。 另外 , 合理收集个人信息 , 也便于精准地发送广告来维持企业生产 , 这种合理的诉求应该予以理解 。
但是 , 刘德良认为 , 个人信息和个人隐私要作区分 , 互联网搜索信息偏向等数据属于正常的个人信息片段 , 企业收集这类信息后只要不进行电话骚扰 , 合理推送广告和产品推荐并不属于隐私侵犯 。
如何平衡两者的需求关系 , 郑宁的意见是:个人信息兼具个人利益和公共利益 , 监管部门应该平衡用户的个人信息权益以及企业的创新发展 。 随着网络技术进步和数字经济的发展 , 收集使用个人信息的手段和方式日益多样化、复杂化 , 通过立法、行政执法和司法加强个人信息保护是非常必要的 , 但是在大数据、人工智能时代 , 信息只有在合理流动和使用中才能发挥其价值 。
努力平衡各方需求
监管亟须落到实处
标题:【App|App越界索权现象普遍 暴露公民个人信息保护短板】去年年底 , 国家互联网信息办公室、工业和信息化部等四部门印发《App违法违规收集使用个人信息行为认定方法》 , 对于如何界定App明确告知收集使用个人信息等行为作出了详细的解释 。 App专项治理工作组有关专家曾对该认定方法进行解读 , 未明示收集使用个人信息的目的、方式和范围的情况包括 , 未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等 。
App专项治理工作组有关专家解读称 , App和App中嵌入代码的第三方收集使用个人信息 , 都需要采取适当方式通知用户 。 我们曾使用检测工具检测到一款App中嵌入了54个SDK , 这么多SDK有没有个人信息泄露的风险 , 这些都要提 。 目前有一些App在整改后做得很到位 , 有些专门列出了SDK的列表 , 甚至把第三方共享的接收方都列出来了 , 如果把明示工作做到这个程度 , 相信用户也会提升对App的信任度 。
《法治日报》采访人员注意到 , 在立法层面 , 《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》《App违法违规收集使用个人信息行为认定方法》先后出台 , 明确了未公开收集使用规则;未明示收集使用个人信息的目的、方式和范围等6项认定准则 , 包含31种场景 。
当下 , 我国关于个人信息安全的法律在不断完善和细化 , 但监管如何落到实处是当下更值得考虑的问题 。
对此 , 郑宁建议 , 监管的完善需要从以下几个方面进行:第一 , 互联网平台应加强对App上架环节的事前审核;第二 , 建立健全投诉举报制度 , 进行相应回应;第三 , 加大对违法违规App的惩处力度;第四 , 运用新型监管方式 , 如信用记录监管;第五 , 运用大数据、人工智能等技术进行监管 。
在互联网时代 , 任何问题都不能采取‘一刀切’的方式 , 要采取灵活变动的监管办法 。 在王四新看来 , 要想将监管措施落到实处 , 需要有更多懂技术、懂业务的专家型人才补充到监管的队伍里 。 在目前这类人才难以满足监管要求的情况下 , 可以发挥不同领域的技术人才的作用 , 同时调动广大网民的积极性 。
此外 , 要平衡App开发者或者服务提供者与广大用户之间的关系 , 要求平台履行责任 , 例如上线时加强审核把关 , 上线运营过程中增加透明度 。 同时也要为消费者维护权益降低难度 , 提供更多便利 , 让消费者通过自主的维权活动来保障自身利益 。 这样既可将监管落到实处 , 又能减少监管费用 。 王四新说 。
王四新认为 , App开发者和用户之间的权利义务关系模式 , 是随着相关变量的不断变化而变化的 。 从监管的角度来讲 , 就是平衡合理使用与保护隐私权的问题 , 一方面要保护消费者的合法权益 , 保证他们的隐私不被过度开发或非法利用 , 另外一方面也要确保App的开发者能够有效利用他们提供服务过程中采集的数据 , 让这些数据发挥更大的作用 。
不过 , 郑宁也提出:如果过度强调个人信息保护 , 会给互联网企业造成过重的负担 , 不利于产业创新和信息自由流动 。
推荐阅读
- 叮!APP小达人,快来领取这份“特别任务”
- 【星猫广场APP】最高温的一周,星猫家族给你送清凉啦!
- 中年|Angular export class AppComponent里定义变量的实现原理
- |只用一百多块钱,我就从华强北买到了“Apple Watch”
- 扫码支付|北京加油加气作业区禁止扫码支付,可从APP线上直接下单
- 华为|“华为应用市场AppGallery Connect沙龙”新亮点,你get到了吗?
- APP|北京公交App回应今日早高峰故障:已恢复正常,可订单补登
- 北京公交app|早高峰出故障,无法生成二维码?北京公交APP回应了
- 地球|在直播地球APP零距离游览两大著名博物馆——卢浮宫和冬宫
- AppleWatch|医院没检查出 Apple Watch竟看出用户患心脏病:苹果CEO库克回应