每日商报 记者 朱光函 2019年1月25日,中央网信办等4部门正式对外发布《关于开展App违法违规收集使用个人信息专项治理的公告》。 3月15日,市场监管总局、中央网信办发布关于开展App安全认证的公告。 4月18日,App违法违规收集使用个人信息专项治理工作组发布阶段性进展,举报信息超过3480条,涉及1300余款App。对于30款用户量大、问题严重的App,工作组已向其运营者发送了整改通知。 5月5日,App专项治理工作组起草了《App违法违规收集使用个人信息行为认定方法(征求意见稿)》并向社会公开征求意见。 5月24日,App专项治理工作组开通了违法违规收集使用个人信息举报渠道,并受理网民举报。 6月1日,国家互联网信息办公室起草了《儿童个人信息网络保护规定(征求意见稿)》,并向社会公开征求意见。 6月14日,App专项治理工作组发布对300余款App的评估,并对其中30款用户量大、问题严重的App,发送了整改通知,要求认真整改。 7月16日,App专项治理工作组发布《关于督促40款存在收集使用个人信息问题的App运营者尽快整改的通知》。 8月8日,全国信息安全标准化技术委员会发布关于开展国家标准《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》(以下简称“草案”)征求意见工作的通知。 …… 在个人信息收集方面存在问题 40款App被点名涉及互联网生活各方面 8个月时间,国家多部委联手出击、密集发布、连续通报,政策频出之下,App行业掀起了狂澜。 在这些发布的信息中,尤其以《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》的分量最重,根据该草案的内容显示,App不得收集与所提供的服务无关的个人信息,对外共享、转让个人信息前,App应事先征得用户明示同意。 此外,App运营者应履行个人信息保护义务,采取必要安全措施,保障用户个人信息安全。在《草案》中还规定了21种常用App类型可收集的最少信息。 其中,明确可收集的最少信息中包含个人身份信息的App类型为网络约车、网络支付、交通票务、金融借贷、房屋租售、二手车交易等;即时通讯、博客论坛、新闻资讯、短视频等类别仅对公众账号信息发布服务使用者收集个人身份信息,求职招聘类仅对招聘者用户收集个人身份信息,问诊挂号类则仅对患者收集身份信息。地图导航、网上购物、快递配送、餐饮外卖、婚恋相亲、运动健身类等App如要收集个人身份信息,需要征得用户明示同意。浏览器、输入法、安全管理这三类App可收集的最少信息只有网络日志一项。 多个软件仍在铤而走险 肆无忌惮收集用户信息 虽然草案意见征求即将结束,但记者在调查中发现,仍有多款App存在任性获取个人信息的情况。比如一款名为“星星打车”的App,其在《草案》中被分类为打车软件类,这一类软件在获取用户信息时最少信息获取仅为用户的网络日志和精确的个人定位,而这款软件却在安装后向用户额外索要照片、媒体等内容的访问权限。 无独有偶,同样的情况也发生在社交、购物和短视频领域。momo是一款主打陌生人社交的App,其索取的权限同样超出了《草案》规定的内容,这款软件除了需要用户提供手机号码、存储信息和个人定位等信息外,还要求获取用户的通讯录信息。 在蘑菇街的使用权限中,手机存储信息、手机号码和联系人同样是其需要获取的权限,但根据《草案》的规定,购物类App最少信息获取为网络日志、个人号码等,并未提到通讯录信息。 在测试中,记者还发现部分App在索取权限时意图不明。一款名为“图吧导航”的App在安装后需要获取用户的定位、存储和通知权限,除此之外这款导航软件还要求用户授予其录音权限。 对此App开发工程师沐愚觉得不可思议。“好好的导航软件却要获取照片、视频和录音权限,购物软件要求用户授权联系人信息,甚至还有软件要求用户使用前需要上传手持身份证的照片,这些都因为App所有者的贪婪所致。” 为何App总爱多收集信息 构建用户肖像成幕后推手 在沐愚看来,App软件在对于用户信息的收集上过度索取的情况由来已久,而这一切都源于互联网企业的原罪。 沐愚介绍,有不少App很贪心,什么权限都想要索取。甚至其索取的部分权限与主业根本无关。“我曾遇到过有美图App向用户索取包括定位、通讯录、短信、后台等功能在内的多项核心权限。” 据沐愚分析,这些过度获取用户信息的行为,最终都会成为大数据,并为App的所有者勾画出众多有商业价值的用户肖像,这些用户肖像将被用于App后续的营销,或者被当作资源转卖给其他公司。 “比如当App获取足够多的用户信息后,大数据就能根据用户信息预判出手机用户将会在何时何地购买何种商品,甚至一些医疗类App还能通过用户此前上传的样本预测用户的体内菌群情况,以此来预判用户晚餐想吃什么。这样的精确推送和营销将为企业带来丰厚的收益,但对于被迫提供权限的用户来说,其手机权限和个人隐私就这样无偿被企业使用,甚至还要面临隐私被泄的风险。” 在App专项治理工作组专家何延哲看来,目前大多数的App都没有构建起用户隐私保护,而在超限索权和注销难等问题上,App也同样因为对数据的渴求而一直没有实质性的改变。 个人信息属于用户所有 即便收集“最少信息”也要事先征得同意 根据《草案》通知,意见征求工作将于下周六之前结束,这意味着国内第一份规范App收集个人信息的规范即将出炉。 这在浙江泽鼎律师事务所律师夏谨言看来,其意义非凡。她介绍,个人信息属于用户所有,只有在用户愿意共享其信息的情况下,App才能收集。而根据《草案》规定,即使App在收集其所属门类的“最少信息”时,也需要用户的同意。此外对外共享、转让个人信息前,App要事先征得用户明示同意。 “而当用户拒绝使用某服务类型时,App不得频繁征求用户同意使用该类型服务。App应存在涉及收集个人信息取得用户的明示同意的操作。”夏谨言说,“这是对互联网用户权利的进一步保护,同样也是对App企业贪婪的束缚。” 对此沐愚认为,随着移动互联网与人们生活更深层次的融合,个人数据保护还将涉及更多细分领域,并将拓展到更多维度。但无论如何,在享受移动互联网服务时,用户不应该在隐私与便利之间二选一,《草案》将使得用户有更多的选择权。 ■新闻链接: 近日,广东省公安厅官网曝光44款App存在超范围读取用户通话记录等问题。近期因财务造假而被证监会顶格处罚的A股上市公司康美药业旗下App“康美中药城”也因无隐私政策列入问题名单中。目前,有关监测情况已上报公安部通报属地公安机关开展清理整治。 据8月14日广东省公安厅公告显示,App“康美中药城”存在超范围收集用户信息情况,且无隐私政策。主要有三项:1.读取用户联系人数据;2.允许应用程序录制音频;3.强制访问相机设备。据天眼查信息显示,该公司系ST康美全资子公司。 |