近日,“畅途汽车票”“易考必过”“火猫直播”等11款APP(手机软件)被江苏省通信管理局责令下架。今年2月,该局通报52款存在安全隐患及违法违规收集使用个人信息问题的APP,要求相关运营单位限期整改。“畅途汽车票”等11款,是这批APP中未如期完成整改的。
在许多人的手机都装着十几个、几十个APP的年代,人们既享用APP带来的便利,也不免担心隐私暴露。如何织牢个人信息安全防护网,让人们放心使用APP?
私自、超范围收集是主要问题
新华日报·交汇点记者安装一款网约车APP,点击“打开”后,手机上立即跳出《服务协议及隐私政策》页面。点开《用户隐私政策》,记者看到该APP对收集哪些个人信息、收集原因、如何存储和使用等予以说明。《用户隐私政策》及《用户服务协议》长达数十页,记者须点击“同意协议”才能继续使用APP。这才是第一步,此后还有“位置信息”“设备信息”等多个授权环节,记者只有点击“同意”,才能使用这个APP。说实话,对于其是否违规收集个人信息,记者很难做出判断。
省通信管理局网络安全管理处副处长曹旭介绍,2019年12月国家网信办、工信部等四部门联合发布《APP违法违规收集使用个人信息行为认定方法》,明确“未公开收集使用规则”“未明示收集使用个人信息的目的、方式和范围”等6类31种违法违规行为。该《办法》为APP运营者设定收集使用个人信息的“红线”,也为社会监督、职能部门监管提供指引。
2020年以来,省通信管理局委托第三方专业机构,依据上述《办法》,检测省内企业运营、用户量大的500余款APP,先后通报4批114款“问题APP”。记者看到,一款家校互动类APP的检测报告指出,该APP存在6个问题:没有独立的“隐私政策”,仅在“帮助”页面显示“隐私声明”条款;在首次运行时未主动提示用户阅读隐私政策;在“隐私声明”没有逐一列出收集使用个人信息的目的、方式、范围等;收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户;未明确撤回同意收集个人信息的途径、方式;未建立并公布个人信息安全投诉、举报渠道。
曹旭告诉记者,从APP检测情况看,私自、超范围收集个人信息是主要问题。用户使用APP时,还会遇到不合理索取用户权限的情况:不给权限不让用,即APP索取与当前服务场景无关的权限,在用户拒绝后,APP退出或关闭;频繁申请权限,即APP在用户明确拒绝权限申请后,频繁申请开启通讯录、定位、短信等与当前服务场景无关的权限,对用户形成骚扰;过度索取权限,即APP在用户未使用相关功能时,提前申请开启通讯录等权限,或超出业务功能申请一些权限。APP不合理索取用户权限,影响用户体验,也可能存在违规收集个人信息。
守牢“最小必要”等红线
去年10月起实施的国家标准《信息安全技术 个人信息安全规范》明确,个人信息是“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”,包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。其中,身份证件号码、个人生物识别信息、通信记录和内容等属于个人敏感信息,一旦泄露、非法提供或滥用可能危害人身和财产安全。这一国家标准还写明,个人信息安全基本原则包括“权责一致”“最小必要”“确保安全”等内容。
去年11月,电信终端产业协会发布《APP收集使用个人信息最小必要评估规范》,对移动互联网行业收集使用用户人脸、通讯录、短信、位置、图片等个人敏感信息进行规范。
今年2月下旬,全省APP个人信息保护监管会上,省通信管理局再次向APP运营企业、应用商店强调“红线意识”。会上,省内12家重点APP运营企业代表签订《APP个人信息保护公开承诺书》。
做出公开承诺的苏宁控股集团,组建安全委员会,设立基于数据安全的规则、技术、监察、审计等4个独立团队,将个人信息保护纳入APP产品设计、开发、集成、测试、发布的全流程。焦点科技股份有限公司产品设计中心总经理卢颐介绍,该公司运营的“中国制造网”APP有不少欧洲、北美地区的用户,他与同事们过去感觉到欧盟、美国个人信息实行“强保护”,现在发现国内监管也更加严格。该公司依据欧盟2018年发布的《通用数据保护条例》(GDPR),以及电信终端产业协会的相关《规范》,加强APP用户个人信息保护。该公司信息安全部李楚君说,APP如果存在违规收集个人信息的情况,应用商店在审查环节发现后,就会要求APP进行整改,与其被动整改,还不如主动合规。
东南大学法学院副教授陈道英说,有关APP监管的新闻报道或者政府通报增加,不能简单认为侵犯隐私情况比原来严重。近年来,中国在个人信息保护方面的立法越来越完善,从2017年开始施行的《网络安全法》借鉴学习欧盟、美国个人信息保护立法经验,今年元旦起施行的《民法典》,对个人信息处理有更详细的规定。目前,《个人信息保护法》草案已提请全国人大常委会审议。在这一法律颁布、实施后,国内个人信息保护方面的法律将形成一个完整体系。“大多数APP开发者都有强烈的合规意愿,在有法可依的前提下,监管部门制定具体的规则,可有效指引APP开发者履行合规义务。”
加强监管,将保护落到实处
《中国互联网络发展状况统计报告》显示,截至2020年12月,在架APP已达345万款。与开办网站要备案不同,APP目前还处于“自然生长”阶段,亟待加强事中事后监管。3月1日,工信部部长肖亚庆表示,今年继续对手机APP进行专项整治,对拒不接受整治的APP坚决下架。
省通信管理局遴选一批技术支撑单位,预计今年可将检测能力提升到10万款,全年计划开展不少于6次“问题APP”集中通报。该局去年4月上线的“江苏省移动应用(APP)安全管理平台”,已汇集近8.2万款APP,涉及6683个APP开发者、482家应用商店。3月15日,记者看到该平台上,漏洞APP、违法违规APP、恶意APP实时显示,监管部门可提示相关APP运营者及时整改,或迅速封堵。曹旭说,希望将该平台打造成面向普通用户的可信APP集聚地,方便用户在下载APP时查询。
APP《隐私政策》长且复杂,普通用户没有耐心看完。陈道英表示,保护个人信息,一方面需要用户提高保护意识,另一方面也要通过其他途径进行,包括监管层面加强检查力度,如强化APP商店的审核义务,也包括充分发挥技术力量,如为APP开发者、用户提供检查《隐私政策》是否合规的扫描工具。对于央视“3·15”晚会曝光的商户安装摄像头“无感”收集人脸数据等情况,她认为,摄像头、APP的运营者,一方面应规范生物识别信息的收集,落实知情同意规则,另一方面企业本身也需要完善信息安全管理制度。对于企业内部人员泄漏消费者隐私的行为,应追究法律责任。
“用户一旦遇到APP侵权问题,可拨打12321维权。”曹旭提醒,用户不要随意点开短信中的链接、网页广告中的链接下载APP;在安装使用过程中,对APP提醒开启的权限,要仔细审查是否属于敏感权限,如短信读取、通讯录读取、定位等权限,定期关闭不必要的应用通知和开机自启动权限;在手机端安装被广泛信赖的安全软件,及时更新安全软件的病毒库,并定期进行手机安全检测。
来源:交汇点
编辑:邓宇