中国消费者报报道(记者李燕京)针对APP过度索取、窃取个人信息缺乏衡量标准的现状,近日,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合发布《APP违法违规收集使用个人信息行为认定方法》(以下简称《方法》),明确规定了6类违规行为,消费者据此就能初步判断出APP索取个人信息情况是否合规。
APP过度索权暗藏隐患
目前,绝大多数的APP都会要求用户向其授权一些个人信息,美其名曰“用以支持应用的运行”。但本报记者调查发现,部分APP开发、运营者为了一己私利,甚至强制索取用户的个人隐私信息,而用户为了能正常使用这些APP,往往只能无奈地同意。殊不知,就在这看似平常的授权中却隐藏着巨大的风险隐患。
2019年4月,上海市消费者权益保护委员会对涉及个人信息权限的39款手机APP进行测评发现:超过六成APP在用户安装时申请了很多敏感权限,却不提供实际功能,包括读取通讯录、电话权限、短信权限、定位权限等。这些对个人隐私权限强制索取的行为不仅影响了用户的使用体验,还可能导致用户隐私泄露,甚至造成用户财产损失。
对此,公安部组织开展了“净网2019”专项行动,截至2019年12月,已依法查处违法违规采集个人信息的APP683款。仅2019年11月,公安部就下架整改了100款违法违规APP,责令限期整改27款,处以警告处罚63款,处以罚款处罚10款,另有2款被立为刑事案件开展侦查。在100款下架APP中,既有微店、房天下、晋江小说阅读、考拉海淘等常用APP,也有天津银行、天津农商银行、光大银行等金融类APP,还有中华会计网校、小学语文一年级上等学习类APP。
2019年12月底,在APP专项治理工作组发布的《关于61款APP存在收集使用个人信息问题的通告》中,链家、网易公开课、小米金融、腾讯课堂、度小满理财等知名APP被点名。
据APP专项治理工作组成员何延哲介绍,截至目前,共收到网民举报信息1.23万条,涉及APP2300余款。工作组委托14家测评机构对用户量大、与人们生活相关的1000余款APP进行了技术测评,并对其中近300款存在严重问题的APP进行了督促整改。
一位网友在接受本报记者采访时表示,个人信息泄露会给用户带来各种麻烦,最直接的便是不法分子可以利用个人信息实施精准诈骗。现在APP违法、违规获取个人信息已经成了一个必须决解的大问题,否则用户在使用APP时就没有安全感了。
违规APP常打擦边球
事实上,早在2019年1月23日,中央网信办等多部门就联合发布了《关于开展APP违法违规收集使用个人信息专项治理的公告》,明确提出APP运营者不得收集与所提供服务无关的个人信息;不得以默认、捆绑、停止安装使用等手段变相强迫用户授权;不得违反法律法规和与用户的约定收集使用个人信息等。查处力度不断加大,然而,APP过度收集用户信息、侵犯个人隐私问题仍然存在。
北京石景山金顶街小区的张先生对记者说:“我主观上非常想避免个人信息被莫名其妙地收集,但就是没办法。有些APP打政策擦边球,必须授权它使用个人信息,否则就无法使用服务。我还碰到过在APP使用过程中弹出‘改善服务质量、提升用户体验’的对话框,要求我同意收集个人信息。虽然一看就知道它要收集的个人信息和APP功能无关,但我无法拒绝,因为如果不同意,整个APP就没法用。”
在北京从事APP开发工作的王先生告诉记者:“目前,很多应用程序要求获得的权限已经到了系统管理员的权限级别,有的甚至连通讯录都要求访问,这意味着可以在用户的手机上植入间谍软件,窃听用户的通信记录。个人信息的获取其实不难,因为可以通过这些技术打擦边球,比如APP都有隐私条款,但是其中也可能暗藏着不利于用户的内容,开发的时候只要把这些条款隐藏得深一点,让用户不容易找到细则,这样,在被查处时,运营者就可以推卸责任。”
王先生还介绍说:“个人信息的获取方式很多,可以利用很多其他手段规避相关规定。使用者更是难以察觉什么样的行为可能会引发个人信息泄露。我们调查过,为了使用APP,很多用户连条款都不看,当然,看了也可能看不懂,只能点‘同意’。这就给窃取个人信息的行为打开了方便之门,让违法、违规行为难以杜绝。”
细则为安全使用护航
据了解,《方法》中明确了六大类违规行为:未公开收集使用规则;未明示收集使用个人信息的目的、方式和范围;未经用户同意收集使用个人信息;违反必要原则收集与其提供的服务无关的个人信息;未经同意向他人提供个人信息;未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息。
何延哲表示,《方法》共明确了认定APP违法违规收集使用个人信息的31种行为。其中,收集使用规则、明示收集个人信息的目的等是认定的重点。
据了解,对于现在用户反应比较强烈的问题,《方法》给出了明确的界定,在APP中没有隐私政策,或者隐私政策中没有收集使用个人信息规则,以及在APP首次运行时未通过弹窗等明显方式提示用户阅读隐私政策的收集使用行为,可被认定为“未公开收集使用规则”。
此外,对于用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用,或以默认选择同意隐私政策等非明示方式征求用户同意等行为,则可被认定为“未经用户同意收集使用个人信息”。
北京汇佳律师事务所律师邱宝昌指出,《消费者权益保护法》《网络安全法》均规定经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则。2019年施行的《信息安全技术个人信息安全规范》中也提到,个人信息控制者开展个人信息处理活动时应遵循最少够用原则。但究竟何为“正当、必要”“最少够用”,则缺少细则规定。此次出台的《方法》相当于对相关法律和国家标准进行了细化,也为APP经营者过度收集使用个人信息敲响了警钟。
