手機APP:你的邊界在哪裏

來源:鳳凰新聞 2018-01-12 07:00:11

原標題:手機APP:你的邊界在哪裏

[

  日前,江蘇省消費者權益保護委員會(以下簡稱江蘇消保委)就北京百度網訊科技有限公司(以下簡稱百度)涉嫌違法獲取消費者個人信息及相關問題提起民事公益訴訟。對此,百度回應:“讀取權限都有非常明確的使用場景,不存在未經用戶同意、超合理範圍獲取信息的情況。”

  風波過後,有關手機應用軟件(以下簡稱APP)越界讀取個人信息的討論未停止。“讀取短信彩信”“讀取聯係人”“獲取地理位置”……越來越多的手機APP嚐試讀取用戶手機信息。北京市法學會電子商務法治研究會會長邱寶昌表示,經營者必須要考慮信息收集的合法性、正當性和必要性。如果是收集不必要的信息,即使經過消費者同意,其收集行為也是不合法的。

  涉嫌越界獲取用戶信息

  百度被提起公益訴訟

  在江蘇消保委對百度提起消費民事公益訴訟之前,江蘇消保委曾對百度進行約談。

  2017年7月4日,江蘇消保委就個人信息安全問題曾向百度發送《關於手機應用程序獲取權限問題的調查函》,要求百度派員接受約談。同年11月,百度接受約談,並隨後提交整改方案。

  不過,對百度的這份整改方案,江蘇消保委並不滿意:“該企業僅書麵對問題做了簡單說明,並將權限通知及選擇等義務推卸給手機操作係統,消極應對調查。”

  2018年1月5日,江蘇消保委發布消息稱,“手機百度”“百度瀏覽器”兩款手機APP在用戶安裝前,未告知其所獲取的各種權限及目的,在未取得用戶同意的情況下,獲取諸如“監聽電話、定位、讀取短彩信、讀取聯係人、修改係統設置”等各種權限。

  “作為搜索及瀏覽器類APP,上述權限並非提供正常服務所必需,已超出合理的範圍。”江蘇消保委表示。

  1月9日,百度公司在接受媒體采訪時回應,“百度APP不會也沒有能力‘監聽電話’,而百度APP敏感權限均需要授權,且用戶可自由關閉。”

  關於“讀取權限是否在合理的範圍之中”的質疑,百度方麵表示,較為常用和敏感的權限包括存儲、獲取地理位置,讀取通訊錄、攝像頭、麥克風、短信等權限,“這些權限都有明確的使用場景,不存在超出合理範圍使用信息的情況”。

  同時,百度方麵強調,隻有在用戶使用到相關功能時,才會去申請這個權限,且用戶可以自由關閉已經授權開放的權限。“這是我們的基本準則。”百度方麵表示。

  邱寶昌認為,手機APP越界收集用戶個人信息是涉嫌違法的,它侵害的是不特定多數人的利益,江蘇消保委的做法值得點讚。

  越界讀取成“常態”

  核心隱私保護告急

  “由於經營者維護消費者個人信息意識不足、消費者維護個人信息安全手段缺乏,手機APP越界獲取消費者個人信息行為幾乎成為業內‘常態’,消費者個人信息安全存在極大隱患。”江蘇消保委發文表示。

  手機壁紙應用能讀取你通訊錄,一個瀏覽器應用竟能隨時給你錄音。記者觀察,類似這種越界獲取隱私權限,並不是“新”話題。

  2016年底,DCCI互聯網數據中發布《2016年中國Android手機隱私安全報告》。報告顯示,有30.2%的安卓手機應用越界獲取隱私權限,這意味著有三成安卓手機APP存在權限越界問題。

  相比2016年,2017年非遊戲類手機APP越界獲取的各種隱私權限顯著減少。不過,《2017年中國Android手機隱私安全報告》同時指出,核心隱私權限中的越界獲取“通話記錄”和越界“讀取彩信記錄”出現較大幅度增長。

  建立在調查報道和產品測評的基礎之上,針對互聯網安全與個人信息保護現狀,南都個人信息保護研究中心發布《2017個人信息保護年度報告》(以下簡稱《報告》),指出APP過度獲取用戶信息的現象嚴重。

  以某熱門遊戲名為關鍵詞,按照排名前後的順序,南都選取了50款其周邊應用APP作為研究樣本。這50款APP中,應用簡介列出的權限總體有28個,包括拍攝照片和視頻、讀取通訊錄、讀取/收發短信、錄音、獲取精準位置、修改SD卡中的內容等。

  《報告》發現,僅有2款APP列出的權限是“核心”權限,即不獲取就無法正常使用APP核心功能的權限。有5款APP列出的所有權限均係“越界”,即使用APP沒有必要獲取的權限。其他APP均涉及要求獲取沒必要獲取的權限或並不影響APP核心功能使用的權限。

  在《報告》看來,用戶想要獲知手機應用到底獲取了哪些具體權限並不容易。以“某熱門遊戲視頻網”APP為例,《報告》指出,該APP簡介中提到隻會讀取用戶6項權限,但在安裝時,彈出的提示中列出了20項權限。而經技術檢測,它又至少向安卓係統申請了21項權限的許可。

  通過統計近三年工信部公布的466款不良APP,《報告》發現超過八成以上的APP存在強製捆綁推廣其他APP的問題。其中,惡意“吸費”和違規收集用戶信息的合計占比16%,甚至存在不良APP惡意操控用戶手機的情況。

  “這些不良APP涉及93個應用商店,百度手機助手、應用酷、安卓網、蘇寧易購等應用商店被檢測發現的不良APP最多,均在20款以上。”報告認為,即便是大型的應用商店,也可能存在審核不嚴的問題,從而讓問題APP上架。

  專家:以格式條款越權讀取個人信息無效

  “越界收集消費者信息可能會侵害消費者的隱私權、知情權和信息安全權等,經營者必須要考慮收集的合法性、正當性和必要性。”邱寶昌舉例說,收集信息與實現某種功能之間要具有必要性,如地圖APP收集用戶位置信息就比較正常,除此之外的信息收集就有越界嫌疑。

  除了收集信息的目的要具有正當性之外,收集信息的程序也要正當。邱寶昌在接受采訪時指出,經營者通過APP收集個人信息必須要明確告訴消費者,說明APP收集信息的目的、用途、方式、範圍等,還要公開其使用規則,並以醒目的方式進行提醒。

  其實,對於收集用戶信息,法律已有規定。國家網絡安全法明確規定,網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。

  “經營者不得使用格式條款及其他技術手段越界,不得通過不公平條款來侵害消費者的個人信息安全。”邱寶昌進一步表示,如果是收集不必要的信息,即使經過消費者同意,其收集行為也是不合法的。

  針對手機APP越界收集信息的情況,邱寶昌建議,消費者發現後要積極投訴維權,造成不特定消費者利益受損的,有資質的消費者協會可提起公益訴訟。

  (製圖/李紅笛)

  延伸閱讀

  2017年12月28日,在南方都市報社和中國人民大學未來法治研究院等聯合主辦的“2017年個人信息安全大會”上,南都個人信息保護研究中心發布了《2017個人信息保護年度報告》(以下簡稱《報告》),《報告》顯示,互聯網平台隱私政策透明度的分布是陡峭的金字塔型,即透明度高的互聯網平台極少,透明度低的占比超過80%,在互聯網金融類平台和購物類平台中,低透明度的占比甚至超過90%。

  值得注意的是,在透明度最高的10個互聯網平台中,大部分都是大型互聯網企業旗下產品,並且也是2017年7月中央網信辦等四部委組織隱私政策評審的首批參評對象。此次專項行動之後,京東、淘寶、支付寶等平台紛紛調整隱私政策,對個人信息的使用均作出了相關規範。不過,在報告涉及的1550個平台中,其知名度和隱私政策透明度並非絕對正相關,大量高知名度互聯網平台的隱私政策透明度排名靠後。

  用戶信息安全與多主體相關,其保護工作也需要多元共治。其中,國家的法規政策是用戶信息安全保護體係的重要支撐,相關法規政策是否精準有效,對於保護用戶信息安全、推動互聯網產業健康發展至關重要。

  北京市第一中級法院民二庭副庭長丁宇翔表示,個人信息的範疇非常大,隨著信息技術的發展,個人信息的內涵將會越來越豐富,基於這樣一種現狀,司法實踐對於個人信息的保護很可能沒辦法把每種利益都界定得特別清楚。

  對於一些數據產業領域的企業來說,則往往會產生其正常業務是否會受到信息安全保護法規政策影響的擔憂。“從執法層麵來說,我們希望有關部門能有效區分合法合規的數字產業和打著大數據旗號的黑色產業,然後有針對性地進行打擊。”螞蟻金服首席隱私官聶正軍表示,信息安全與隱私保護是一個非常複雜的係統性問題,立法過程中,要平衡好發展與保護的關係以及發展與安全的關係,要做到這兩類平衡,關鍵在於把決定權交還給用戶,因為任何代表用戶或者代替用戶作出的一刀切規則,都有可能打破這個平衡。

  此外,聶正軍認為,從司法層麵來說,盡管路徑方向很明確,但是實踐起來還有很多障礙,最大的問題在於受害者很難舉證,難以勝訴,或者即便勝訴,也可能輸了金錢和時間,得到的收益與投入不對等,司法層麵的這些問題應該得到完善。

  賽迪智庫網絡安全研究所所長劉權則認為,要遏製個人信息泄露現象,應當建立有效的追溯和追責機製,“目前用戶使用的400多萬款APP中,究竟有幾款可以實現追溯?是誰開發的?內容檢測是誰負責的?在哪個應用商店下載的?是否提示用戶APP有沒有得到認可的第三方機構檢測?如果可以有效追溯這些環節,厘清責任歸屬,也許可以從根本上解決這個問題。”

  (節選自《經濟日報》)

]

點擊查看原文

相關鏈接