網絡消費網 >  IT > > 正文
應用軟件越界索權 個人信息保護期待“牙齒”更鋒利
時間:2020-08-03 10:03:46

7月24日,工業(yè)和信息化部對侵害用戶權益行為的手機應用軟件進行通報,這是今年以來的第三批通報名單。截至目前,工業(yè)和信息化部已對今年檢查出的存在問題的89款App進行了通報。

《法治日報》記者注意到,“私自收集個人信息”“私自共享給第三方”“過度索取權限”等是這次通報的主要問題。

同日,工業(yè)和信息化部發(fā)布《關于開展縱深推進App侵害用戶權益專項整治行動的通知》,專項整治時間為通知印發(fā)之日至2020年12月10日。重點整治App、SDK未告知用戶收集個人信息的目的、方式、范圍且未經用戶同意,私自收集用戶個人信息的行為。

近年來,通報App違規(guī)現(xiàn)象并不少見,涉及軟件數(shù)量日益增多,側面暴露了我國公民個人信息保護的短板和難題。

應用軟件越界索權

私自共享缺乏監(jiān)督

在互聯(lián)網時代,大數(shù)據在提供便利的同時也帶來了隱私被泄露的潛在危險。身份證號碼、手機號碼、購買記錄、行車路線等個人信息都在數(shù)據庫里一覽無余。“大數(shù)據殺熟”“大數(shù)據二次販賣”等現(xiàn)象也層出不窮。

消費記錄被購物App分析,出行住宿被旅行App掌握,行車線路也被導航App知道得一清二楚……在互聯(lián)網大數(shù)據面前,普通用戶幾乎是“裸體”的,而一旦這些數(shù)據被泄露,后果不堪設想。更為嚴重的是,一些手機App從一開始的信息采集就是過度的。

2019年年初,中央網信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局對外發(fā)布《關于開展App違法違規(guī)收集使用個人信息專項治理的公告》,中國消費者協(xié)會、中國互聯(lián)網協(xié)會等聯(lián)合成立App專項治理工作組,對用戶數(shù)量大、與民眾生活密切相關的App的隱私政策和個人信息收集使用情況進行評估。

然而,在專項治理的攻勢下,App過度采集個人信息的問題并未得到遏制。

2019年7月16日,上述App專項治理工作組發(fā)布通知,稱有40款App在個人信息收集方面存在問題,且未公開有效聯(lián)系方式。工作組敦促這40款App的運營者30日內完成整改,并向工作組提交整改報告。這份通知顯示,Wi-Fi萬能鑰匙、同花順、墨跡天氣、安居客、糗事百科、起點讀書等常見的App,都在需要整改的名單之中。

據了解,一般來說,App的安裝和使用只能對一些必要的權限征求使用人的同意。在使用安卓系統(tǒng)的手機中,有以下幾個權限最常被調取,其一是“讀取已安裝應用列表”,借此可以了解和分析用戶的使用習慣;其二是“讀取本機識別碼”,主要用來確定用戶的身份;其三是“讀取位置信息”,通過獲取位置,搜集用戶的活動范圍,例如導航類軟件就必須調取這一權限。

然而,在現(xiàn)實生活中,許多App普遍存在越界索權現(xiàn)象,比如視頻類App要求讀取運動數(shù)據、資訊類App要求開啟相機和麥克風錄音權限等。

更為嚴重的是,泄露的信息從一般信息向生物識別信息蔓延。近期,360安全大腦監(jiān)測到,在金融類移動軟件中,存在一批具有隱秘拍照行為的軟件,以提供借貸服務之名,悄無聲息地進行隱私非法收集行為。據360安全大腦監(jiān)測數(shù)據顯示,截至今年6月中旬,共發(fā)現(xiàn)9款軟件,捕獲90個樣本。相比以往,這9款軟件“偷盜”手段略有不同,除了非法收集用戶敏感通訊數(shù)據外,還會嘗試對用戶面部圖像進行靜默偷拍與上傳。

除偷拍用戶面部圖像外,這類借貸軟件“掃蕩式”地采集用戶的各種敏感通訊與網絡數(shù)據,包括用戶短信、通話記錄、通訊錄、接入網絡等,進行非法收集與明文傳輸。

中國傳媒大學人類命運共同體研究院副院長王四新告訴《法治日報》記者,App超范圍收集個人信息、私自共享給第三方的行為屢禁不止的主要原因是,App在收集使用和向第三方傳輸私人信息的整個流程缺乏有效監(jiān)督。

“從個人來講,用戶完全沒有知覺,所以沒有辦法進行維權,只能被動地依靠執(zhí)法機關或者監(jiān)管機關。此外,這種行為可以獲得多層次的利益回報,再加上企業(yè)內部管理不嚴導致目前這種情況比較嚴重。”王四新說。

處罰手段比較有限

違法成本普遍偏低

《法治日報》記者調查發(fā)現(xiàn),今年以來,違法App的種類在發(fā)生變化。從國家計算機病毒應急處理中心下架的App來看,今年上半年,直播、社交、外賣、醫(yī)療、在線教育等App涉嫌侵犯個人隱私占到很大比重。

盡管App泄露個人信息日益嚴重,但《法治日報》記者梳理發(fā)現(xiàn),目前對這些App還是以行政處罰為主?!禔pp違法違規(guī)收集使用個人信息專項治理報告(2019)》顯示,目前相關部門對App違法行為采取的懲罰措施主要有整改、通報、下架、罰款、查處、行政約談等。

在業(yè)內人士看來,責令整改、罰款等處罰措施往往對一些違規(guī)App不能產生觸動,“這次錯了,下次還敢上榜單”的現(xiàn)象比比皆是。

工業(yè)和信息化部每曝出一批問題App名單,也會給相關App規(guī)定整改期限,如對于7月24日公布的App名單,工信部要求在7月30日之前完成整改。

“違法成本低,監(jiān)管難度大成為當下監(jiān)管App違規(guī)行為的主要難題。”中國傳媒大學文化產業(yè)管理學院法律系主任鄭寧告訴《法治日報》記者,“工業(yè)和信息化部如果僅依據相關部門規(guī)章進行處罰,只能予以警告和處以一定數(shù)額的罰款(通常是3萬元以下),這種處罰力度對違反者而言成本很低。”

上海交通大學數(shù)據法律研究中心執(zhí)行主任何淵認為,目前相關部門對于違法違規(guī)收集個人信息的處罰手段有限,主要依靠企業(yè)自律,或是監(jiān)管部門采取限期整改、約談和下架等方式。這也就意味著沒有鋒利的“牙齒”能震懾這類行為。

除了違法成本低的問題外,監(jiān)管部門還面臨企業(yè)用戶雙方需求難以平衡的困境。

有媒體報道稱,企業(yè)收集用戶隱私信息可以用來作為用戶畫像,便于發(fā)送廣告,合理的廣告訴求應該予以理解,“一些小微企業(yè)的收入來源就是App中的廣告,如果采用‘一刀切’的方式完全禁止發(fā)廣告,一些App就無法生存。但從用戶的直觀角度考慮,用戶有可能認為自己的隱私信息遭到了竊取。此時監(jiān)管部門需要綜合考慮用戶與企業(yè)雙方的需求”。

有監(jiān)管層人士介紹說,目前查到一些App存在侵權問題時,他們會直接與App運營企業(yè)聯(lián)系要求對方進行整改,對于比較容易整改的問題,如App注銷難等,企業(yè)可以很快出臺注銷方式,用戶也能簡單地發(fā)現(xiàn)這一改變,因此關于注銷難的整改容易推進;但私自收集個人信息的問題就較為復雜,如一些App出于使用目的不得不收集必要的個人信息,此時如何判斷什么屬于“私自收集”往往較麻煩,這可能是App通報名單中“私自收集個人信息”問題始終存在的原因之一。

北京師范大學法學院教授劉德良告訴《法治日報》記者:“企業(yè)收集用戶隱私信息可以用來作為用戶畫像,可以更精準地為用戶提供服務。另外,合理收集個人信息,也便于精準地發(fā)送廣告來維持企業(yè)生產,這種合理的訴求應該予以理解。”

但是,劉德良認為,個人信息和個人隱私要作區(qū)分,互聯(lián)網搜索信息偏向等數(shù)據屬于正常的個人信息片段,企業(yè)收集這類信息后只要不進行電話騷擾,合理推送廣告和產品推薦并不屬于隱私侵犯。

如何平衡兩者的需求關系,鄭寧的意見是:“個人信息兼具個人利益和公共利益,監(jiān)管部門應該平衡用戶的個人信息權益以及企業(yè)的創(chuàng)新發(fā)展。隨著網絡技術進步和數(shù)字經濟的發(fā)展,收集使用個人信息的手段和方式日益多樣化、復雜化,通過立法、行政執(zhí)法和司法加強個人信息保護是非常必要的,但是在大數(shù)據、人工智能時代,信息只有在合理流動和使用中才能發(fā)揮其價值。”

努力平衡各方需求

監(jiān)管亟須落到實處

去年年底,國家互聯(lián)網信息辦公室、工業(yè)和信息化部等四部門印發(fā)《App違法違規(guī)收集使用個人信息行為認定方法》,對于如何界定App明確告知收集使用個人信息等行為作出了詳細的解釋。App專項治理工作組有關專家曾對該認定方法進行解讀,未明示收集使用個人信息的目的、方式和范圍的情況包括,未逐一列出App(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、范圍等。

App專項治理工作組有關專家解讀稱,App和App中嵌入代碼的第三方收集使用個人信息,都需要采取適當方式通知用戶。“我們曾使用檢測工具檢測到一款App中嵌入了54個SDK,這么多SDK有沒有個人信息泄露的風險,這些都要提。目前有一些App在整改后做得很到位,有些專門列出了SDK的列表,甚至把第三方共享的接收方都列出來了,如果把明示工作做到這個程度,相信用戶也會提升對App的信任度。”

《法治日報》記者注意到,在立法層面,《網絡安全實踐指南——移動互聯(lián)網應用基本業(yè)務功能必要信息規(guī)范》《App違法違規(guī)收集使用個人信息行為認定方法》先后出臺,明確了未公開收集使用規(guī)則;未明示收集使用個人信息的目的、方式和范圍等6項認定準則,包含31種場景。

當下,我國關于個人信息安全的法律在不斷完善和細化,但監(jiān)管如何落到實處是當下更值得考慮的問題。

對此,鄭寧建議,監(jiān)管的完善需要從以下幾個方面進行:第一,互聯(lián)網平臺應加強對App上架環(huán)節(jié)的事前審核;第二,建立健全投訴舉報制度,進行相應回應;第三,加大對違法違規(guī)App的懲處力度;第四,運用新型監(jiān)管方式,如信用記錄監(jiān)管;第五,運用大數(shù)據、人工智能等技術進行監(jiān)管。

“在互聯(lián)網時代,任何問題都不能采取‘一刀切’的方式,要采取靈活變動的監(jiān)管辦法。”在王四新看來,要想將監(jiān)管措施落到實處,需要有更多懂技術、懂業(yè)務的專家型人才補充到監(jiān)管的隊伍里。在目前這類人才難以滿足監(jiān)管要求的情況下,可以發(fā)揮不同領域的技術人才的作用,同時調動廣大網民的積極性。

“此外,要平衡App開發(fā)者或者服務提供者與廣大用戶之間的關系,要求平臺履行責任,例如上線時加強審核把關,上線運營過程中增加透明度。同時也要為消費者維護權益降低難度,提供更多便利,讓消費者通過自主的維權活動來保障自身利益。這樣既可將監(jiān)管落到實處,又能減少監(jiān)管費用。”王四新說。

王四新認為,App開發(fā)者和用戶之間的權利義務關系模式,是隨著相關變量的不斷變化而變化的。從監(jiān)管的角度來講,就是平衡合理使用與保護隱私權的問題,一方面要保護消費者的合法權益,保證他們的隱私不被過度開發(fā)或非法利用,另外一方面也要確保App的開發(fā)者能夠有效利用他們提供服務過程中采集的數(shù)據,讓這些數(shù)據發(fā)揮更大的作用。

不過,鄭寧也提出:“如果過度強調個人信息保護,會給互聯(lián)網企業(yè)造成過重的負擔,不利于產業(yè)創(chuàng)新和信息自由流動。”

關鍵詞: 個人信息

版權聲明:
    凡注明來網絡消費網的作品,版權均屬網絡消費網所有,未經授權不得轉載、摘編或利用其它方式使用上述作品。已經本網授權使用作品的,應在授權范圍內使用,并注明"來源:網絡消費網"。違反上述聲明者,本網將追究其相關法律責任。
    除來源署名為網絡消費網稿件外,其他所轉載內容之原創(chuàng)性、真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考并自行核實。
熱文

網站首頁 |網站簡介 | 關于我們 | 廣告業(yè)務 | 投稿信箱
 

Copyright © 2000-2020 m.netfop.cn All Rights Reserved.
 

中國網絡消費網 版權所有 未經書面授權 不得復制或建立鏡像
 

聯(lián)系郵箱:920 891 263@qq.com

備案號:京ICP備2022016840號-15

營業(yè)執(zhí)照公示信息