本報見習記者 白楚玄
本報記者 文麗娟
手機App越界索權的問題再次引發關注。
近日,工業和信息化部信息通信管理局網站發佈了《關於侵害用户權益行為的App通報(2020年第一批)》(以下簡稱《通報》),噹噹、大街、WiFi管家、e代駕、知乎日報等16款App被點名。此前,工業和信息化部曾於2019年12月和2020年1月分別公開了兩批存在侵害用户權益的App(共56款),並下架3款逾期未整改App。
《通報》顯示,侵權行為包括違規收集用户個人信息、違規使用用户個人信息、不合理索取用户權限和為用户賬號註銷設置障礙等。其中,不合理索取用户權限是主要形式,包括過度索取權限、不給權限不讓用和頻繁申請權限。
權限內容五花八門
越界索權相當普遍
《法制日報》記者從網信辦網站獲悉,截至2019年12月末,國內市場上監測到的App數量為367萬款,我國第三方應用商店在架應用分發總量達到9502億次。
“應用想要獲取您的位置、聯繫人、相機權限……”下載一款新App後,打開軟件時通常都會出現請求獲取權限的相關內容。常見的應用權限包括存儲權限、位置權限、通訊錄權限、短信權限、相機權限、麥克風權限、日曆權限等。
一些用户權限的獲取能夠保障App的正常使用。例如,導航軟件需要獲取位置權限來定位幫助導航,修圖軟件需要獲取相機權限來使用特定照片,語音通訊軟件需要獲取麥克風權限和相機權限支持語音和視頻通話。
部分用户權限的獲取能夠幫助App使用更加便利。例如,社交軟件可以通過獲取通訊錄權限發現更多聯繫人,需要通過短信驗證的App獲取短信權限能夠自動填寫驗證碼等。但是,還有部分用户權限的獲取並不合理。
手機用户張先生告訴《法制日報》記者,他下載一款社交App後,被要求獲取包括位置、通訊錄、短信、相機、相冊、視頻、麥克風等10多項權限,很多都涉及隱私,但若不授權則無法使用該軟件,讓他感到困惑。
手機用户趙女士説,在使用一款視頻App時,雖然用不到通訊和定位,但該軟件還是要求獲得撥打電話的權限和位置權限。
以“索取用户權限”為關鍵詞在百度首頁搜索,各大網站和論壇都有大量相關討論。
5月15日,信息通信管理局網站發佈了《通報》,16款App被點名。其中,噹噹、e代駕、千千音樂、惠租車、電視家、彩視、七貓免費小説、WiFi管家、大街和哎呦有型存在不合理索取用户權限行為。
《法制日報》記者下載“惠租車”App進行試驗,發現彈出了“‘惠租車’想給您發送通知”彈窗,之後是“允許‘惠租車’使用無線數據”彈窗,再之後是在使用前提醒閲讀《使用條款》和《隱私政策》彈窗,此處只能選擇“同意,繼續使用”和“不同意,退出”。
中國傳媒大學文法學部法律系副主任鄭寧告訴《法制日報》記者,一般來説,App安裝和使用過程中,只能對一些必要的權限徵求使用人的同意。在使用安卓系統的手機中,有以下幾個權限最常被調取,其一是“讀取已安裝應用列表”,藉此可以瞭解和分析用户的使用習慣;其二是“讀取本機識別碼”,主要用來確定用户的身份;其三是“讀取位置信息”,通過獲取位置,蒐集用户的活動範圍,例如導航類軟件就必須調取這一權限。
“手機App收集的信息若與其提供的服務無關,則構成越界索權。”鄭寧説。
若不授權無法使用
用户只能被迫接受
應用權限作為收集手機用户個人信息的最直接方式,一旦同意特定用户權限的使用,那麼個人信息將隨時可能被獲取,不利於個人隱私的保護。
中國人民大學網絡與移動數據管理實驗室孟小峯教授團隊發佈的《2019年度中國隱私風險指數分析報告》顯示,2019年度App平均安裝量同比增長14.81%,用户平均權限數據泄露量同比增長15.46%。當前中國用户的個人隱私泄露風險並沒有得到有效控制,仍在大幅提升,而總體的隱私增長率與用户平均App安裝量和用户平均權限數據泄露量呈正相關。
該團隊在2018年發佈的《中國隱私風險指數分析報告》曾指出,目前App的各類權限接近40個,但大部分權限跟App實現功能的正常需求並不匹配。
在《通報》中可以看到,對於用户權限的不合理索取包括不給權限不讓使用、過度索取權限。此外,頻繁申請權限也屬於對用户權限的不合理索取。
從App開發者角度而言,獲取用户權限能夠在大數據的支撐下為用户提供更精準的“定製”服務。因此,為吸引用户和挖掘用户需求,申請和使用系統權限收集個人信息來對用户信息進行分析,成為大數據和互聯網時代的一種常態。
然而,部分開發者和商家受商業利益的驅使,會不合理索取用户權限,侵犯用户的隱私權。
一位App服務提供者告訴《法制日報》記者:“大數據時代,當然是獲取的權限越多,蒐集到的個人信息就越多。”他以手機聽筒權限為例,用户在聊天時談及最近想購買的物品後,App通過聽筒獲取該信息後,可以在用户使用時推送相應的廣告。
手機中存放的用户的賬號密碼、聯繫人名單、照片視頻等,如果被App不合理獲取用户權限,將面臨被“數據劫持”的風險。以獲取聯繫人為例,在聯繫人信息泄露的同時,用户和相關聯繫人都可能會收到騷擾電話、垃圾短信,甚至可能在數據被惡意泄露後面臨詐騙和勒索。
值得注意的是,北京市消協的調查問卷顯示,有41.16%的人在安裝或使用手機App前從來不看授權須知。中消協發佈的《App個人信息泄露情況調查報告》也顯示,“不授權就沒法用”是受訪者“從不閲讀”的最主要原因。
根據調查結果,在佔比26.2%從不閲讀應用權限和用户協議或隱私政策的受訪者中,選擇從不閲讀的原因,主要是因為不授權就沒法用,只能被迫接受(佔比61.2%)。
對此,北京大學信息科學技術學院副教授陳江認為,這一方面是因為部分用户不瞭解應用權限對於個人隱私權利的重要性;另一方面,在很多情況下,如果用户不提供權限,App就直接退出或自動停止服務。
亟須完善法律規範
保護公民信息安全
網絡安全法明確規定,要加強對個人信息保護,規定網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。不能收集與其提供的服務無關的個人信息,也不能違反法律規定或與用户的約定收集、使用個人信息。
2019年1月25日,《關於開展App違法違規收集使用個人信息專項治理的公告》發佈,決定自2019年1月至12月,在全國範圍組織開展App違法違規收集使用個人信息專項治理。此後,為落實該公告的部署,相關部門成立了App專項治理工作組。
此後,《互聯網個人信息安全保護指南》《App違法違規收集使用個人信息行為認定方法》《信息安全技術個人信息安全規範》《電信和互聯網行業提升網絡數據安全保護能力專項行動方案》等陸續印發,對App違法收集個人信息行為進行了認定和治理。
《法制日報》記者梳理發現,為了加強個人信息保護,2019年至今,《移動互聯網應用程序(App)收集個人信息基本規範(草案)》《數據安全管理辦法(徵求意見稿)》《個人信息告知同意指南(徵求意見稿)》《網絡安全標準實踐指南—移動互聯網應用程序(App)收集使用個人信息自評估指南(徵求意見稿)》《網絡安全標準實踐指南—移動互聯網應用程序(App)個人信息安全防範指引(徵求意見稿)》等也相繼發佈。
中國人民大學法學院教授楊立新認為,目前,侵害公民個人信息構成犯罪的才能夠追究其刑事責任,但對於一般侵權行為仍然制裁不力,應該採取更具體的立法措施,對侵害個人信息的行為認定為侵權行為,追究其損害賠償責任。
北京師範大學網絡法治國際中心執行主任、中國互聯網協會研究中心秘書長吳沈括同樣認為須加強和完善立法,“雖然刑法對個人信息保護力度較強,但相關前位法立法缺失,關於個人信息保護的法規較為零散,因此個人信息保護法、數據安全法的出台刻不容緩”。
吳沈括説,不良網絡運營者是用户信息安全的重大威脅,應針對這些運營者制定、實行有效的監管措施,並提高威懾網絡運營者的懲處力度,才能從源頭上遏制危害公民信息安全的行為。此外,用户也應重視個人信息安全,提高信息安全意識,增強個人信息保護能力。