楠木軒

來!坐下聽他們聊聊App個人信息保護那些事兒

由 希學英 發佈於 科技

被不明來源的廣告電話騷擾?被手機軟件強制索要不必要的授權?……

你遇到過這些問題嗎?信息化時代,手機在人們的生活中扮演着愈發重要的角色。與日俱增的手機使用時長帶動了App數量的上漲,這些種類繁複的App也使人們產生了一些擔憂,下面我們就來聽聽他們的故事。

關鍵詞:自啓動/關聯啓動

某中年阿姨:我聽鄰居説,在手機上打開一個App,能連帶着把好幾個別的App都打開了!這可怎麼辦?這種自動操作會不會盜取手機裏的信息啊?

分析:關聯啓動如上圖所示,打開一個App的時候會啓動、喚醒其他App。當手機中的App越多,關聯關係越複雜,打開幾個App,甚至可能導致手機中幾十個、上百個App都被關聯喚醒了。

究其原因,App為了保證被用户繼續使用,就要儘可能多的“刷存在感”,否則久而久之用户就會棄之不用,甚至卸載。如果App開發者選擇了採用聯合喚醒的機制或者其他類似機制來“保活”,這就可能導致大量的服務進程在後台被喚醒、駐留,從而造成不同應用之間的交叉喚醒、關聯啓動的現象。

《App違法違規收集使用個人信息行為認定方法》第四條第3點指出,收集個人信息的頻度等超出業務功能實際需要,可認定為“違反必要原則,收集與其提供的服務無關的個人信息”。

GB/T 35273-2020《信息安全技術 個人信息安全規範》標準中指出,收集個人信息需滿足最小必要原則,自動收集個人信息的頻率應是實現產品或服務的業務功能所必需的最低頻率。

基於上述技術規範內容分析,App通過自啓動、關聯啓動等方式喚醒後,如果存在通過權限等機制收集個人信息的行為,且並未在隱私政策等規則中明確指出具體的目的的,其收集個人信息的頻度則涉嫌超出了業務功能實際需要。

關鍵詞:偷聽偷看

某年輕媽媽:最近正準備買一些給寶寶用的東西,我和老公發消息研究了一下給寶寶買什麼牌子的奶粉,再點進一些購物App,就給我推薦嬰兒奶粉了。有一種生活被“偷窺”的感覺,很不舒服。

分析:藉助於匯聚越來越多的個人信息和使用越來越成熟的用户畫像算法,互聯網產品或服務能夠更加了解用户,通過個性化推薦更加吸引用户。用户雖然能夠從個性化推薦中得到便利,但也可能因為不能自主退出或者選擇推送內容而感到不便,不當利用個性化推薦還可能造成“信息繭房”效應,讓用户的生活桎梏於興趣圈內,越縮越小。

GB/T 35273-2020《信息安全技術 個人信息安全規範》標準中指出,要求個人信息控制者使用個性化展示的,應當顯著區分個性化展示內容和非個性化展示內容,從而保障用户的“知情權”;

其次,要求區分電子商務、新聞信息服務這兩類常見的個性化展示應用類型,提出關閉或退出個性化展示的要求,保障用户的“選擇權”;

最後,倡導個人信息控制者向用户提供個性化標籤、畫像維度的自主控制機制,提出保障用户“選擇權”的最佳實踐方案。

關鍵詞:要授權

某大學生:有些App隱私協議寫得含糊其辭,或者根本就不全。未徵求我的同意就使用我的個人信息,還有的霸王條款,不開權限就不給我用,比如,照明App為什麼要讀取位置權限啊?

分析:“必要權限”是指保障App正常運行所必需的最少權限,一般都是在App首次開啓時,需用户同意授權必要權限後,才能正常進入App主界面(常見的有“存儲權限”等)。App運營者應充分調研並明確業務功能所需的權限,不應申請App不會用到的權限或者一次性申請所有權限。

《網絡安全法》第四十一條規定網絡運營者收集、使用個人信息,應“明示收集使用個人信息的目的、方式和範圍”。

《App違法違規收集使用個人信息行為認定方法》第四條第1、2點指出,收集的個人信息類型或打開的可收集個人信息權限與現有業務功能無關,或因用户不同意收集非必要個人信息或打開非必要權限,拒絕提供業務功能,可認定為“違反必要原則,收集與其提供的服務無關的個人信息”。

關鍵詞:刷臉

某公司員工:前公司要求統一使用某App進行打卡、工作交接等活動,每次登錄驗證身份都要刷臉。如今我跳槽到競爭對手公司,個人賬號已經註銷,可是之前上傳系統的面部信息也不知道能不能刪除,萬一有人利用我的人臉識別信息冒充身份、破解賬號就糟糕了。

分析:就人臉識別而言,對“撤回授權”的理解與實踐存在一定的複雜性。如果用户計劃以後不再使用人臉識別功能,而又無渠道和機制向App運營者反饋其意願,App運營者則可能以其不清楚用户是否還會再次使用為由,長期保留用户的人臉特徵信息。而事實上,所保留的這些信息已經超出達成前期的處理目的需要,有不符合最短期限內存儲原則的嫌疑,增加了泄露、濫用的隱患。

對此,相關方應逐步完善用户對其人臉信息的自主控制權,比如支持查詢收集使用情況,撤回對收集人臉信息的同意,以及查詢是否還繼續持續留存了人臉信息等。

隨着人臉識別技術廣泛應用於各App及生活場景下,人臉信息的保護成為個人信息保護工作中的重中之重,必須高度重視對此類信息的收集使用行為,保障用户知情權和選擇權,確保各環節安全。

關鍵詞:掃碼

某網友:上次我在論壇逛帖子的時候看到有樓主説健康碼不能隨便亂髮,因為裏面有姓名、住址、行程等個人信息,有人能自己寫程序讀取,下面跟帖的好多人都不信,真有那麼危險嗎?

保險起見,建議用户在使用健康碼服務時,要仔細閲讀註冊健康碼時的服務協議和隱私政策,不要把自己的健康碼在公開渠道隨意分享。