手機App越界索權的問題再次引發(fā)關注,。
近日,工業(yè)和信息化部信息通信管理局網(wǎng)站發(fā)布了《關于侵害用戶權益行為的App通報(2020年第一批)》(以下簡稱《通報》),,當當,、大街、WiFi管家,、e代駕,、知乎日報等16款App被點名。此前,,工業(yè)和信息化部曾于2019年12月和2020年1月分別公開了兩批存在侵害用戶權益的App(共56款),,并下架3款逾期未整改App,。
《通報》顯示,侵權行為包括違規(guī)收集用戶個人信息,、違規(guī)使用用戶個人信息,、不合理索取用戶權限和為用戶賬號注銷設置障礙等。其中,,不合理索取用戶權限是主要形式,,包括過度索取權限、不給權限不讓用和頻繁申請權限,。
權限內(nèi)容五花八門
越界索權相當普遍
《法制日報》記者從網(wǎng)信辦網(wǎng)站獲悉,,截至2019年12月末,國內(nèi)市場上監(jiān)測到的App數(shù)量為367萬款,,我國第三方應用商店在架應用分發(fā)總量達到9502億次,。
“應用想要獲取您的位置、聯(lián)系人,、相機權限……”下載一款新App后,,打開軟件時通常都會出現(xiàn)請求獲取權限的相關內(nèi)容。常見的應用權限包括存儲權限,、位置權限,、通訊錄權限、短信權限,、相機權限,、麥克風權限、日歷權限等,。
一些用戶權限的獲取能夠保障App的正常使用,。例如,導航軟件需要獲取位置權限來定位幫助導航,,修圖軟件需要獲取相機權限來使用特定照片,,語音通訊軟件需要獲取麥克風權限和相機權限支持語音和視頻通話。
部分用戶權限的獲取能夠幫助App使用更加便利,。例如,,社交軟件可以通過獲取通訊錄權限發(fā)現(xiàn)更多聯(lián)系人,需要通過短信驗證的App獲取短信權限能夠自動填寫驗證碼等,。但是,,還有部分用戶權限的獲取并不合理。
手機用戶張先生告訴《法制日報》記者,,他下載一款社交App后,,被要求獲取包括位置、通訊錄,、短信,、相機,、相冊、視頻,、麥克風等10多項權限,,很多都涉及隱私,但若不授權則無法使用該軟件,,讓他感到困惑,。
手機用戶趙女士說,在使用一款視頻App時,,雖然用不到通訊和定位,,但該軟件還是要求獲得撥打電話的權限和位置權限。
以“索取用戶權限”為關鍵詞在百度首頁搜索,,各大網(wǎng)站和論壇都有大量相關討論,。
5月15日,信息通信管理局網(wǎng)站發(fā)布了《通報》,,16款App被點名,。其中,當當,、e代駕,、千千音樂、惠租車,、電視家,、彩視、七貓免費小說,、WiFi管家,、大街和哎呦有型存在不合理索取用戶權限行為。
《法制日報》記者下載“惠租車”App進行試驗,,發(fā)現(xiàn)彈出了“‘惠租車’想給您發(fā)送通知”彈窗,,之后是“允許‘惠租車’使用無線數(shù)據(jù)”彈窗,再之后是在使用前提醒閱讀《使用條款》和《隱私政策》彈窗,,此處只能選擇“同意,,繼續(xù)使用”和“不同意,退出”,。
中國傳媒大學文法學部法律系副主任鄭寧告訴《法制日報》記者,,一般來說,App安裝和使用過程中,,只能對一些必要的權限征求使用人的同意。在使用安卓系統(tǒng)的手機中,,有以下幾個權限最常被調(diào)取,,其一是“讀取已安裝應用列表”,,借此可以了解和分析用戶的使用習慣;其二是“讀取本機識別碼”,,主要用來確定用戶的身份,;其三是“讀取位置信息”,通過獲取位置,,搜集用戶的活動范圍,,例如導航類軟件就必須調(diào)取這一權限。
“手機App收集的信息若與其提供的服務無關,,則構成越界索權,。”鄭寧說,。
若不授權無法使用
用戶只能被迫接受
應用權限作為收集手機用戶個人信息的最直接方式,,一旦同意特定用戶權限的使用,那么個人信息將隨時可能被獲取,,不利于個人隱私的保護,。
中國人民大學網(wǎng)絡與移動數(shù)據(jù)管理實驗室孟小峰教授團隊發(fā)布的《2019年度中國隱私風險指數(shù)分析報告》顯示,2019年度App平均安裝量同比增長14.81%,,用戶平均權限數(shù)據(jù)泄露量同比增長15.46%,。當前中國用戶的個人隱私泄露風險并沒有得到有效控制,仍在大幅提升,,而總體的隱私增長率與用戶平均App安裝量和用戶平均權限數(shù)據(jù)泄露量呈正相關,。
該團隊在2018年發(fā)布的《中國隱私風險指數(shù)分析報告》曾指出,目前App的各類權限接近40個,,但大部分權限跟App實現(xiàn)功能的正常需求并不匹配,。
在《通報》中可以看到,對于用戶權限的不合理索取包括不給權限不讓使用,、過度索取權限,。此外,頻繁申請權限也屬于對用戶權限的不合理索取,。
從App開發(fā)者角度而言,,獲取用戶權限能夠在大數(shù)據(jù)的支撐下為用戶提供更精準的“定制”服務。因此,,為吸引用戶和挖掘用戶需求,,申請和使用系統(tǒng)權限收集個人信息來對用戶信息進行分析,成為大數(shù)據(jù)和互聯(lián)網(wǎng)時代的一種常態(tài),。
然而,,部分開發(fā)者和商家受商業(yè)利益的驅使,會不合理索取用戶權限,侵犯用戶的隱私權,。
一位App服務提供者告訴《法制日報》記者:“大數(shù)據(jù)時代,,當然是獲取的權限越多,搜集到的個人信息就越多,?!彼允謾C聽筒權限為例,用戶在聊天時談及最近想購買的物品后,,App通過聽筒獲取該信息后,,可以在用戶使用時推送相應的廣告。
手機中存放的用戶的賬號密碼,、聯(lián)系人名單,、照片視頻等,如果被App不合理獲取用戶權限,,將面臨被“數(shù)據(jù)劫持”的風險,。以獲取聯(lián)系人為例,在聯(lián)系人信息泄露的同時,,用戶和相關聯(lián)系人都可能會收到騷擾電話,、垃圾短信,甚至可能在數(shù)據(jù)被惡意泄露后面臨詐騙和勒索,。
值得注意的是,,北京市消協(xié)的調(diào)查問卷顯示,有41.16%的人在安裝或使用手機App前從來不看授權須知,。中消協(xié)發(fā)布的《App個人信息泄露情況調(diào)查報告》也顯示,,“不授權就沒法用”是受訪者“從不閱讀”的最主要原因。
根據(jù)調(diào)查結果,,在占比26.2%從不閱讀應用權限和用戶協(xié)議或隱私政策的受訪者中,,選擇從不閱讀的原因,主要是因為不授權就沒法用,,只能被迫接受(占比61.2%),。
對此,北京大學信息科學技術學院副教授陳江認為,,這一方面是因為部分用戶不了解應用權限對于個人隱私權利的重要性,;另一方面,在很多情況下,,如果用戶不提供權限,,App就直接退出或自動停止服務。
亟須完善法律規(guī)范
保護公民信息安全
網(wǎng)絡安全法明確規(guī)定,,要加強對個人信息保護,,規(guī)定網(wǎng)絡運營者收集、使用個人信息,應當遵循合法,、正當,、必要的原則,,公開收集,、使用規(guī)則,明示收集,、使用信息的目的,、方式和范圍,并經(jīng)被收集者同意,。不能收集與其提供的服務無關的個人信息,,也不能違反法律規(guī)定或與用戶的約定收集、使用個人信息,。
2019年1月25日,,《關于開展App違法違規(guī)收集使用個人信息專項治理的公告》發(fā)布,決定自2019年1月至12月,,在全國范圍組織開展App違法違規(guī)收集使用個人信息專項治理,。此后,為落實該公告的部署,,相關部門成立了App專項治理工作組,。
此后,《互聯(lián)網(wǎng)個人信息安全保護指南》《App違法違規(guī)收集使用個人信息行為認定方法》《信息安全技術個人信息安全規(guī)范》《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡數(shù)據(jù)安全保護能力專項行動方案》等陸續(xù)印發(fā),,對App違法收集個人信息行為進行了認定和治理,。
《法制日報》記者梳理發(fā)現(xiàn),為了加強個人信息保護,,2019年至今,,《移動互聯(lián)網(wǎng)應用程序(App)收集個人信息基本規(guī)范(草案)》《數(shù)據(jù)安全管理辦法(征求意見稿)》《個人信息告知同意指南(征求意見稿)》《網(wǎng)絡安全標準實踐指南—移動互聯(lián)網(wǎng)應用程序(App)收集使用個人信息自評估指南(征求意見稿)》《網(wǎng)絡安全標準實踐指南—移動互聯(lián)網(wǎng)應用程序(App)個人信息安全防范指引(征求意見稿)》等也相繼發(fā)布。
中國人民大學法學院教授楊立新認為,,目前,,侵害公民個人信息構成犯罪的才能夠追究其刑事責任,但對于一般侵權行為仍然制裁不力,,應該采取更具體的立法措施,,對侵害個人信息的行為認定為侵權行為,追究其損害賠償責任,。
北京師范大學網(wǎng)絡法治國際中心執(zhí)行主任,、中國互聯(lián)網(wǎng)協(xié)會研究中心秘書長吳沈括同樣認為須加強和完善立法,“雖然刑法對個人信息保護力度較強,,但相關前位法立法缺失,,關于個人信息保護的法規(guī)較為零散,因此個人信息保護法、數(shù)據(jù)安全法的出臺刻不容緩”,。
吳沈括說,,不良網(wǎng)絡運營者是用戶信息安全的重大威脅,應針對這些運營者制定,、實行有效的監(jiān)管措施,,并提高威懾網(wǎng)絡運營者的懲處力度,才能從源頭上遏制危害公民信息安全的行為,。此外,,用戶也應重視個人信息安全,提高信息安全意識,,增強個人信息保護能力,。
