這些天,來自北京的譚先生在一款理財App上還完自己所欠借款後,立即將App刪除了。原來,去年下半年,他在該App上辦理了一筆1萬多元的現金貸,分6期歸還。在還完前5期後,他因回鄉未能在規定時間內還款,結果對方每天打電話騷擾其通訊錄好友,還通過辱罵、威脅、恐嚇等方式催促還款。回想起這段經歷,譚先生仍然心有餘悸:“現金貸很可怕,這個App能輕鬆獲得我通訊錄好友資訊更可怕。”
如今,人們幾乎都使用智慧手機並下載各類App。這些App在提供方便的同時,也可能“偷竊”手機號、通訊錄、通話記錄、短信記錄等隱私資訊。5月24日,App專項治理工作組發佈的《百款常用App申請收集使用個人資訊許可權列表》顯示,在10大類26項個人資訊相關許可權中,平均每個App申請收集數目達10項。這些資訊很容易落到不法分子手裏,成為敲詐勒索等違法犯罪活動的工具。
為遏制App強制授權、過度索權、超範圍收集個人資訊現象,5月28日,國家網際網路信息辦公室發佈《數據安全管理辦法(徵求意見稿)》(下稱《辦法》),對公眾關注的個人資訊安全問題直接回應。專家表示,《辦法》著眼于公眾反映強烈的個人資訊洩露問題,對“任性”的App立規矩,將對該行業産生重大影響,倒逼網路經營者加強對用戶個人資訊安全保護。
App的套路讓用戶“很受傷”
你有沒有過這樣的經歷——剛在購物App上瀏覽完一些商品,隨後另一個新聞資訊客戶端就向你推送類似商品廣告;剛在社交App上説想出去聚餐,稍後就收到一堆餐館廣告推薦;剛在購房App上瀏覽完畢,信用貸款電話就打了進來……如果有類似遭遇,那你的隱私資訊很可能已經洩露。
誰動了我們的個人資訊?就是這些你剛剛瀏覽過的App。這些App收集用戶隱私資訊,給用戶帶來很大影響。總結起來,可按程度輕重分以下幾類:
一是給用戶“畫像”,幫助商家精準推送廣告。所謂精準推送,就是App通過收集、分析用戶上網瀏覽記錄,結合用戶定位和性別等身份資訊,繪製成用戶肖像,從而實現廣告精準推送。資訊收集方式多為強迫用戶授權或默認勾選,否則無法使用該App。
為測試是否被“畫像”,記者下載並註冊了一款社交App,先後發佈論文寫作、信用貸款、兒童攝影等3條資訊,記者此前並未在其他終端發佈或檢索過類似資訊。隔1個小時,記者登錄自己手機上其他幾款新聞類App,赫然出現了和這3條資訊相關的廣告。
專家表示,這種廣告被稱為“程式化廣告”。平臺根據用戶行為給其打上對應“標簽”後,在後臺以競價或自動個性化方式為廣告主做精準投放。按照規定,投放此類廣告可事先不經用戶明確授權,但應確保用戶有拒絕權利。不過,大部分App目前並未設置相應關閉按鈕,或者將按鈕藏在多個操作步驟之後。
二是把用戶資訊視為“資産”,許進不許出,登出賬號和刪除個人資訊難。很多用戶發現,註冊一個App賬號只需一個手機號及其註冊碼,而想要登出一個賬號往往很難。即便登出了賬號,想清空個人資訊更難。
網經社電子商務研究中心法律權益部向記者提供了一個用戶投訴案例:李先生計劃停用某共用單車,登出手機號。因為當初註冊該App時使用了個人身份證號,擔心資訊洩露的李先生申請登出用戶賬號並解綁身份證。該App客服人員要求他提供個人身份證照片及手持身份證照片。李先生認為這種行為具有強制獲取個人敏感資訊嫌疑,讓人無法接受。
專家表示,App運營者不能過度收集用戶資訊。在收到用戶請求時,App運營者應當在合理時間和代價範圍內予以查詢、更正、刪除或登出賬號。
三是洩露用戶隱私資訊,導致用戶利益受損。用戶資訊洩露存在很多情況,比如App用戶隱私資訊數據庫被駭客入侵、平臺出現漏洞等導致資訊洩露;比如App將用戶資訊“打包”出售或用戶資訊經公司“內鬼”竊取售賣,被不法分子利用等。
網經社電子商務研究中心法律權益部分析師姚建芳對記者表示,目前接到的用戶投訴案例集中在資訊洩露方面,主要為購物類、金融服務類App,用戶因此遭到恐嚇、電信詐騙、資産被盜刷等損害。
北京盈科(杭州)律師事務所方超強律師對記者表示,根據《網路交易管理辦法》,電商平臺在獲取個人資訊的同時有義務保護資訊安全。但在現實中,對“平臺存在漏洞導致資訊洩露”缺乏相應判斷標準,用戶因此很難對平臺進行追責。
哪些收集用戶資訊行為“越界”了
在中央網信辦、工信部、公安部、市場監管總局指導下,App專項治理工作組近日發佈的《百款常用App申請收集使用個人資訊許可權列表》顯示,餐飲外賣、地圖導航、網上購物、短視頻、金融借貸等近20類共100個App,基本都會收集用戶26項個人資訊中的某幾項;超過九成App獲取用戶精準定位;金融借貸類、工具軟體類App獲取用戶資訊項目相對較多。其中,360手機衛士收集使用個人資訊相關許可權數最高,達到23項,用戶不同意開啟則App無法安裝或運作的許可權數達11項。
需要説明的是,App不是不能收集用戶個人資訊,但不能“越界”、過度,不能強制、超範圍索要許可權。
那麼,App目前收集的個人資訊裏,哪些屬於不宜收集的隱私資訊?中國消費者協會此前發佈的《100款App個人資訊收集與隱私政策測評報告》顯示,多達91款App列出的許可權涉嫌“越界”過度收集用戶個人資訊。其中,用戶位置資訊、通訊錄資訊、手機號碼等個人資訊是被過度收集或使用的主要內容。此外,用戶照片、財産資訊、生物識別資訊、工作資訊、交易賬號資訊、交易記錄、上網瀏覽記錄、教育資訊、車輛資訊以及短信資訊等均存在被過度使用或收集的現象。
不過,對於企業收集這些隱私資訊是否屬於“越界”行為,也有不同聲音。騰訊社會研究中心和DCCI網際網路數據中心今年1月發佈的《2018年度網路隱私及網路欺詐行為研究分析報告》顯示,安卓端“越界”獲取用戶隱私許可權的App正在逐漸減少,到2018年下半年,僅有2%的App存在“越界”行為。該報告認為,判斷App是否“越界”獲取隱私許可權的標準是App向用戶提供的功能是否必須用到相應許可權。也就是説,如果確屬App功能需要,且經用戶授權同意,那麼,App相關收集行為就不算“越界”。
中國社科院資訊化研究中心秘書長姜奇平對記者表示,App索權是否“越界”,應以用戶是否需要而非企業是否需要為界。他説:“很多收集的數據並不是App自己需要的;有些甚至打著倒賣的壞主意,這對消費者個人隱私、資訊安全來説是很大隱患和傷害。”
用戶黏性不是企業違規的“底氣”
為切實解決App過度索權造成的用戶資訊安全問題,5月28日,國家網際網路信息辦公室發佈《數據安全管理辦法(徵求意見稿)》,對公眾關注的諸多問題進行了直接回應。
比如,對於規範個人敏感資訊收集方式,《辦法》規定,網路運營者以經營為目的收集重要數據或個人敏感資訊的,應向所在地網信部門備案;為約束定向精準推送廣告,《辦法》規定,網路運營者應當以明顯方式標明“定推”字樣;針對App強迫授權或默認勾選等,《辦法》規定,網路運營者不得以默認授權、功能捆綁等形式強迫、誤導個人資訊主體同意其收集個人資訊;針對用戶登出賬號和刪除個人資訊難、小程式洩露用戶資訊後平臺責任問題等,《辦法》也進行了明確規定。違規者根據情節輕重將面臨關閉網站、吊銷相關業務許可證或吊銷營業執照等處罰;構成犯罪的,依法追究刑事責任。
由App專項治理工作組起草的《App違法違規收集使用個人資訊行為認定方法(徵求意見稿)》也在5月26日結束意見反饋。這份《認定方法》對App運營商7種違規收集使用個人資訊情形進行了規定,被認為是判定App是否“越界”的重要標準。
“把資訊採集主導權、選擇權交給消費者,是資訊服務的原則性問題。為了收集資訊採取脅迫或者誤導行為,都是堅決不能被允許的。”姜奇平認為,App治理此前長期收效不大,根本上説是因為一些經營者處理不好社會責任和商業利益的關係。“這不是簡單的技術問題,甚至不完全是産業問題,是企業態度問題,現在提升到一定高度來解決很有必要。”
隨著相關規定落地,更嚴格的監管措施勢必會對眾多App運營商産生影響。相對來説,很多大型網際網路企業因為在用戶隱私保護方面投入較早、公眾監督更多,受到衝擊較小。一些中小型App運營商則在個人資訊保護方面問題較為突出。這意味著,相關以演算法推薦為主要機制的App,對接入的第三方應用監管不力不到位的平臺,存在強制授權、過度索權、超範圍收集個人資訊的App運營商將面臨整改命運,嚴重違規的將被清理出市場。
北京億達(上海)律師事務所律師董毅智對記者表示,多年來,用戶基於對App服務的信任而建立起的黏性,如今卻成為某些App進行差別定價、數據反覆買賣的“底氣”,這亟須警惕。同時,這些發佈的規定也對同行業、跨行業之間企業聯手利用用戶個人資訊劃出了“紅線”。
對此,相關政府部門將建立App個人資訊安全認證制度,由具備資質的認證機構依據國家標準對App收集、存儲、處理、使用個人資訊等行為進行評價,對符合要求的産品頒發證書和標識;同時鼓勵搜索引擎和應用商店優先推薦認證App。
相關監管是否會束縛技術創新呢?姜奇平認為,這個問題需要具體分析。他説,對App的治理涉及市場治理、社會治理、政府監管等多個層次,是一個綜合問題。在市場配置資源失靈、行業自律不佳等情形下,完善相關法律法規、開展專項整治就極為必要。
“當然,如何平衡好保護與開發利用的關係,這是衡量網際網路相關立法和監管品質的重要標準。比較好的做法是既不影響企業技術創新,又能夠制止相關歪門邪道行為。這需要各方匯集足夠智慧、形成治理合力。”姜奇平説。
(責任編輯:李偉)