在手機上安裝一款APP,大多數人會經歷類似的過程——在一份寫滿各種讀取許可權的用戶協議上點擊同意,才能完成安裝。
在這些許可權中,有獲取位置的、讀取短信資訊的、讀取通訊錄名單的、瀏覽手機存儲的。各種APP應用在讀取用戶個人資訊時,幾乎是海量的,而用戶往往在涉及種種個人隱私許可權的協議面前,一覽而過甚至放棄閱讀,輕易地將個人資訊授予APP。
那麼,APP索要用戶資訊的邊界在哪兒?個體的隱私又該如何保護?《工人日報》記者對此進行了調查採訪。
手機APP頻頻越界
網際網路第三方研究機構DCCI網際網路數據中心發佈的《2016年中國Android手機隱私安全報告》顯示,2016年Android非遊戲類APP中有91.7%需要讀取位置資訊,其中13%屬於越界;需要訪問聯繫人的佔49%,其中9.1%屬於越界。此外,越界讀取短信、通話記錄、手機號碼等行為也非常嚴重。
記者了解到,越界獲取許可權除了造成手機卡頓之外,更嚴重的後果在於一旦隱私被竊,手機中的重要資料和照片就會被肆意查看,如果隨意訪問聯繫人、短信、記事本等應用,還會造成銀行卡賬號密碼等資訊洩露,造成經濟損失。
2013年,工信部聯合其他部門推出的《資訊安全技術公共及商用服務資訊個人資訊保護指南》確定了一些APP應當遵循的基本原則,包括目的明確、最少夠用、公開告知、個人同意等。其中,最少夠用原則是指只處理與處理目的有關的最少資訊,達到處理目的後,在最短時間內刪除個人資訊。目的明確的原則強調處理個人資訊具有特定、明確、合理的目的,不擴大適用範圍,不在個人資訊主體不知情的情況下改變處理個人資訊的目的。
顯而易見的是,目前很多APP都違反了上述原則。記者在一款安卓手機的應用商店中搜索了多個手電筒APP,幾乎所有的APP都請求撥打電話、讀取通訊錄和位置資訊等許可權。
科技公司“極棒實驗室”發佈的《APP個人隱私研究報告》顯示,該公司研究人員深入分析安卓手機代碼後發現,很多許可權的申請,都超出了APP的功能範圍。
其中,該公司通過對一款提供駕考、汽車資訊的APP代碼深入分析後發現,該APP申請並調用了讀取通話記錄許可權,並直接將該資訊上傳至廠商伺服器。該項研究還針對一款在Google Paly上下載量超1000萬的傳輸類APP進行分析,發現該APP在新註冊用戶首次登錄時會將用戶手機中的通訊錄資訊直接上傳至伺服器,且未對通訊錄資訊進行加密傳輸,極大增加了被監聽截獲的風險。
數據背後的利益
2016年8月施行的《移動網際網路應用程式資訊服務管理規定》指出,網際網路應用程式提供者應依法保護用戶在安裝或使用過程中的知情權和選擇權,未向用戶明示並經用戶同意,不得開啟收集地理位置、讀取通訊錄、使用攝像頭、啟用錄音等功能,不得開啟與服務無關的功能,不得捆綁安裝無關應用程式。
然而,記者用安卓手機進行了實驗,發現一些APP不僅獲取了和自身功能關係不大的許可權,一旦禁止這些許可權,還會讓APP的使用體驗變差。而拒絕APP的某些許可權申請調用,在使用APP過程中就會彈出調用許可權的申請,久而久之,大多數用戶就會嫌麻煩,放鬆警惕,最後同意許可權調用。
從事APP開發的技術人員徐曉告訴記者,對一款APP來説,大部分許可權實際上是不必要調用的。“比如地圖、外賣、出行類的APP,調用位置許可權是可以理解的,因為這是基於APP本身的功能考慮,但訪問聯繫人、讀取短信等許可權則不是基於用戶角度考慮,更多是為了收集用戶資訊的”。
在徐曉看來,盡可能廣泛地調取用戶許可權,是為了盡可能廣泛地收集數據,最後形成大數據,這些無論對精準推送、廣告投放、還是軟體改進來説,都至關重要。比如,獲取用戶的設備資訊,能夠針對使用數量多的手機型號和系統進行研發,進而不斷提升用戶體驗,這樣才能在同行業的競爭中佔得先機。而收集用戶的其他資訊,也是為了獲取數據,“網際網路發展瞬息萬變,誰也説不準這些目前看似沒用的資訊,在將來會不會發揮作用”。
個人資訊保護亟待加強
手機APP掌握的數據越多,越可能增加用戶資訊被洩露的風險。一旦網路駭客破解數據庫、網際網路公司內部員工使用非法手段倒賣用戶數據,或者其他惡意盜取用戶數據的行為發生,APP所獲取的各項資訊將會成為不法分子的黑市交易商品。
《資訊安全技術公共及商用服務資訊個人資訊保護指南》和《移動網際網路應用程式資訊服務管理規定》等對APP的種種行為分別進行了規範,但記者查閱發現,在上述兩個文件中,並未規定APP一旦越界後具體的懲治措施,在實踐中,也未有APP越界調用許可權後被追責或收到處罰的判例。
與此同時,我國目前對個人資訊的保護還僅限于刑法,在民法和行政法上還存在不少真空地帶。而無論是刑法還是相關司法解釋,對如何界定公民個人資訊的定義和範圍,都沒有明確,這給認定犯罪、非罪或侵權造成了障礙。
日前,全國人大常委會民法總則草案二審稿增設“個人資訊保護”條款,規定“自然人的個人資訊受法律保護。任何組織和個人不得非法收集、利用、加工、傳輸個人資訊,不得非法提供、公開或者出售個人資訊”。全國人大常委會委員楊震認為,這將為未來制定單行法或通過其他方式進一步細化保護措施提供依據。
在今年兩會上,全國人大代表、天能集團董事長張天任提交了“關於制定《個人資訊保護法》”的議案。張天任建議,任何機關和個人在收集他人個人資訊都應當遵循合法性、風險限定原則。並且,收集主體應對個人資訊收集後的洩露承擔責任;收集主體因對個人資訊保管不善而造成權利人利益受損的,其應當承擔與其過錯相應的責任;如工作人員私自洩露了個人資訊,除該個人應當承擔責任外,資訊採集主體業應視具體情節也依法承擔責任。
而對用戶而言,面對APP系統性的過度索取許可權,也可以通過設定設置,禁止APP調取不必要的許可權,“現在無論安卓或者IOS的安全管理都在提升,即使禁止後很多APP仍能正常使用”。
(責任編輯:陳秋)