App必要資訊規範來了!這些個人資訊不可“任性”收集

   你是否遇到過這樣的場景:“手機下載一個‘手電筒’應用,卻被要求訪問通訊錄”“安裝某個手機應用,不同意訪問地理位置就安裝不了”“在App裏瀏覽了某類資訊後,就會收到相關産品的廣告短信”……

02.jpg

  日前,針對當前移動網際網路應用中存在的超範圍收集、強制授權、過度索權等個人資訊收集安全問題,全國資訊安全標準化技術委員會在其官網發佈了《網路安全實踐指南——移動網際網路應用基本業務功能必要資訊規範》(以下簡稱《規範》),為移動網際網路應用收集個人資訊提供實踐指引。

  《規範》指出,依據《中華人民共和國網路安全法》中的相關要求,以及個人資訊最少夠用原則,針對App的基本業務功能,明確界定了保障其正常運作所需收集的個人資訊,給出了每類業務功能相關的必要資訊範圍,其中包括地圖導航、網路約車、即時通訊社交、社區社交、網路支付、新聞資訊、網上購物、短視頻、快遞配送、餐飲外賣、交通票務、婚戀相親、求職招聘、金融借貸、房産交易、汽車交易。

  記者注意到,《規範》中明確劃定了地圖導航類應用和短視頻類應用可獲取的必要資訊僅一項,大大縮小了獲取範圍。比如,地圖導航類應用其基本業務功能必要資訊僅為位置資訊,包括精準定位資訊和行蹤軌跡;短視頻類應用只能獲取用戶關注的賬號資訊,但自媒體用戶則需要提供姓名、證件和證件號碼等用於實名認證的資訊。

  工信部賽迪研究院電子資訊研究所副所長陸峰認為,讓App根據其業務功能按照最小夠用的原則採集個人資訊,可以有效限制App對個人資訊的過度獲取,從源頭上控制因超範圍採集個人資訊導致的濫用、洩露和非法交易等行為。

  針對目前較多App讀取用戶通訊錄的要求,《規範》也給出了明確的範圍限制。比如金融借貸類應用,《規範》要求,應允許用戶手動輸入兩位緊急聯繫人資訊,而不應強制讀取用戶的通訊錄;即時通訊社交應用,應該允許用戶手動添加好友,而不應強制讀取用戶的手機通訊錄。

  有網友表示,“保護好通訊錄資訊不僅是對自己負責,也是對手機通訊錄好友負責。”

  《規範》中還指出,瀏覽、搜索、點擊等操作記錄通常是非必要資訊,收集時應告知用戶並徵得其同意;保存和使用個人上網記錄時,對個人資訊進行去標識化處理;使用個人上網記錄用於分析用戶畫像進行個性化展示和推薦時,告知用戶使用目的,並提供用戶退出定向推送模式選項。

  以新聞資訊類應用為例,其基本業務功能必要資訊僅為關注的賬號和自媒體用戶資訊。隨著新聞資訊應用的發展,也存在以個性化推薦資訊內容為核心業務模式的聚合類新聞應用,其需收集用戶的瀏覽操作記錄,以便向用戶推送可能感興趣的內容。根據《規範》,該業務功能應告知用戶並徵得其同意,如果用戶拒絕,App應提供讓其退出定向推送模式的渠道。

  中國人民大學法學院未來法治研究院副院長丁曉東認為,一些App為了不斷改善品質、提升用戶體驗,圍繞其核心業務收集個人資訊可以理解,但應該有邊界。《規範》的發佈,劃定了邊界範圍,為App的開發者和提供者規範個人資訊收集行為提供了標準和參考。

  此外,《規範》中還指出,此套標準適用於主管監管部門、第三方評估機構等對於個人資訊收集行為進行監督、管理和評估。

  談及移動網際網路環境下的個人資訊保護,陸峰建議應加快個人資訊保護法或保護條例出臺,明確個人資訊採集、傳輸、存儲、流通、交易、開發、利用等全流程環節權利和責任等法律要求。

  丁曉東表示,除明確個人資訊的收集邊界以外,還應該加強對資訊倒賣和過度挖掘等行為的執法,提高違法成本,形成法律震懾效應。

  用戶也有必要逐步提高自身安全意識。專家建議,首先應該選擇正規的下載渠道,其次認真閱讀App在安裝時的要求訪問許可權,及時關閉不必要的授權。

未經允許不得轉載:網信浙江 » App必要資訊規範來了!這些個人資訊不可“任性”收集

微信二維碼,掃一掃關注