剛跟人聊完,很快就能在App中收到相關推薦內(nèi)容或廣告?日前,“App會偷聽嗎?”成為熱議話題,網(wǎng)民調(diào)侃背后充滿對個人信息安全的擔憂。
2月5日,在工信部召開的App個人信息保護監(jiān)管座談會上,工信部副部長劉烈宏對此表示,一些即時通訊工具、輸入法和地圖導航等App,使用麥克風權限,讀取文字輸入內(nèi)容后,超出用戶許可范圍(將信息)用于“其他途徑”,帶來了風險隱患。
實際上,違規(guī)收集用戶個人信息是App侵害用戶權益最常見的一種行為。澎湃新聞(www.thepaper.cn)統(tǒng)計工信部開展專項整治行動以來公開通報的11批違規(guī)App名單,發(fā)現(xiàn)657款App“榜上有名”,UC瀏覽器、360清理大師、達達快送、永輝生活、芒果TV、QQ輸入法等生活各場景中的熱門App曾在列;在16類App中,工具類App被“點名”比率達到15.68%。下架的167款App中,工具類App下架也最多,占比16.67%。
統(tǒng)計數(shù)據(jù)顯示,被通報過的657款App中所涉問題中,有超過50%的為“違規(guī)收集用戶個人信息”,而“App強制頻繁過度索取權限”、“違規(guī)使用用戶個人信息”的問題在被通報的App中各占20%左右。
此外,工信部組織的11批檢測發(fā)現(xiàn),被通報的App來自24個應用商店,以騰訊應用寶、豌豆莢、OPPO軟件商店、360手機助手、小米應用商店五大應用程序平臺為主,分別占比24.60%、11.27%、10.83%、10.25%、9.81%。
用戶個人信息一直被App服務提供者視之為“唐僧肉”,不管是在商業(yè)主體的“獲客引流”上,還是在信息泄露后被用于實施電信詐騙上,違規(guī)收集來的用戶個人信息都成為基礎資料。近年來,為違規(guī)App套上“緊箍咒”,阻止其對用戶權益的侵害,多方在立法、監(jiān)管、行業(yè)自律、技術維度、用戶自我保護意識等方面尋求“良方”。
個人信息成“唐僧肉”
“網(wǎng)民反映,剛剛聊到某個話題,很快就能在某個App中收到相關廣告,用戶對此感到很疑惑,這個話題也成為了用戶最為關切的問題,登上了熱搜榜第一名?!?/p>
2月5日,在工信部召開的App個人信息保護監(jiān)管座談會上,工信部副部長劉烈宏對此表示,一些即時通訊工具、輸入法和地圖導航等App,使用麥克風權限,讀取文字輸入內(nèi)容后,超出用戶許可范圍(將信息)用于“其他途徑”,帶來了風險隱患。
事實上,用戶個人信息一直被App服務提供者視之為“唐僧肉”。記者統(tǒng)計發(fā)現(xiàn),在被工信部通報過的657款App中,有超過50%所涉問題為“違規(guī)收集用戶個人信息”。
“這么做多是為了收集用戶的經(jīng)濟狀況、消費偏好、活動區(qū)域等信息,對用戶進行精細的人物畫像,以支持產(chǎn)品研發(fā)更新,或精準推送廣告?!睆V東省公安廳網(wǎng)警總隊案件科副科長黃建邦曾就超范圍收集用戶信息行為如此指出。
記者梳理發(fā)現(xiàn),成都市中級人民法院2018年10月判決的一起網(wǎng)絡侵權責任糾紛案中印證了部分App會將收集到的信息用于推送廣告,以此“獲客”。
法院審理查明,早稻App的開發(fā)者系上海合合信息科技發(fā)展有限公司,該公司也為掃描全能王App的開發(fā)者,何某律曾下載注冊過掃描全能王App,合合公司通過掃描全能王App收集了何某律的手機號碼。
獲取信息后,該公司向何某律以短信方式發(fā)送了內(nèi)容為“【早稻】何某律,前同事評價你‘專業(yè)靠譜’并向你推薦107個人脈,還有19個好友在等你cc.co/OypRubuV3m投訴退訂回TD”的消息。何某律以收集個人信息及向其發(fā)送商業(yè)廣告的行為侵權為由將該公司告上法庭。
另一起在2020年12月判決的隱私權糾紛二審民事判決書則直接披露部分App會“違規(guī)收集用戶個人信息”。
法院審理查明,App“天天消消樂”開發(fā)企業(yè)樂元素科技(北京)股份有限公司收集、使用信息的目的、方式和范圍并不明確,亦未向用戶提供《隱私政策》的相關內(nèi)容,在游戲登錄界面及用戶使用相關功能過程中也未采取其他方式提示存在收集用戶個人信息的情況。在未取得用戶劉某博明確授權的情況下,存在“全項開啟手機應用權限,調(diào)用用戶個人手機位置信息”的情況。
而除了商業(yè)行為,一部分來自App違規(guī)收集的用戶個人信息也最終為滋生電信詐騙提供了溫床。
北京市公安局網(wǎng)絡安全保衛(wèi)總隊日前發(fā)布的一篇文章中指出,疫情期間,存在某些違規(guī)App打著疫情監(jiān)測的名義,出現(xiàn)非授權、超范圍采集使用個人信息等問題,這帶來了用戶個人信息泄露、濫用的風險。而個人信息泄露是詐騙成功實施的關鍵因素,不法分子在精準掌握用戶個人信息的前提下,能編造出迷惑性更高的詐騙場景,得以實施欺詐。
時至今日,工信部的部長信箱仍能時不時收到用戶對App違規(guī)收集用戶個人信息的投訴。記者僅檢索2020年2月至2021年2月一年時間的留言就發(fā)現(xiàn),小米手機系統(tǒng)自帶軟件、58同城、拼多多、知乎、京東商城、迅雷、QQ、網(wǎng)易郵箱、阿里云等熱門App均出現(xiàn)在投訴名單中。
實際上,對于App違法收集使用個人信息行為,國家互聯(lián)網(wǎng)信息辦公室秘書局、工業(yè)和信息化部辦公廳、公安部辦公廳、市場監(jiān)管總局辦公廳曾聯(lián)合印發(fā)《App違法違規(guī)收集使用個人信息行為認定方法》的通知。
其中明確指出,“未公開收集使用規(guī)則,未明示收集使用個人信息的目的、方式和范圍,未經(jīng)用戶同意收集使用個人信息,違反必要原則,收集與其提供的服務無關的個人信息,未經(jīng)同意向他人提供個人信息,未按法律規(guī)定提供刪除或更正個人信息功能或未公布投訴、舉報方式等信息”等六類行為屬于違法違規(guī)收集使用個人信息。
我們生活中所常見的“利用用戶個人信息和算法定向推送信息,未提供非定向推送信息的選項;要求用戶一次性同意打開多個可收集個人信息的權限,用戶不同意則無法使用”等現(xiàn)象也被認為是違法違規(guī)收集。
記者注意到,工信部曾公布一則數(shù)據(jù),對于違規(guī)收集個人信息現(xiàn)象的嚴重性可窺一二。
在3480條關于App違法違規(guī)收集使用個人信息的舉報信息中,26%的App沒有隱私條款或未在隱私條款中明確收集個人信息的目的、方式、范圍;31%的App在申請打開收集個人信息相關權限時,未明確告知用戶;20%的App收集與業(yè)務功能無關的個人信息,如金融借貸App收集用戶通信錄;19%的App未經(jīng)用戶同意,向他人提供設備ID、應用程序列表等個人信息;13%的App強制索要與業(yè)務功能無關的權限,如計算器、手電筒App強制要求打開地理位置權限。
“有的App在商業(yè)利益的驅(qū)動下,未經(jīng)用戶同意便違規(guī)獲取用戶的語音、文字、圖片等輸入信息,實施大數(shù)據(jù)匯聚分析,實現(xiàn)用戶畫像,并進行廣告的精準推送,這些令用戶產(chǎn)生不安甚至焦慮。”工信部副部長劉烈宏在2月5日的監(jiān)管座談會上稱。
用戶的不安攪動起輿論場的熱議,相關部門亮出“監(jiān)管之刃”。
“App是否在偷聽用戶”的網(wǎng)絡熱議之下,2月5日,工信部在“2021年第2批,總第11批”通報中,首次就“近期社會關注的麥克風、通訊錄、相冊權限問題”公開通報26款未完成整改的App,QQ輸入法、墨跡天氣、微商輸入法、聲吧等App因違規(guī)或超范圍收集個人信息被點名。
這也被視為監(jiān)管層向外釋放出對違規(guī)收集用戶個人信息“監(jiān)管趨嚴、回應關切”的一個明確信號。
違規(guī)App中“違規(guī)收集用戶個人信息”的超50%
針對以違規(guī)收集用戶個人信息為代表的App侵害用戶行為,工信部在2019年11月首次決定組織開展App侵害用戶權益專項整治行動工作。這一行動也在次年7月向“縱深推進”。
2020年7月,《工業(yè)和信息化部關于開展縱深推進App侵害用戶權益專項整治行動的通知》進一步明晰了整治的對象為“App服務提供者、軟件工具開發(fā)包(SDK)提供者、應用分發(fā)平臺”。
“企業(yè)自查自糾、監(jiān)督檢查、結果處置”是工信部開展App侵害用戶權益專項整治行動的中三個階段,也是為違規(guī)App套上“緊箍咒”的步驟。
自查自糾主體為App服務提供者和分發(fā)服務提供者,屬于主動行為;監(jiān)督檢查則由工信部組織第三方檢測機構對App進行技術檢測和檢查,重點抽測與群眾生活密切相關、下載使用量較大的App產(chǎn)品和分發(fā)平臺。
而在結果處置階段,工信部會對存在問題的App統(tǒng)一進行通報,依法依規(guī)予以處理,具體措施包括責令整改、向社會公告、組織App下架、停止App接入服務,以及將受到行政處罰的違規(guī)主體納入電信業(yè)務經(jīng)營不良名單或失信名單。
澎湃新聞不完全統(tǒng)計,自2019年11月工信部開展整治行動以來,至今已通報11批657款侵害用戶權益的App被“點名”。
通報的頻率基本是月均一次,通報的數(shù)量變化呈現(xiàn)出“M”型。兩次波峰分別出現(xiàn)在2020年10月27日與2021年1月22日,單次通報數(shù)量的最高峰為“2021年第1批,總第10批”,157款App“榜上有名”。
657款遭通報App涉及教育類、生活服務類、游戲類、社交類、醫(yī)藥健康類等16個類別,其中工具類最多,占比達到15.68%;教育類、生活服務類、視頻直播類、游戲類、交通出行類、電商購物類、社交類緊隨其后,占比在7%-9%之間;母嬰親子類、招聘類較少,占比不足2%。
多數(shù)App在通報后能及時整改,再次被通報的情況較少,但360清理大師、叮嗒出行、千千音樂等26款App被兩次點名。
從通報的App所涉問題看,2019年11月的“工信部信管函〔2019〕337號”整治工作通知將違規(guī)App涉及的問題分成“違規(guī)收集用戶個人信息、違規(guī)使用用戶個人信息、不合理索取用戶權限、賬號注銷難”四大類及八小類,前五批通報也遵循了這一說法。
2020年7月,“工信部信管函〔2020〕164號164號”整治行動通知則將問題分為“App、SDK違規(guī)處理用戶個人信息,設置障礙、頻繁騷擾用戶,欺騙誤導用戶,應用分發(fā)平臺責任落實不到位”四大類及十小類,后五批通報也沿用了調(diào)整后的問題表述。
綜合上述兩次分類并考慮到統(tǒng)計方便,記者把違規(guī)App所涉問題分為“違規(guī)收集用戶個人信息、違規(guī)使用用戶個人信息、App強制頻繁過度索取權限、欺騙誤導用戶、應用分發(fā)平臺責任落實不到位、為用戶賬號注銷設置障礙”六類。
經(jīng)不完全統(tǒng)計,多數(shù)App存在的問題數(shù)量控制在3類以內(nèi),但是王者榮耀助手、閃送、賓果消消消等15款App存在5類及以上的違規(guī)問題。有超過50%的違規(guī)App所涉問題為“違規(guī)收集用戶個人信息”,而“App強制頻繁過度索取權限”、“違規(guī)使用用戶個人信息”的問題在被通報的App中各占20%左右,其余問題占比較小。
每一批通報發(fā)出后,工信部會組織第三方檢測機構核查復檢,對未按要求完成整改或者逾期不整改的App再行通報,并下架處理。
記者不完全統(tǒng)計發(fā)現(xiàn),工信部官網(wǎng)公布的多批次下架名單共涉及169款App,草莓視頻是唯一一個被兩次通報下架的App。下架App中工具類仍然最多,占比16.67%;生活服務、電商購物類、游戲類、視頻直播類、社交類App緊隨其后,占比在8%-11%之間;整改通報中較多出現(xiàn)的教育類App則較少被下架。
此外,工信部組織的十一批檢測發(fā)現(xiàn),被通報的App來自24個應用商店,以騰訊應用寶、豌豆莢、OPPO軟件商店、360手機助手、小米應用商店五大應用程序平臺為主,分別占比24.60%、11.27%、10.83%、10.25%、9.81%。
就此,工信部已督促相關平臺企業(yè)嚴格落實《移動智能終端應用軟件預置和分發(fā)管理暫行規(guī)定》要求,落實企業(yè)主體責任。
“一共實現(xiàn)對62萬款App的技術檢測工作,責令2234款違規(guī)App進行整改?!痹?021年1月26日國新辦舉行的2020年工業(yè)和信息化發(fā)展情況發(fā)布會上,工信部信息通信管理局局長趙志國公布了連續(xù)兩年開展的專項行動數(shù)據(jù)。
不過,據(jù)公開資料,我國國內(nèi)市場檢測到的App數(shù)量超過500萬款,這一數(shù)字也在不斷增長。就此,由中國信息通信研究院研發(fā)的全國App技術檢測平臺已經(jīng)啟動,試圖通過集成領先企業(yè)的技術檢測能力,力爭到2021年實現(xiàn)全年檢測180萬款App的目標。
違法成本低?App治理需打組合拳
如何對違規(guī)App套上“緊箍咒”,阻止對用戶權益的侵害。近年來,多方在立法、監(jiān)管、行業(yè)自律、技術維度、用戶自我保護意識等方面試圖尋求“良方”。
記者注意到,除了舉起“監(jiān)管之刃”,近年來《網(wǎng)絡安全法》、《個人信息保護法》、《數(shù)據(jù)安全管理辦法》、《個人信息出境安全評估辦法》、《規(guī)范互聯(lián)網(wǎng)信息服務市場秩序若干規(guī)定》、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定 》、《移動智能終端應用軟件預置和分發(fā)管理暫行規(guī)定》等系列法律法規(guī)的出臺完善也試圖扎緊對個人信息保護的“制度籬笆”,以規(guī)范秩序。
最新消息也顯示,針對App強制授權、過度索權、超范圍收集個人信息等現(xiàn)象大量存在,違法違規(guī)使用個人信息問題突出,《移動互聯(lián)網(wǎng)應用程序個人信息保護管理暫行規(guī)定》即將出臺。
《暫行規(guī)定》共計22條。以App開發(fā)運營者、App分發(fā)平臺、App第三方服務提供者、移動終端電信設備生產(chǎn)者和網(wǎng)絡技術服務提供者作為重點監(jiān)管服務的對象,規(guī)定了五類主體應當遵循的個人信息保護總體要求和應承擔的義務。相關主體如果違反規(guī)定,將依次按照通知整改,公開通報,下架處置,斷開接入流程進行處置。
此外,針對一些企業(yè)在整改過程中存在推諉、阻撓、故意拖延的現(xiàn)象,監(jiān)管層召集掌握大量互聯(lián)網(wǎng)用戶信息的主要商事主體負責人,督促就此公開表態(tài)。
2020年11月27日,在全國App個人信息保護監(jiān)管會上,蘇寧控股、螞蟻集團、愛奇藝、360、小米集團、新浪微博、快手、嗶哩嗶哩、滴滴、阿里巴巴集團、百度集團等11家互聯(lián)網(wǎng)公司主要負責人就加強用戶權益與個人信息保護、規(guī)范信息搜集使用模式、建立健全投訴反饋機制、落實企業(yè)主體責任和法定義務等內(nèi)容做出了公開承諾。
“要把App侵犯用戶權益整治工作作為各家企業(yè)的核心工作來抓,要一把手負總責?!?月5日的監(jiān)管座談會上,劉烈宏稱,對有令不行、整改不徹底、反復出現(xiàn)問題、搞技術對抗的企業(yè)和App采取停止接入、行政處罰及信用管理等措施嚴厲處置。
但現(xiàn)實案例反映,僅僅靠監(jiān)管、立法、企業(yè)自覺踐行主體責任等并非能一勞永逸。
在2月5日的監(jiān)管座談會上,劉烈宏也坦言,需打好綜合治理組合拳,需要全社會群策群力?!岸喾焦仓巍f(xié)同發(fā)力。”記者采訪中,多位長期關注保護用戶個人信息安全領域的專家也給出了共同意見。
“現(xiàn)在的情況是我們立了法,但法律太松了?!毙畔踩珜<液握箯娫诮邮芘炫刃侣劜稍L時認為,整改違規(guī)App,盡量降低個人信息泄露的可能性,出臺法律條例只是第一步,提高相關法規(guī)的懲罰力度才是關鍵。
他認為,每個月發(fā)一次公告的震懾力確實有限,很多App開發(fā)者換個版本就能繼續(xù)上線,最重也不過是幾十萬元罰款,違規(guī)所付出的成本遠遠低于它帶來的收益,而諸多擁有國有背景的App運營商同樣存在違規(guī)問題也是“立法不嚴”的原因之一。
“一些App開發(fā)者的行為已經(jīng)違反法律了,單靠工信部通報是沒有用的,需要實質(zhì)性處罰,比如罰款、市場禁入、甚至判刑?!豹毩⑼ㄐ艑<腋读翆ε炫刃侣勌寡?。
通信世界全媒體總編輯劉啟誠認為,除處罰力度小之外,用戶不重視自己的數(shù)據(jù)泄露問題也為App一再違規(guī)提供了縫隙,李彥宏曾備受爭議的“隱私換便利”觀點在中國隨處可見。使用者需有自我保護意識和維權意識,減少非必要App使用的同時,聯(lián)合起來跟過度索取信息的不良廠商說“不”。
賽迪智庫網(wǎng)絡安全研究所所長劉權在接受媒體采訪時建議,應進一步細化個人信息采集邊界,通過配套標準規(guī)范“明確”不同類型、不同應用場景下的App獲取用戶權限的范圍,引導開發(fā)商只獲取與業(yè)務功能相關的權限,壓縮運營者的自由裁量空間。還可以通過建立獎懲機制,讓應用商店積極參與到審核工作中來。
從技術維度層面看,可以從移動端系統(tǒng)考慮,比如在App安裝前禁止自動打開權限,安裝后通過應用日志監(jiān)管權限打開情況。若App存在“偷聽”、“偷看”等違法收集個人信息行為,系統(tǒng)通過某種方式給用戶做出提示。
同樣,《中國電子報》綜合多位專家觀點后寫到,在個人隱私數(shù)據(jù)保護方面,數(shù)據(jù)輸出方、數(shù)據(jù)采集方和平臺監(jiān)管方皆需承擔相應的責任。
對于App開發(fā)和運營商而言,一方面應加強自律,仔細研究相關法律、法規(guī),嚴格遵守知情同意、最小必要等基本原則;另一方面也要提高網(wǎng)絡安全意識,防范數(shù)據(jù)竊取、違規(guī)爬取、采集傳輸泄密等安全風險。而對于應用商店平臺而言,需要進一步樹立責任意識,規(guī)范App審核上架機制,加強操作系統(tǒng)權限管理能力,積極應用新技術提升監(jiān)管效率。
對于個人用戶而言,要在使用App過程中加強自我保護意識,謹慎對待收集、使用個人信息行為,善于拒絕不必要的權限申請。
“App使用者應提升個人信息保護的意識,應該成為一種上網(wǎng)自覺。”西安交通大學人工智能方向一位在讀研究生向記者吐露,排除偷偷讀取用戶信息,他現(xiàn)在打開App,看到要讀取通訊錄、位置、相機、照片、麥克風等信息,都會先思考下看是否是正常使用App的必要條件,有些完全是過度索權,不同意也不影響正常使用?!斑@樣做,是給個人信息自我‘加鎖’?!?/p>
(本文原始數(shù)據(jù)來源:工信部官網(wǎng)統(tǒng)計制圖:段景文趙思維)