App收集个人信息将有“国标”个人信息有望不再“裸奔”
不能再强制索要用户信息,App收集个人信息国家标准征求意见
个人信息有望不再“裸奔”
你用新闻软件浏览新鲜事,一个广告弹窗进视野,推荐的产品正是你在购物App搜过的;刚用二手房软件比对了意向楼盘销售价格,售楼顾问就开启了电话轰炸模式,甚至知道你姓甚名谁……
随着智能手机的普及,一些手机App过度收集用户信息、侵犯用户隐私的问题屡见不鲜。8月8日,国家互联网信息办公室公布《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》(以下简称《草案》),面向社会公开征求意见,这意味着App收集个人信息有了“国标”。
数据 31%网友反映App过度收集用户信息
8月13日,市民唐小姐告诉记者,长沙陆续出台几个房屋限购政策,山东户口的她并非刚需购房人群,经历几次“抢房”失败后考虑起了二手房。“在二手房软件上收藏了几个中意的房源之后,中介电话就开始没完没了。一天能接十几个推销电话,甚至房子还没买,装修公司也开始骚扰。”
今年4月,市民朱小姐在淘宝网上购买了一件“思莱德”品牌T恤,最近却接到品牌加盟电话,“他们用5个不同的手机号连打了5个电话,严重影响了我的休息,肯定是我的购物信息被泄露了。”
值得注意的是,App违规泄露个人信息的投诉远不止于此。记者在App专项治理工作组官网看到,网站首页披露了2019年1月至6月11日5500余条网民举报信内容,超31%的网友反映App实际收集的个人信息与业务功能无关,如金融借贷类App收集用户通讯录等;9.6%网友反映App将基本业务功能与其他业务功能“捆绑”,要求用户一次性授权同意收集个人信息,不同意则拒绝提供任何业务功能。
规定 App不应收集“最少信息”外的无关信息
此次《草案》中提出了针对App的“最少信息”和“最小权限范围”的概念,最少信息是保障某一服务类型正常运行所必需的个人信息,包括与服务类型直接相关,一旦缺少将导致该类型服务无法实现或无法正常运行的个人信息,以及法律法规等规范性文件要求必须收集的个人信息。最小权限范围则是保障某一服务类型正常运行所必需的最少系统权限。
此外,《草案》对地图导航、网络约车、即时通讯、博客论坛等21种常用App类型可收集的“最少信息”进行了界定,如:网络约车有获取用户行驶轨迹、精准定位信息权限;房屋租售软件有获取业主房产信息权限。
这21类App包括地图导航、网络约车、即时通讯、博客论坛、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务、婚恋相亲、求职招聘、金融借贷、房屋租售、二手车交易、运动健身、问诊挂号、浏览器、输入法、安全管理。
具体而言,网络支付App权限最多,可收集银行卡卡号、银行卡有效期限等敏感信息,即时通讯类App只能收集用户的账号信息、口令等,且不应强制读取用户通讯录;地图导航APP权限范围为用户的网络日志和精准定位信息。
《草案》提到,若APP想获得超出“最少信息”部分的个人信息,应逐项征得用户明示同意,当用户拒绝提供最少信息之外的个人信息时,App不得以任何理由拒绝该类型服务。也就是说App不能再强制索要用户信息,哪怕用户拒绝提供额外个人信息,仍然可以使用App。此外,《草案》还要求,对外共享、转让个人信息前,App应事先征得用户明示同意。
该项国标草案正向社会各界广泛征求意见,消费者可于8月31日24:00前将建议反馈至联系邮箱:wangjiao@cesi.cn。
实测
部分App仍过度收集用户信息
2019年1月25日,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,提出运营方不得默认、捆绑、停止安装使用等手段变相强迫用户授权,不收集与所提供服务无关的个人信息等要求。
个人信息整治早已拉开,App们是否开始自行整改?8月13日,记者下载20个使用频率较高的软件,比对其读取的用户信息。
记者在百度地图“隐私政策”选项中看到,软件将根据用户使用情况,读取车辆信息、通讯录、订购第三方产品或服务信息等10项权限,其中,用户不同意开启,则App无法安装或运行的权限数达2项。
随后,记者下载了属于交通票务类别的“铁路12306”,在搜集旅客行程信息、身份证件信息、交易信息外,软件还将在顾客同意的前提下,根据顾客浏览及搜索记录,进行间接人群画像。在阅读完《12306隐私权政策》后,记者点击软件左下角“不同意”选项,App随即闪退。
生活方式分享平台“小红书”在用户隐私信息中提到,软件除了收集用户登录IP地址、位置、订单交易记录等基本信息外,还会记录用户查询的关键词、浏览记录、设备所在地等,以便业务合作伙伴使用间接用户画像,帮助其进行广告或决策建议。
专家
数字时代,信息成为重要资源
“数字时代,信息成为重要资源。”中国信息安全研究院副院长左晓栋表示,尽管网络安全法及个人信息安全规范等法律条款明确个人信息保护要求,但大部分互联网企业在信息收集方面,与要求相差甚远,“为了实现商业化变现,企业主有充分的动力诱导用户提供个人信息,用模棱两可或晦涩难懂的条款来取得用户授权。”
湖南师范大学人工智能道德决策研究所所长李伦教授在接受媒体采访时指出,信息技术可以便利地获取用户原始数据,数据技术的进步又可以从碎片化的数据中还原用户信息,给个人信息的保护带来一定困难。
记者手记
App“投其所好”该有个度
在“互联网比你更了解你”时代,广告营销成了大数据算法,骚扰电话披上了精准营销外衣,消费者必须无条件服从个人信息让渡条件,才可正常使用软件。
对部分互联网企业而言,全方位搜集用户个人信息、生成用户画像,既能深入了解用户消费偏好、购物特征,将自有及合作对象产品进行精准推送,又能通过用户“朋友圈”拓展新用户信息获取方式,降低拉新及商业化变现成本。
软件运营商需要明确的是,投其所好不应永无止境,受人赞赏的“大数据”是指在得到用户许可的前提下,读取其习惯偏好及隐私信息,为用户提供更好的服务。据此,运营商要担起社会责任,主动完善隐私条款中信息收集范围、方式方法,并接受社会监督。
连线
大量移动App存在异常行为
国家互联网应急中心8月13日发布《2019年上半年中国互联网网络安全态势》。这份报告指出,中国移动App违法违规使用个人信息问题十分突出,大量App存在探测其他App或读写用户设备文件等异常行为,对用户的个人信息安全造成潜在安全威胁。
国家互联网应急中心监测分析发现,在目前下载量较大的千余款移动App中,每款应用平均申请25项权限,其中申请与业务无关的拨打电话权限的App数量占比超过30%;每款应用平均收集20项个人信息和设备信息,包括社交、出行、招聘、办公、影音等。
2019年上半年以来,中国以移动互联网为载体的虚假贷款App或网站达1.5万个,在此类虚假贷款App或网站上提交姓名、身份证照片、个人资产证明、银行账户、地址等个人隐私信息的用户数量超过90万。大量受害用户在诈骗平台支付了上万元的所谓“担保费”“手续费”等费用,经济利益受到实质损害。