因为用了一款输入法App,自己的密码与信用卡信息就可能被偷窥,而您却毫不知情。这样的隐患绝非夸大其词。工信部和App专项治理工作组最近点名批评了48款涉嫌隐私政策违规的App,去年底中消协更曝出百款App中多达91款疑似“越界”,但App收集隐私的违规问题始终难有根治良方。
近日,国家互联网信息办公室公布《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》(以下简称《草案》),面向社会公开征求意见,这意味着App收集个人信息有了“国标”。记者昨天采访参与草案制定的专家获悉,国标的制定希望能让个人隐私信息不再“裸奔”,但要认定App的信息收集确属越界行为,具体操作层面有较大困难,需要广泛听取各方意见,预计国标正式发布要等到明年。
输入法竟收集密码信息
感觉手机自带的输入法不太好用,市民小孙下载并打开了一款输入法,程序让他先勾选这款输入法。随后让小孙吃惊的一幕出现了,一旦勾选成功,程序首先提示,“可能会收集您输入的所有内容,包括密码与信用卡等个人信息”。
输入法有什么权利记录用户的密码与信用卡等敏感信息?这是否会被传到云端服务器?自己的银行账户信息会不会因此被泄露?这一连串疑问让小孙连忙选择了卸载。
更多App则并不给用户选择权,强制性开通各种敏感权限。如果用户拒绝被收集信息,程序给出的结果也很干脆:无法使用!
App收集个人信息的边界到底在哪里?这次公布的国标草案显示,输入法类App所需收集的信息只有网络日志。然而记者打开上述这款输入法发现,其隐私政策中的设备调用权限则足有9项,涉及存储权限、无线数据、通讯录、位置、拨打电话等。
推荐性国标引导企业遵从
何延哲是App专项治理工作组工作人员,也是此项国标草案的起草者之一。一款游戏软件却要访问用户通话记录,收集与自身应用完全无关信息;个别新闻App索取不到地理位置等非必要权限就无法使用,这都是何延哲在工作中发现的现存问题。他表示,目前一些App确实存在过度收集个人信息的问题,而国标出台,将极大促进App收集个人信息行为的规范化,减少企业过度收集个人信息问题的发生。
过去对于App收集个人信息问题,多部门都曾出台过指导文件,但也存在要求不完全一致的问题。这次有关部门联合制定国标,正是为了提升App收集个人信息的整体规范性。
“《信息安全技术移动互联网应用(App)收集个人信息基本规范》属于推荐性国标,而不是强制性国标。”何延哲说,“目前在整个互联网行业,推荐性国标数量远远大于强制性国标。”
推荐性国标是否就意味着含金量的降低,会不会降低对企业的约束力呢?在何延哲看来,今后有关部门在执法中有望大量采用这一标准,从而倒逼绝大部分App主动对标。对于个别拒不采用国标的App来说,也会因违规收集个人信息而失去用户的信任,遭到自然淘汰。
过度收集隐私还需强化执法
伴随着智能手机的发展,App数量也在持续膨胀,那么市民常用的App在隐私问题上都足够安全吗?App收集个人信息的整体情况究竟如何呢?
2018年11月,中消协曾发布《100款App个人信息收集与隐私政策评测报告》,显示金融理财、邮箱云盘和旅游住宿App过度收集个人信息与隐私较多,支付宝、ofo、美图秀秀、悟空理财等知名品牌纷纷上榜。报告显示,100款App中,多达91款App列出的权限涉嫌“越界”,即存在过度收集用户个人信息的问题。
今年7月初,工信部通报显示,猎豹浏览器、小红书、网易考拉、融360等18款App存在未经用户同意收集个人信息的问题。不久,App专项治理工作组又点名了30款App,包括中国银行手机银行、我爱我家、当当云阅读、猎豹安全大师等。此后,中国银行等多款App也跟进做出了整改。
“目前有关个人信息保护的法律法规不够明确和系统,个人信息保护的职责也相对分散,消费者个人信息泄露后往往存在举证难、维权难等问题。”中国法学会消费者权益保护法研究会副秘书长陈音江认为,国标出台后,后续法律法规建设仍然任重道远。
陈音江介绍,用户个人信息被过度采集后,通常被建立“用户画像”供商家推送产品或服务,有的甚至被贩卖给不法分子用于诈骗钱财。
事实上,App不仅种类繁多,而且涉及功能也相互交叉渗透,诸如微信、支付宝和美团等,其功能早已是五花八门无所不包,确定其信息收集的合理范围也需要非常严谨的甄别。
“要保护App用户个人信息安全,减少App个人信息安全隐患,除了出台国标,更需要有关部门严格执行现有标准和法律法规,严厉打击个人信息安全相关的违法犯罪活动。”陈音江说。(记者 赵鹏 实习生 陈静仪 蔡静灵)