過度索權的App和被濫用的用戶個人信息
本報記者/李甜/馬秀嵐/北京報道
2021年2月1日,春節將至,李元忽然收到某應用商城的通知,他開發的App被工信部發現問題,他需要去一個網站領取通知,按要求整改。當時,李元已回老家準備過年,手頭沒有公章,也不熟悉在線操作流程。工信部給他的私下整改機會就這樣錯過。2月5日,工信部公開通報包括李元的App在內的26款App存在違規調用麥克風、通訊錄、相冊等權限的問題,整改期限是2月10日前,心急的李元找到知情人士了解大概情況后,嘗試向檢測系統提交了新的電子版本。
3月3日,工信部下發通知,對26款中的10款拒不整改的App下架處理,李元的App正是其中之一。顯然,李元也未能把握住第二次整改機會,并受到重罰。截至3月15日,李元的App在安卓應用商城及蘋果應用商城仍未上架。同時,這10款App目前均未在安卓主流商城上架,但蘋果應用商城有6款上架。
對于被下架的原因,李元近日才搞清楚。李元告訴《中國經營報》記者,他的App是一款智能語音類應用,由個人獨自開發,上線2年,擁有幾十萬用戶,但是從未設置過用戶隱私協議,用戶在下載之后,能夠直接使用App,但在此過程中,App會調用用戶手機的一些功能,比如錄音,而用戶并不知情。至于能否再上架,他表示未知且擔心。
李元的App作為中國市場數百萬個App之一,被工信部一再點名,似乎有點“倒霉”。近年來,智能手機的普及將用戶帶入“算法”時代。我國App數量井噴。截至2019年初,移動應用程序數量達449萬款,但在增長的同時,許多App廠商在獲取用戶權限方面顯得無所顧忌。用戶在下載使用一些App時,提示需要獲取地理位置,讀取通信錄、短信及相冊,開啟麥克風或攝像頭等,已經變得很常見。同時,用戶若不授權,一些App會自動關閉,拒絕用戶使用。盡管有些App需要調取的權限在用戶看來無明顯獲取必要。
面對隱私不“隱”,監管層面已經出手。2019年11月,工信部正式開展App侵害用戶權益專項整治活動。截至2021年1月26日,工信部已檢測過62萬款App,責令2234款違規App整改,公開通報500款,未按要求整改的App被堅決下架,共132款。另外,在2020年,央視“3·15”晚會曝光手機軟件插件(SDK)竊取用戶隱私信息,并悄悄存儲。2021年3月15日,工信部選擇發聲,新通報136款App侵害用戶權益,獵豹清理大師、訊飛配音等在列。
App開發端的現狀
3月3日被工信部點名下架的10款App,包括橘兔語音、小智同學、聲吧、純純語音、uni語音、WoFit、WiiWear、語聲、暖心語音、KK鍵盤,大多具有語音功能。
“橘兔語音”App的信息保護負責人張乾告訴記者,其產品下架的原因是:用戶在使用過程中,有時會用到GPS定位權限,但用戶隱私協議卻沒有充分提醒。“可能在跟用戶做互動時提示不夠。”他說。
對于為何被再次通報,他表示,首次被通報時,臨近2021年春節,公司忙著放假,團隊工作效率低,對軟件進行修改的時間顯得緊張。另外他提到,自己在對接上級部門相關負責人上也花費了一些時間。“不知道跟誰溝通”,因此延誤了整改。
張乾認可工信部做出這種處理的合理性,但是希望在他提交App新版本后,審核流程可以加快一些,以使App盡快上架,恢復經營活動。
張乾認為,監管層面看重App廠商對實際獲取到哪些用戶信息的明確展示,“類似于步驟流程,你必須把協議放在這里,像搭積木一樣。”他說。
開發者隱私觀念薄弱亦導致違規獲取用戶權限情形發生。
李元的App是這10款被強制下架的App中的另一款語音類產品,功能接近于小米旗下的“小愛同學”。
李元對記者說,根據產品功能設計,需要獲取錄音、相機閃光燈等權限,以及了解手機型號等信息。他承認:“可能在這方面設計上存在一些問題,比如說,我首先直接去一次性獲取,拿到這些權限也沒有告知用戶用來干什么。”他向記者坦承,可能存在一些設計上的不完善。
李元表示,他平時在某物聯網公司工作,業余時間獨自開發與運營這款App。在他原先的觀念中,自己獲取的用戶權限,屬于App本身功能運行所需要的,那么就不算“越界”收集。另外,軟件用戶規模小,又是初創企業,讓他覺得離監管部門距離很遠。“我覺得我的產品好像跟隱私掛不上鉤。”他表示,最近才知道微信頭像、手機型號信息等都屬于用戶個人信息,他違反了相關規定。
為了符合整改要求,李元近日翻看了淘寶、酷狗音樂、小愛同學等許多大公司旗下App的用戶隱私協議,以便參照制作。接受記者采訪時,他的App首版用戶隱私協議剛撰寫完成,并將App的APK文件提供給官方評估機構,以供測試。“一個是擔心不能上架,另一個擔心就是這個流程要走多長時間。”他表示。
主管部門的監管要求
記者查閱全國信息安全標準化技術委員會的官方文件獲悉,“個人信息”的界定范圍劃分得較為細致,大致可包含13類,其中,通訊記錄和內容、短信、彩信、電子郵件,以及描述個人通信的數據等,被劃分在“個人通信信息”類別;通訊錄、好友列表、群組列表、電子郵件地址列表等被劃分在“聯系人信息”類別。
在諸多個人信息中,可能會給個人帶來重大風險的信息屬于個人敏感信息,通訊記錄和內容、通訊錄、好友列表、群組列表、行蹤軌跡、網頁瀏覽記錄、精準定位信息等都屬于“敏感信息”。而這些信息,如今屬于被多類App收集的范圍。
2019年11月起工信部開展的專項整治工作,重點針對違規收集個人信息、不合理索取用戶權限、為用戶注銷賬號設置障礙等4個方面的8類問題開展規范整治工作。
8類問題具體指:私自收集個人信息、超范圍收集個人信息、私自共享給第三方用戶信息、強制用戶使用定向推送功能、不給權限不讓用、頻繁申請權限、過度索取權限、為用戶賬號注銷設置障礙等8類情況。
記者獲悉,工信部信息通信管理局負責對App存在的侵害用戶隱私的行為不定期進行通報,具體由第三方檢測機構來檢查。
在2019年12月19日工信部發布的侵害用戶權益App第一批名單中,共計41款,QQ、小米金融、搜狐新聞等多款知名App赫然在列。工信部同時通報了App所屬企業、版本來源的應用市場、每款App所涉及的問題。例如,工信部提出QQ存在“強制用戶使用定向推送功能、不給權限不讓用、賬號注銷難”這3個問題問題。
截至目前,工信部共公開通報12批名單,約800款。有媒體據前11批數據統計,超過50%所涉問題為“違規收集用戶個人信息”“App強制頻繁過度索取權限”“違規使用用戶個人信息”各占20%左右。
2021年2月5日,工信部副部長劉烈宏談及當前用戶反映強烈的熱點問題,包括“麥克風權限濫用”“未經用戶同意擅自讀寫相冊”“過度索取通訊錄”“隱藏個推關閉選項”等。劉烈宏表示,將高效推進全國App技術檢測平臺建設,形成全年檢測180萬款的覆蓋能力。
“最小必要原則”落地難
記者獲悉,圍繞各類App收集用戶個人信息,監管層面提倡的是“最少夠用原則”或稱“最小必要原則”。2019年堪稱監管治理的分水嶺,國家相關部門對App收集個人信息,加大介入管理力度,并嘗試制定規則。
記者了解到,自2017年6月1日正式施行的《中華人民共和國網絡安全法》,第四十一條對App收集用戶個人信息的法律原則進行了明確。“網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意”。同時,“網絡運營者不得收集與其提供的服務無關的個人信息”。另外還強調,監管要求“應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息”。
不過,直到2019年,App收集個人信息才算迎來一份相對細致的指導性文件。
2019年6月1日,全國信息安全標準化技術委員會秘書處編制發布《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規范(V1.0)》。
該規范針對“移動互聯網應用中存在的超范圍收集、強制授權、過度索取等個人信息安全問題”,嘗試給出移動互聯網應用收集個人信息的6項原則,包括“目的明確原則”“最少夠用原則”“選擇同意原則”“確保安全原則”等。并將移動應用分為16類基本業務功能,并分別設置了必要的信息收集范圍,即保障移動互聯網應用基本業務功能正常運行所需的個人信息。如,網絡支付應用需要手機號碼和賬號信息、身份信息等6項個人信息;地圖導航類應用的必要信息僅1項,即用戶位置信息。
2020年1月20日,該委員會又發布關于國家標準《信息安全技術 移動互聯網應用程序(App)收集個人信息基本規范》征求意見稿,將移動應用常用服務類型從16種擴至30種,新增如“輸入法”“電子圖書”“問診掛號”“婚戀相親”等細分應用。
記者依據上述監管文件統計,地圖導航、新聞資訊、電子圖書、拍攝美化、應用商店等5種業務類型的App只需要1種用戶個人信息,網頁瀏覽器、輸入法、安全管理等3種業務類型的App不需要用戶提供任何個人信息。
據悉,工信部正在起草《移動互聯網應用程序個人信息保護管理暫行規定》,將明確知情同意和最小必要兩項個人信息保護基本原則。劉烈宏近日指出,將加快出臺進程。
隱私政策 有時也有“打幌子”之嫌
奇安信安全專家韓爭光表示,很多App在隱私政策中會說明收集個人信息的目的,如提升用戶體驗、根據用戶個人興趣愛好進行定向推送等,“以此為由,在用戶使用過程中會收集手機識別碼、地理位置、購物時的瀏覽及搜索記錄、手機號碼、家庭地址、通訊錄等。”韓爭光對記者說。
韓爭光談及當前存在的“過度收集”情形,根據“我們”的觀察分析,移動應用在過度收集個人信息時有很多種情況,比較常見的過度收集個人信息的情況包括:
其一,收集與業務完全無關的個人信息,如一個壁紙應用,收集地理位置、通訊錄等這些個人信息,與其業務沒有任何關系,不存在收集的合理性。
其二,雖然業務需要,但App收集個人信息時未遵循最小必要原則,如一些應用中有提供“分享給聯系人好友”相關的業務,可以給通訊錄中的某個聯系人發消息,此時應僅獲取選中的聯系人信息,而非收集整個通訊錄內容。
其三,在用戶不知情、未授權的情況下收集個人信息,如App在后臺運行時收集位置信息等。
另外,韓爭光表示,過度收集還包括高頻采集、頻繁索權、不給權限不讓用等情況。“App違規收集使用個人信息的現象經過一段時間的治理后雖有所改善,但目前仍普遍存在。”韓爭光表示。
數據被濫用之殤
一位長期關注隱私安全的人士對記者談到,App在收集到用戶信息之后,商業廣告用途已經是公開的秘密。
據他介紹,App廠商一般會把用戶信息進行脫敏,描繪用戶“畫像”,并打上一些標簽,比如“女、22歲、北京白領”,廣告商根據這些標簽來精確推送廣告。“這個已經是公開的事實了。”該人士說,App廠商一般會對廣告的商業行為給出說法:脫敏的數據不屬于用戶數據。
記者梳理被點名的6款蘋果商城在架應用App隱私協議發現,對于這些收集來的數據用途,大多包括分析產品使用情況、實現廣告推廣與統計的共享、幫助用戶參加營銷推廣活動。
浙江墾丁律所主任張延來認為,企業超范圍收集個人信息,目的還是希望掌握更多數據資源。數據資源具有高價值,在不同數據當中,能夠指向個人身份的個人信息數據更具價值。此外,個人信息的集合又可以衍生為數據產品,企業可以拓展業務。
韓爭光亦表示:“個人信息屬于數據資產,依靠這些數據資產,結合所需的算法,可以很大程度上支撐產品研發和運營,個人信息種類越多、量越大,可能給企業帶來直接或間接收益越大,所以很多企業會通過多種渠道收集大量的不同種類的個人信息。”
通訊錄被讀取,會產生哪些價值?韓爭光表示:“有些企業會通過收集的通訊錄好友的關聯關系,向你發一些營銷短信推薦他們的應用以增加用戶量,有些企業會根據用戶的瀏覽或購物喜好推薦相關的產品和服務來獲利。”
實際上,當用戶在談及對App獲取個人信息的介意時,一定程度上是在談及個人數據萬一被廠商泄露,或被廠商出于商業目的而濫用之后,對個人造成不可控影響的擔憂。韓爭光表示,企業在收集個人信息后,在存儲、使用、流轉等過程中,如果對個人信息的管理措施和技術保護手段不足,可能會造成數據泄露的風險。
李元告訴記者,用戶信息被濫用的“灰產”,他在金融類相關應用中見過,獲知豐富的個人信息,有利于催收。
另外,韓爭光提到,普通用戶在一些App上注冊登錄后,經常會收到一些營銷垃圾短信,或者收到一些騷擾電話,可能是由于個人信息被濫用、非法倒賣等原因導致。
【免責聲明】本文轉載自網絡,與科技網無關。科技網站對文中陳述、觀點判斷保持中立,不對所包含內容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔全部責任。