撰稿 | 流苏
编辑 | 图图
“你手机上装了多少个APP?”
苏苏把这个问题抛给身边的朋友时,90%以上的人完全不清楚;60%以上的人预估只有几十个APP,数完后才发现远远不止。
实际上,手机APP安装数量超过100个已经成为常态,这点在年轻群体中更加明显。
“这些APP会收集多少隐私信息?”
和第一个问题相比较,95%以上的人都明确肯定“会收集隐私信息”。有意思的是,对于“收集隐私信息”的敏感程度,出现了不同“系别”的反应。
其中,“被动同意系”最为常见,表现为“害怕APP肆意采集自己的隐私信息,但又不得不使用APP,于是只能被动同意,选择性的给予APP相关权限”。
而“佛系”则表现为“无所谓了,移动互联网时代,谁又不是在裸奔”。
还有少部分“处女座系”,这部分群体对于APP收集隐私信息极为警惕,甚至会认真阅读APP的隐私条款,唯恐自己的信息被偷光。
那么,作为读者的你是否知晓手机上有多少APP,又是属于哪一敏感系别呢?
不可否认,手机APP的出现极大地便利了人们的生活,是手机上APP数量如此多的原因。但是,随着“个人信息”的价值越来越大,APP收集用户信息也越来越肆无忌惮,而用户对此毫无办法,以至于大多数人选择“被动接受”。
如果是正常的、必要的信息收集,苏苏相信用户是可以理解且支持的,然而,近年来,“APP肆意收集用户隐私信息”的报道越来越多,其中不乏国民级别的APP。
APP收集用户隐私信息究竟有多“野”,哪怕是下载个手电筒APP,它也要收集包括通话记录、手机号码、地理位置等二十多项隐私信息。
“为什么要收集这么多无关紧要的信息?”相信很多读者都有这样的疑问。
其原因大致有以下几点。
第一、形成精准用户“画像”,精准推送广告。通过APP收集用户各类隐私信息,如通话记录、上网行为信息、地理位置、性别等信息形成一个数据化的“你”,从而“投其所好”地向你推送各类可能感兴趣的产品。
第二、将用户隐私信息当做企业的“资产”。在注册APP时信息收集极为简单,然而在注销账号和删除个人信息阶段却非常难,甚至于很多APP没有“注销”这一功能,即便注销了,也难以清空个人隐私信息。
第三、肆意泄露用户隐私信息。不少APP打着合作的旗号,未取得用户同意的情况下将隐私信息泄露给第三方,以此换取第三方APP的个人信息;亦或是直接将用户隐私信息打包出售给第三方牟利等。
正是因为有了“利”的驱使,再加上缺乏明确、有力的监管措施,使得APP收集用户隐私信息越来越“野”。
因此引发的个人信息非法买卖、电信网络诈骗等互联网安全事件也屡见不鲜。有媒体报道,仅需700元就买到详细的个人隐私信息,包括乘机、开房、上网吧等11项记录。
2018年8月29日,中国消费者协会发布了《App个人信息泄露情况调查报告》。报告显示,超八成受访者曾遭遇个人信息泄露。
其中,经营者未经授权收集个人信息和故意泄露信息是造成消费者个人信息泄露的主要途径。据统计,个人信息泄露后遭遇推销电话或短信骚扰的占比最高,高达86.5%,接到诈骗电话的占比75.0%,收到垃圾邮件的占比63.4%。
2019年,在3·15晚会上,“社保掌上通”APP通过获取用户授权,肆意收集用户隐私信息被曝光,专家通过电脑将主持人现场输入的社保人的信息全部截取。
据了解,截至6月11日,App专项治理工作组共收到举报信息5500余条,其中实名举报信息1800余条。
其中,问题主要集中在五个方面。
1.实际收集的个人信息与业务功能无关,如金融借贷类App收集用户通讯录等,占比约31.2%;
2.未公开收集使用个人信息的规则,如没有隐私政策或隐私政策中没有如何收集使用个人信息的相关内容,占比约19.0%;
3.无法注销账号,App不提供注销功能,或注销后不及时删除个人信息,占比约16.3%;
4.将基本业务功能与其他业务功能“捆绑”,要求用户一次性授权同意收集个人信息,不同意则拒绝提供任何业务功能,占比约9.6%;5.未经用户同意收集个人信息,或在提醒用户阅读隐私政策前就开始收集、上传个人信息,占比约8.1%。
APP随意收集隐私信息早已不是什么新鲜事,究其原因,缺乏一部针对性的法律支撑执法工作的开展。
2017年6月1日实施的《网络安全法》虽然有专门针对个人信息安全保护的章节,但是也没APP收集隐私信息行为的详细说明,也缺乏对APP违规收集信息相应的处罚措施。
而今,这一标准真的就要来了,这也意味着APP肆意收集隐私信息的好日子到头了。
8月8日,全国信息安全标准化技术委员会发布关于开展国家标准《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》(以下简称“《APP基本规范草案》”)征求意见工作的通知。
通知称,为落实《网络安全法》对个人信息保护的相关要求,加快相应标准化工作,全国信息安全标准化技术委员会秘书处组织起草《APP基本规范草案》,现面向社会公开征求意见。
《APP基本规范草案》显示,该标准明确了移动互联网应用收集个人信息时应满足的基本要求,用以规范移动互联网应用运营者收集个人信息的行为。适用于移动互联网应用的开发和运营,也可用于移动互联网应用的技术评估、监督检查。
值得注意的是,《APP基本规范草案》提出两个新的概念,即最少信息 least(minimum)information和最小权限范围least(minimum) permission range,并且明确规定了不同类别的APP的最少信息和最小权限范围。
最小信息是指保障某一服务类型正常运行所必需的个人信息,包括与服务类型直接相关,一旦缺少将 导致该类型服务无法实现或无法正常运行的个人信息,以及法律法规等规范性文件要求必须 收集的个人信息。
最小权限范围是指保障某一服务类型正常运行所必需的最少系统权限。
当用户同意App收集某服务类型的最少信息时,App不得因用户拒绝提供最少信息之外的个人信息而拒绝提供该类型服务。当收集个人信息超出服务类型的最少信息时,超出部分的个人信息,App应逐项征得用户明示同意。
App不得收集与所提供的服务无关的个人信息。对外共享、转让个人信息前,App应事先征得用户明示同意。当用户不同意, 则不得对外共享、转让用户个人信息。用户明确拒绝使用某服务类型后,App不得频繁征求用户同意使用该类型服务,并保证其他服务类型正常使用。
换句话说,《APP基本规范草案》将APP信息收集关进了“笼子里”,不再像以前一样毫无底线,采集用户所有的隐私信息,真正实现采集的信息是提供服务所必须的。
同时,《APP基本规范草案》还将APP划分为21类,包括地图导航、网络约车、即时通讯、博客论坛、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖等等,基本囊括当下所有主流APP。
在每一类APP中,《APP基本规范草案》都有详细规定其最小信息具体条目。
如地图导航类APP最小信息仅为个人日志和精准定位信息,而不是像之前一样还会采集用户手机号码、身份信息、地址信息等。而浏览器、输入法、安全管理等APP的最小信息只有网络日志,除此之外的信息倘若没有用户允许,APP不得私自采集。
在APP调用手机权限方面,《APP基本规范草案》对于21类APP同样明确规定了最小权限范围。
除网络约车、餐饮外卖等需要拨打电话权限外,其他大多数APP仅有存储权限和位置权限等最基本的权限。而新闻资讯、输入法、浏览器等APP最小权限范围为“无”。
这意味着,连手电筒APP都需要调用手机十几项权限的时代将一去不复返!一句话概括,除必要的权限外,用户可以拒绝APP其他所有的调用手机权限的申请。
对于APP管理者,《APP基本规范草案》同样有着明确要求,包括管理要求和技术要求。
管理要求包括:
a) App 运营者应履行个人信息保护义务,采取必要安全措施,保障用户个人信息安全。
b) 当用户同意 App 收集某服务类型的最少信息时,App 不得因用户拒绝提供最少信息之外的个人信息而拒绝提供该类型服务。
c) App 不得收集与所提供的服务无关的个人信息。
d) 对外共享、转让个人信息前,App 应事先征得用户明示同意。当用户不同意, 则不得对外共享、转让用户个人信息。
e) App 不得收集不可变更的设备唯一标识(如 IMEI 号、MAC 地址等),用于保障网络安全或运营安全的除外。
f) 用户明确拒绝使用某服务类型后,App 不得频繁(如每 48 小时超过一次)征求用户同意使用该类型服务,并保证其他服务类型正常使用。
g) App 应对其使用的第三方代码、插件的个人信息收集行为负责。第三方代码、插件收集个人信息视同 App 收集,App 应防止第三方代码、插件收集无关的个人信息。
技术要求包括:
a) 当收集的个人信息超出服务类型的最少信息时,超出部分的个人信息,App 应逐项征得用户明示同意。
b) 当同一 App 有 2 种或 2 种以上服务类型时,App 应允许用户逐项开启和退出服务类型,开启或退出的方式应易于操作。
c) 当用户退出某服务类型后,App 应终止该服务类型收集个人信息的活动,并对仅用于该服务的个人信息进行删除或匿名化处理。
d) 当申请个人信息相关权限或要求用户输入个人信息时,App 应向用户同步明示申请权限或收集信息的目的。
e) App 应向用户提供实时查询已收集个人信息类型的功能;查询结果应以独立界面展示,且查询方式应易于操作。
f) 存在对外共享、转让个人信息的,App 应向用户提供查询数据接收方身份的功能;查询结果应以独立界面展示,且查询方式应易于操作。
g) 在技术可行且不影响终端和服务正常的情况下,App 应优先在用户终端中存储、使用所收集的个人信息。
h) App 应以实现服务所必需的最低合理频率向后台服务器发送个人信息。
《APP基本规范草案》的出现意味着国家对于保护个人隐私信息高度重视,也显示出重拳打击“APP收集信息乱象”的决心。
和之前保护个人信息的法律不同的是,《APP基本规范草案》是专门用于规范“APP信息收集”的国家标准,对于规范APP收集信息有着重要作用。
一旦真正实施,可以预见APP信息收集将从“野蛮生长”阶段进入到“秩序成长”阶段,再想像以前一样,“浑水摸鱼”“钻空子”怕是不太可能。
领取专属 10元无门槛券
私享最新 技术干货