看电话查户口要社保 谁来管管APP?

新华社 2017-07-07 08:13:16
用手机看
扫描到手机,新闻随时看

扫一扫,用手机看文章
更加方便分享给朋友

在个人信息保护越发重要的现代,该如何为这些APP的权限划界?

聊天APP必须要开放位置信息,云笔记APP默认读取用户通讯录,就连孩子做个培训、写个作业的APP,也要读取位置。在给用户提供便利的同时,APP也在大肆索取一些“并不必要”的用户信息。近日,一篇名为《支付宝<花呗>新版合同,让人不寒而栗,都要搜集“手机通话分钟数了”》的文章在网络上迅速发酵。文章贴出6月30日生效版本的花呗合同中关于信息类型和信息分享的条款,并称“为了搜集个人信息,支付宝要搜集个人手机号码的余额、通话对象、通话分钟数了”。有用户称,“吓得赶紧关闭了花呗”。

在个人信息保护越发重要的现代,该如何为这些APP的权限划界?

APP:位置、联系人等权限受关注

当我们安装APP时,都会被象征性地同意一则用户协议后,才能安装成功,但是这个协议中有多少“坑”,恐怕很多人就无暇顾及了。

在记者安卓手机上安装的61款软件中,所有APP都有“读取已安装应用列表”权限,由此可以了解用户的行为习惯及分析同行情况;第二受关注的权限就是“读取本机识别码”,这是用于确定用户,因为每个手机识别码都是独一无二的;第三则是“读取位置信息”权限,以此可搜集用户的活动范围。

而是否申请某种权限,似乎并无可循规则。

一是同类APP,共同“越界”。记者在一款安卓手机的应用商店中搜索了“手电筒”APP,其中排名靠前的10个APP,除了相机等基本权限外,有8个都请求发送和查看短信、拨打电话和管理通话以及位置信息等三大权限。

二是同类APP,不同权限。以最近火热的共享单车为例,记者调阅安卓手机应用权限发现,摩拜单车、优拜单车、永安行等APP,就比OFO共享单车多要求了通讯录的权限。

厂商:不管有用没用,拿到权限再说

《网络安全法》规定,收集和使用个人信息需要遵守合法、正当、必要性原则。但现在很多APP至少都违背了“必要”原则,获取了很多不必要的权限以搜集用户个人信息。

例如,“调用摄像头”和“启用录音”是很多APP热爱获取的权限。“百度新闻”客户端就默认获得了相机、电话等7项权限,但是记者反复查阅“百度新闻”客户端,却没有发现有用得着相机或电话的地方。

实际上,监管部门对此也有所关注。2016年5月,安徽省工商局曾对市面上20款左右的手机进行质量抽检。其中,6款来自金立、Vivo、斐讯等品牌的手机在使用过程中,预置的应用软件存在未经消费者允许通过wifi网络、GPS和基站等定位技术收集消费者位置信息行为,侵犯了消费者个人隐私。

DCCI互联网数据中心在《2016年中国Android手机隐私安全报告》显示,非游戏类APP获取隐私权限普遍增多同时,越界行为增长明显。例如,高达13%的非游戏类APP越界获取“位置信息”权限,9.1%的非游戏类APP越界获取“访问联系人”权限;高达26%的APP越界获取“位置信息”权限。

滥用权限的背后,涉及当前互联网企业的商业逻辑。一位资深业内人士告诉记者,互联网企业通过免费模式吸引用户后,后续的变现模式就是精准营销,要想做到精准就必须尽可能多掌握用户的数据。“搜集的数据多一点,营销价值就会提升很多。大数据时代,没人知道哪些数据会成为重点,足够多的数据才是重点。”

监管:法规虽有,案例少见

第三方数据机构TalkingData提供的数据显示,2016年,我国APP数量超过1700万个。数量如此庞大的APP,如果越界索取了用户权限,将大大增加用户信息泄露的风险。

对于APP索取用户权限的现象,有关部门早已有明文禁止。2016年8月起生效的《移动互联网应用程序信息服务管理规定》中就明确规定,未向用户明示并经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能,不得开启与服务无关的功能,不得捆绑安装无关应用程序。

但是在操作中,很多企业都在无视这条规则。对此,资深互联网法律研究者刘春泉告诉记者,“很多互联网企业都是尽可能多地搜集信息,我对这个问题也抗议了很久,但由于既得利益非常大,不仅大企业不闻不问,连很多小企业都无所畏惧。”

一方面是企业利益驱使,另一方面则是鲜有处罚案例。刘春泉告诉记者,对于个人信息保护,虽然目前已有的法律法规早有明确规定,但是对于不守法者的惩罚缺乏明确规定,至今仍缺少知名判例或罚则。

面对APP系统性的过度索取权限,用户能够做的不多,但是也可以有所作为。对此,多位技术人员告诉记者,“现在无论安卓或者iOS的安全管理都在提升。通过设置,用户可以禁止APP调取不必要的权限,并且仍能正常使用应用。”

案例

通话记录、户籍、社保

花呗都要收集?

花呗回应实际采集的信息范围要“远小于此”,专家称违反必要性原则

仅仅只是用了“蚂蚁花呗”,你的户籍信息、社保参保状态、公积金缴费情况、通话记录等个人数据都可能被收集。

6月30日,“蚂蚁花呗”宣布改名为“花呗”,并更新了用户服务合同。新合同规定,用户同意并授权花呗收集上述用户信息,此举引起了网友热议,有人称“吓得赶紧关闭了花呗”。

针对质疑,7月3日,花呗再次修改了服务合同,之后在官方微博回应,通过采集用户信息降低风险系行业的常规手法,并称实际采集的信息范围远小于此。记者发现,较此前版本,最新服务合同表述相对笼统。对此,专家表示,如果目前业务不需要匹配这些数据而要求用户授权,则违背信息收集的必要性原则。

起因:收集通话记录吓坏网友

据了解,花呗是阿里旗下蚂蚁金服推出的消费信贷产品。申请开通后,用户将获得500-50000元不等的消费额度,并在消费时享受“先消费,后付款”的购物体验。

记者注意到,6月28日,支付宝在官网上发布了《花呗用户服务合同》条款调整公告。调整公告称,为了更加规范地收集、使用、分享、保护花呗用户的信息,对信息条款进行了相应的调整。新的合同在2017年6月30日正式上线,并于当日生效。落款为重庆市阿里小微小额贷款有限公司和商融(上海)商业保理有限公司。

这份6月30日生效的服务合同中,引起较大争议的用户信息包括用户的户籍信息,社保参保状态,往来通讯号码、通话时长等通话详单信息,以及银行刷卡时间、地点、开立信息、账户余额、流水信息。

也就是说,从户籍、工商信息,到社保、公积金,以及通话记录、银行用卡信息等,用户都需要同意并确认授权。这引起了网友的热议。有人表示,“这么下去,以后你的所有隐私都会被所谓的大数据利用,后果是什么,现在想想都不寒而栗”。

调整:不到一周两改服务合同

记者注意到,不到一周,花呗再次发布了调整公告,称为了更好地服务用户,《花呗用户服务合同》部分条款进行了优化。7月3日,新上线的《花呗用户服务合同》正式生效。

记者发现,较6月30日发布的版本而言,现有版本关于信息收集类型的描述较为笼统。

比如,6月30日生效版本的4.2.9条详细列出收集信息类型为“社保参保状态、缴费额度、缴费年限、缴费单位等”,而现有版本的4.1.5条则用“社保信息”概括。

此外,现有版本未再提及旧版中需要收集的用户财产信息、户籍信息和通话信息,并在第四条“信息收集、使用、共享”的开头写道:“请您理解,如果不收集您的一些必要信息,服务商将无法客观判断您的履约能力和意愿,也无法履行法律或监管要求服务商必须履行的一些法定义务。”

7月4日下午,花呗官方微博“蚂蚁花呗”就此事作出回应。

花呗称,采集此类信息是为了了解借贷人的财务状况、信用状况等信息,更好地做出是否借贷及借贷额度的判断,并称实际采集的信息范围要“远小于此”。

花呗进一步解释,相关业务人员以将来出于风控安全或优化服务的需要,可能会扩大信息采集范围,为避免到时再次打扰用户为由,把一些将来可能采集的信息一并在6月30日上线的版本中具体列出。并称现有版本已经对合同条款进行了相应优化。

多位专家表示,花呗此举可能违反个人信息收集的必要性原则。根据6月1日施行的《网络安全法》规定,收集和使用个人信息需要遵守合法、正当、必要性原则。其中必要性原则是指,收集个人信息与所要提供的服务相关,或是为了改进服务。

(新华社、南都)

声明:本文由入驻焦点开放平台的作者撰写,除焦点官方账号外,观点仅代表作者本人,不代表焦点立场。