手机App过度索取权限怎么办?广西代表委员建议合理约束采集行为
http://www.gxrd.gov.cn 2019年01月29日 16:36 来源:南国早报-广西云客户端 2019年1月29日
叫外卖、订酒店、买衣服……网络时代的生活已离不开手机App。但人们享受它带来便利的同时,也在付出代价:一些手机App过度向使用者索取“权限”,尽己所能“盗取”使用者的个人信息。App对使用者权限的索取到什么程度才算合理?个人信息安全如何守护?昨日(1月28日),部分自治区人大代表和业内人士展开热议。
关于手机App的调查数据
案例:手机权限被App悄悄启用
最近,市民姚女士觉得自己是个“透明人”。这缘起于她最近下载的一款财税App。姚女士用手机号注册登录该App后,欲查询自己的个税缴纳情况。这时,该款App跳出一个对话框,要求姚女士再用“广西电子税务局”官网的账号和密码进行二次注册。
姚女士为保险起见,便仔细查看了该款App的产品使用协议、数据解析服务协议。其中提出,提供的个人注册资料包括但不限于手机号码、姓名、性别、身份证号、住址、联系方式、银行卡号等。姚女士起了警觉:只是提供一些财税筹划的服务,为何还要提供银行卡账号?为了解该款App还获取了哪些个人信息,姚女士打开了android系统手机的后台,查看了“授权管理”模块,发现该款App申请的权限竟然有20项之多,其中包括读取短信、读取联系人、修改通话记录、录音、获取手机IMEI(手机序列号)等权限。有些权限在注册询问环节被姚女士拒绝了,但有些权限如读取手机存储、获取手机号码等权限已“默默”被使用。经询问广西税务部门,姚女士得知,这款财税App并未获得税务部门的授权,便在站内做了“广西电子税务局”的链接。出于安全考虑,姚女士卸载了该款App。
调查:部分App涉嫌过度收集信息
手机里其他App的情况如何呢?姚女士继续查看才发现,手机里70余个App中,最多的申请了25项权限,最少的也申请了7项。并且在未获得姚女士许可的情况下,基本都使用了部分涉及隐私的权限:有的擅自获取了读取通话短信的权限,有的获取了读取联系人的权限,最多的要数获得取手机信息(包括手机号码、IMEI、IMSI)的权限。
然而,有些App强行获取的权限似乎与它所提供的服务没有关联。比如,一款浏览器开启了读取应用列表的权限,还有一款导航App未经允许获取了读写手机存储的权限;一款输入法App则取得了地理位置的权限……姚女士顿时觉得无处可藏。
事实上,姚女士的经历并非个例。2018年11月底,中国消费者协会发布的《100款App个人信息收集与隐私政策测评报告》中指出,在2018年9月1日至3日下载的手机App中,被测评的10类手机App(通讯社交、影音播放、网上购物、交易支付、出行导航、金融理财、旅游住宿、新闻阅读、邮箱云盘和拍摄美化)普遍存在涉嫌过度收集个人信息的情况,59款App涉嫌过度收集“位置信息”,28款App涉嫌过度收集“通讯录信息”,23款App涉嫌过度收集“身份信息”,22款App涉嫌过度收集“手机号码”等。
说法:利益驱使过度获取手机权限
既然有些App申请的权限与提供的服务、功能并不匹配,为何还要大费周折获取这些权限呢?
南宁网络专家严茂军表示,我们使用的App大多数都是免费提供服务的,但它们也需要运营成本,因此便通过获取数据赚取利益。比如,当数据累积到一定程度,企业可为自己下一步的发展方向制定策略,同时也可以进行精准营销,投放广告;或通过数据分析用户习惯,对用户精准画像,再把数据卖给对应的商家。另有一些非法的做法,比如用户将身份证的照片存储在手机里,App获得读取手机相册的权限,有可能获取身份证用于网贷。有些权限,在用户注册App点击“我同意”时,已无意中将手机数据给了App开发商。还有些App不授权就没法用,只能被迫接受。
自治区人大代表、自治区人大法制委员会委员李晖认为,在利益驱使下,如果仅由商家单方面作出承诺,保证不滥用权限,不过度使用用户的个人信息,目前还是有一定难度,所以必须有赖于一定的监管。
自治区人大代表、广西律师协会副会长罗旭表示,关于保护个人信息的现行有效的法律法规和规定包括《消费者权益保护法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络交易管理办法》《电信和互联网用户个人信息保护规定》等。但具体规定大多散见于各类法律法规和规定当中,没有形成一部系统的法律保护规范,这对于个人信息因手机App造成隐私泄密时,受害者在寻求法律保护方面很难获得支持。首先,面临维权取证困难,证据一般都在手机App开发者手中,其收集用户信息后的用途一般用户难以取得;二是维权成本高昂,如果不是被严重侵犯了个人的隐私权利,很少会有人走司法途径解决;三是法律处罚措施还不完善,对个人信息被侵犯,目前缺乏一部统一的法律规范,权利如何能够得到保护难以得到有效地实施。
建议:明确信息类别 合理约束采集行为
对于现状,严茂军建议,应对App市场进行规范,增强审核机制,防止违法违规的App低成本进入市场。另外,手机厂商自身的防火墙意识也要增强。
自治区人大代表、广西精一律师事务所主任李佳潞认为,目前缺乏一部专门的、比较细的法律来管这个问题,导致在日常的维护自身权益过程中,这些法律很难发挥作用。同时,上述情况也与市民对自身权利的需求、重视程度淡薄、漠视以及取证难等因素有关。
罗旭则认为,个人信息获取、存储和利用的环节众多,许多信息的传播又具有隐蔽性和复杂性,做到切实保障公民个人信息安全,需要公民、信息采集机构、技术人员和有关部门协同共治,信息采集不规范亟待法律制度进一步完善。从监管层面上看,一是应与时俱进地制定有针对性的法律法规细则,形成严密且具有可执行性的条款,例如,可以对个人信息进行分类,先明确不同类别的手机App所需的用户信息量,规定好哪些信息能采集,哪些不能,从而更合理有效地约束App提供商的采集行为;二是可以成立专门的监管小组,在主动监控抽查企业信息搜集行为的同时,核实处理来自用户的相关投诉,保证投诉渠道的畅通;三是加快推进《个人信息保护法》立法工作,实现个人信息保护有专门的法律依据。
作为用户则要具有基本的维权意识,在安装手机App时,要注意阅读用户协议和细则,不能轻易同意App获取个人信息权限的要求。此外,要避免在陌生的手机App上输入身份证号、银行卡号等关键信息。一旦发现手机App有过度采集等侵权行为,应立刻进行投诉处理,利用行政或司法渠道进行维权。
(雷倩倩 周如雨 罗暘/图文)
初审:陈玲玲 二审:李珊 主审:黄江梅