过度索权的App和被滥用的用户个人信息
本报记者/李甜/马秀岚/北京报道
2021年2月1日,春节将至,李元忽然收到某应用商城的通知,他开发的App被工信部发现问题,他需要去一个网站领取通知,按要求整改。当时,李元已回老家准备过年,手头没有公章,也不熟悉在线操作流程。工信部给他的私下整改机会就这样错过。2月5日,工信部公开通报包括李元的App在内的26款App存在违规调用麦克风、通讯录、相册等权限的问题,整改期限是2月10日前,心急的李元找到知情人士了解大概情况后,尝试向检测系统提交了新的电子版本。
3月3日,工信部下发通知,对26款中的10款拒不整改的App下架处理,李元的App正是其中之一。显然,李元也未能把握住第二次整改机会,并受到重罚。截至3月15日,李元的App在安卓应用商城及苹果应用商城仍未上架。同时,这10款App目前均未在安卓主流商城上架,但苹果应用商城有6款上架。
对于被下架的原因,李元近日才搞清楚。李元告诉《中国经营报》记者,他的App是一款智能语音类应用,由个人独自开发,上线2年,拥有几十万用户,但是从未设置过用户隐私协议,用户在下载之后,能够直接使用App,但在此过程中,App会调用用户手机的一些功能,比如录音,而用户并不知情。至于能否再上架,他表示未知且担心。
李元的App作为中国市场数百万个App之一,被工信部一再点名,似乎有点“倒霉”。近年来,智能手机的普及将用户带入“算法”时代。我国App数量井喷。截至2019年初,移动应用程序数量达449万款,但在增长的同时,许多App厂商在获取用户权限方面显得无所顾忌。用户在下载使用一些App时,提示需要获取地理位置,读取通信录、短信及相册,开启麦克风或摄像头等,已经变得很常见。同时,用户若不授权,一些App会自动关闭,拒绝用户使用。尽管有些App需要调取的权限在用户看来无明显获取必要。
面对隐私不“隐”,监管层面已经出手。2019年11月,工信部正式开展App侵害用户权益专项整治活动。截至2021年1月26日,工信部已检测过62万款App,责令2234款违规App整改,公开通报500款,未按要求整改的App被坚决下架,共132款。另外,在2020年,央视“3·15”晚会曝光手机软件插件(SDK)窃取用户隐私信息,并悄悄存储。2021年3月15日,工信部选择发声,新通报136款App侵害用户权益,猎豹清理大师、讯飞配音等在列。
App开发端的现状
3月3日被工信部点名下架的10款App,包括橘兔语音、小智同学、声吧、纯纯语音、uni语音、WoFit、WiiWear、语声、暖心语音、KK键盘,大多具有语音功能。
“橘兔语音”App的信息保护负责人张乾告诉记者,其产品下架的原因是:用户在使用过程中,有时会用到GPS定位权限,但用户隐私协议却没有充分提醒。“可能在跟用户做互动时提示不够。”他说。
对于为何被再次通报,他表示,首次被通报时,临近2021年春节,公司忙着放假,团队工作效率低,对软件进行修改的时间显得紧张。另外他提到,自己在对接上级部门相关负责人上也花费了一些时间。“不知道跟谁沟通”,因此延误了整改。
张乾认可工信部做出这种处理的合理性,但是希望在他提交App新版本后,审核流程可以加快一些,以使App尽快上架,恢复经营活动。
张乾认为,监管层面看重App厂商对实际获取到哪些用户信息的明确展示,“类似于步骤流程,你必须把协议放在这里,像搭积木一样。”他说。
开发者隐私观念薄弱亦导致违规获取用户权限情形发生。
李元的App是这10款被强制下架的App中的另一款语音类产品,功能接近于小米旗下的“小爱同学”。
李元对记者说,根据产品功能设计,需要获取录音、相机闪光灯等权限,以及了解手机型号等信息。他承认:“可能在这方面设计上存在一些问题,比如说,我首先直接去一次性获取,拿到这些权限也没有告知用户用来干什么。”他向记者坦承,可能存在一些设计上的不完善。
李元表示,他平时在某物联网公司工作,业余时间独自开发与运营这款App。在他原先的观念中,自己获取的用户权限,属于App本身功能运行所需要的,那么就不算“越界”收集。另外,软件用户规模小,又是初创企业,让他觉得离监管部门距离很远。“我觉得我的产品好像跟隐私挂不上钩。”他表示,最近才知道微信头像、手机型号信息等都属于用户个人信息,他违反了相关规定。
为了符合整改要求,李元近日翻看了淘宝、酷狗音乐、小爱同学等许多大公司旗下App的用户隐私协议,以便参照制作。接受记者采访时,他的App首版用户隐私协议刚撰写完成,并将App的APK文件提供给官方评估机构,以供测试。“一个是担心不能上架,另一个担心就是这个流程要走多长时间。”他表示。
主管部门的监管要求
记者查阅全国信息安全标准化技术委员会的官方文件获悉,“个人信息”的界定范围划分得较为细致,大致可包含13类,其中,通讯记录和内容、短信、彩信、电子邮件,以及描述个人通信的数据等,被划分在“个人通信信息”类别;通讯录、好友列表、群组列表、电子邮件地址列表等被划分在“联系人信息”类别。
在诸多个人信息中,可能会给个人带来重大风险的信息属于个人敏感信息,通讯记录和内容、通讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、精准定位信息等都属于“敏感信息”。而这些信息,如今属于被多类App收集的范围。
2019年11月起工信部开展的专项整治工作,重点针对违规收集个人信息、不合理索取用户权限、为用户注销账号设置障碍等4个方面的8类问题开展规范整治工作。
8类问题具体指:私自收集个人信息、超范围收集个人信息、私自共享给第三方用户信息、强制用户使用定向推送功能、不给权限不让用、频繁申请权限、过度索取权限、为用户账号注销设置障碍等8类情况。
记者获悉,工信部信息通信管理局负责对App存在的侵害用户隐私的行为不定期进行通报,具体由第三方检测机构来检查。
在2019年12月19日工信部发布的侵害用户权益App第一批名单中,共计41款,QQ、小米金融、搜狐新闻等多款知名App赫然在列。工信部同时通报了App所属企业、版本来源的应用市场、每款App所涉及的问题。例如,工信部提出QQ存在“强制用户使用定向推送功能、不给权限不让用、账号注销难”这3个问题问题。
截至目前,工信部共公开通报12批名单,约800款。有媒体据前11批数据统计,超过50%所涉问题为“违规收集用户个人信息”“App强制频繁过度索取权限”“违规使用用户个人信息”各占20%左右。
2021年2月5日,工信部副部长刘烈宏谈及当前用户反映强烈的热点问题,包括“麦克风权限滥用”“未经用户同意擅自读写相册”“过度索取通讯录”“隐藏个推关闭选项”等。刘烈宏表示,将高效推进全国App技术检测平台建设,形成全年检测180万款的覆盖能力。
“最小必要原则”落地难
记者获悉,围绕各类App收集用户个人信息,监管层面提倡的是“最少够用原则”或称“最小必要原则”。2019年堪称监管治理的分水岭,国家相关部门对App收集个人信息,加大介入管理力度,并尝试制定规则。
记者了解到,自2017年6月1日正式施行的《中华人民共和国网络安全法》,第四十一条对App收集用户个人信息的法律原则进行了明确。“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”。同时,“网络运营者不得收集与其提供的服务无关的个人信息”。另外还强调,监管要求“应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息”。
不过,直到2019年,App收集个人信息才算迎来一份相对细致的指导性文件。
2019年6月1日,全国信息安全标准化技术委员会秘书处编制发布《网络安全实践指南——移动互联网应用基本业务功能必要信息规范(V1.0)》。
该规范针对“移动互联网应用中存在的超范围收集、强制授权、过度索取等个人信息安全问题”,尝试给出移动互联网应用收集个人信息的6项原则,包括“目的明确原则”“最少够用原则”“选择同意原则”“确保安全原则”等。并将移动应用分为16类基本业务功能,并分别设置了必要的信息收集范围,即保障移动互联网应用基本业务功能正常运行所需的个人信息。如,网络支付应用需要手机号码和账号信息、身份信息等6项个人信息;地图导航类应用的必要信息仅1项,即用户位置信息。
2020年1月20日,该委员会又发布关于国家标准《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范》征求意见稿,将移动应用常用服务类型从16种扩至30种,新增如“输入法”“电子图书”“问诊挂号”“婚恋相亲”等细分应用。
记者依据上述监管文件统计,地图导航、新闻资讯、电子图书、拍摄美化、应用商店等5种业务类型的App只需要1种用户个人信息,网页浏览器、输入法、安全管理等3种业务类型的App不需要用户提供任何个人信息。
据悉,工信部正在起草《移动互联网应用程序个人信息保护管理暂行规定》,将明确知情同意和最小必要两项个人信息保护基本原则。刘烈宏近日指出,将加快出台进程。
隐私政策 有时也有“打幌子”之嫌
奇安信安全专家韩争光表示,很多App在隐私政策中会说明收集个人信息的目的,如提升用户体验、根据用户个人兴趣爱好进行定向推送等,“以此为由,在用户使用过程中会收集手机识别码、地理位置、购物时的浏览及搜索记录、手机号码、家庭地址、通讯录等。”韩争光对记者说。
韩争光谈及当前存在的“过度收集”情形,根据“我们”的观察分析,移动应用在过度收集个人信息时有很多种情况,比较常见的过度收集个人信息的情况包括:
其一,收集与业务完全无关的个人信息,如一个壁纸应用,收集地理位置、通讯录等这些个人信息,与其业务没有任何关系,不存在收集的合理性。
其二,虽然业务需要,但App收集个人信息时未遵循最小必要原则,如一些应用中有提供“分享给联系人好友”相关的业务,可以给通讯录中的某个联系人发消息,此时应仅获取选中的联系人信息,而非收集整个通讯录内容。
其三,在用户不知情、未授权的情况下收集个人信息,如App在后台运行时收集位置信息等。
另外,韩争光表示,过度收集还包括高频采集、频繁索权、不给权限不让用等情况。“App违规收集使用个人信息的现象经过一段时间的治理后虽有所改善,但目前仍普遍存在。”韩争光表示。
数据被滥用之殇
一位长期关注隐私安全的人士对记者谈到,App在收集到用户信息之后,商业广告用途已经是公开的秘密。
据他介绍,App厂商一般会把用户信息进行脱敏,描绘用户“画像”,并打上一些标签,比如“女、22岁、北京白领”,广告商根据这些标签来精确推送广告。“这个已经是公开的事实了。”该人士说,App厂商一般会对广告的商业行为给出说法:脱敏的数据不属于用户数据。
记者梳理被点名的6款苹果商城在架应用App隐私协议发现,对于这些收集来的数据用途,大多包括分析产品使用情况、实现广告推广与统计的共享、帮助用户参加营销推广活动。
浙江垦丁律所主任张延来认为,企业超范围收集个人信息,目的还是希望掌握更多数据资源。数据资源具有高价值,在不同数据当中,能够指向个人身份的个人信息数据更具价值。此外,个人信息的集合又可以衍生为数据产品,企业可以拓展业务。
韩争光亦表示:“个人信息属于数据资产,依靠这些数据资产,结合所需的算法,可以很大程度上支撑产品研发和运营,个人信息种类越多、量越大,可能给企业带来直接或间接收益越大,所以很多企业会通过多种渠道收集大量的不同种类的个人信息。”
通讯录被读取,会产生哪些价值?韩争光表示:“有些企业会通过收集的通讯录好友的关联关系,向你发一些营销短信推荐他们的应用以增加用户量,有些企业会根据用户的浏览或购物喜好推荐相关的产品和服务来获利。”
实际上,当用户在谈及对App获取个人信息的介意时,一定程度上是在谈及个人数据万一被厂商泄露,或被厂商出于商业目的而滥用之后,对个人造成不可控影响的担忧。韩争光表示,企业在收集个人信息后,在存储、使用、流转等过程中,如果对个人信息的管理措施和技术保护手段不足,可能会造成数据泄露的风险。
李元告诉记者,用户信息被滥用的“灰产”,他在金融类相关应用中见过,获知丰富的个人信息,有利于催收。
另外,韩争光提到,普通用户在一些App上注册登录后,经常会收到一些营销垃圾短信,或者收到一些骚扰电话,可能是由于个人信息被滥用、非法倒卖等原因导致。
原标题:过度索权的App和被滥用的用户个人信息