手机下载一个“手电筒”应用,却被要求访问通讯录;
安装某个手机应用,不同意访问地理位置就安装不了;
购物App上浏览一些商品,随后另一个新闻资讯客户端就推送类似商品广告;
在社交App上说想出去聚餐,稍后就收到一堆餐馆广告推荐;
刚在购房App上浏览完毕,信用贷款电话就打了进来……
移动互联网便捷、普惠的特点最大程度地在App上体现出来,“微信”“淘宝”“百度地图”“支付宝”等App早已成为广大网民生活中的“必需品”。这些App极大地便利和丰富了我们的生活,但App强制授权、过度索权、超范围收集个人信息的现象也让我们深受其苦,甚至我们的个人信息被很多不法分子利用来谋求利益,让不少人蒙受了生命财产的损失。
过度收集乱象触目惊心
2018年8月29日,中国消费者协会发布了《App个人信息泄露情况调查报告》。报告显示,超八成受访者曾遭遇个人信息泄露。其中,经营者未经授权收集个人信息和故意泄露信息是造成消费者个人信息泄露的主要途径。据统计,个人信息泄露后遭遇推销电话或短信骚扰的占比最高,高达86.5%,接到诈骗电话的占比75.0%,收到垃圾邮件的占比63.4%。
而之后中消协在2018年11月28日发布的《100款App个人信息收集与隐私政策测评报告》更加让人触目惊心。该报告显示,在100款App中,多达91款软件存在过度收集用户个人信息的问题。
就在近期,广东省公安机关根据公安部“净网2019”专项行动和中央网信办、工信部、公安部、市场监管总局四部委关于开展APP违法违规收集使用个人信息专项治理行动部署,在持续开展2019年第二季度超范围收集用户信息APP清理整治工作中,共监测发现1048款APP存在超范围收集用户信息行为。
其中,“酷狗音乐”“艺龙旅行”“语文100分”等42款APP,存在超范围读取用户通话记录、短信或彩信,收集用户通讯录、用户设备上已知账号,超权限使用用户设备麦克风等突出安全问题。
“在我们对安卓手机APP的检测中,可能涉及获取的隐私权限包括读取位置信息、手机号码、联系人等16项权限。”360公司安全专家介绍,连续几年的跟踪研究显示,“读取联系人”权限的申请占比从2017年的3.5%攀升至2018年的29.3%。
侵犯个人信息,常常是电信诈骗、敲诈勒索、恶意注册账号等一系列违法犯罪的源头。“数据泄露会造成用户人身财产受到威胁,不法分子通过各种途径收集人们被泄露出去的个人信息,经过筛选分析用户特征,从事电信诈骗、非法讨债甚至绑架勒索等精准犯罪活动。”360安全专家表示,如果是国家重点行业、领域的数据被泄露,那不仅对企业来说是致命的,还会对国家安全造成严重威胁。
App获取用户信息套路深
App究竟怎样通过获取用户的信息牟利?这其中又怎样的套路呢?总结起来,可按程度轻重分以下几类:
一是给用户“画像”,帮助商家精准推送广告。所谓精准推送,就是App通过收集、分析用户上网浏览记录,结合用户定位和性别等身份信息,绘制成用户肖像,从而实现广告精准推送。信息收集方式多为强迫用户授权或默认勾选,否则无法使用该App。
专家表示,这种广告被称为“程序化广告”。平台根据用户行为给其打上对应“标签”后,在后台以竞价或自动个性化方式为广告主做精准投放。按照规定,投放此类广告可事先不经用户明确授权,但应确保用户有拒绝权利。不过,大部分App目前并未设置相应关闭按钮,或者将按钮藏在多个操作步骤之后。
二是把用户信息视为“资产”,许进不许出,注销账号和删除个人信息难。很多用户发现,注册一个App账号只需一个手机号及其注册码,而想要注销一个账号往往很难。即便注销了账号,想清空个人信息更难。
专家表示,App运营者不能过度收集用户信息。在收到用户请求时,App运营者应当在合理时间和代价范围内予以查询、更正、删除或注销账号。
三是泄露用户隐私信息,导致用户利益受损。用户信息泄露存在很多情况,比如App用户隐私信息数据库被黑客入侵、平台出现漏洞等导致信息泄露;比如App将用户信息“打包”出售或用户信息经公司“内鬼”窃取售卖,被不法分子利用等。
专家表示,电商平台在获取个人信息的同时有义务保护信息安全。但在现实中,对“平台存在漏洞导致信息泄露”缺乏相应判断标准,用户因此很难对平台进行追责。
统筹一致,专项治理,化解隐私焦虑
2019年1月25日,中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,对超千款App进行评估,规模空前,展现对乱象重拳治理的决心。
近日,四部门指导成立的App专项治理工作组起草了《App违法违规收集使用个人信息行为认定方法(征求意见稿)》(以下简称《认定方法》),将“未经同意收集使用个人信息行为”纳入规制范围。
对此,中国信息安全研究院副院长左晓栋认为,《网络安全法》对保护个人信息的规定较为原则,尽管此前出台的《个人信息安全规范》细化了法律的要求,但从实践看,仍有大量App在打法律擦边球。及时出台《认定方法》,明确违规App行为的具体认定标准,有助于《网络安全法》的相关要求真正落地并见实效。
中国互联网协会研究中心秘书长吴沈括认为,《认定方法》的出台,使得监管部门可有针对性地对App违规行为予以治理,也为平衡技术发展与个人信息安全问题提供了有效依据。同时,《认定方法》对隐私政策的内容设定、访问形式等都作了明确要求,这意味着隐私政策不再是徒有其表的虚设,用户对App中的收集行为更加明确,有利于增强其对网络空间的信心。
中国社科院国家文化安全与意识形态建设研究中心副主任兼秘书长朱继东建议站在维护国家网络安全的高度,推进网络安全建设,重视对App非法收集个人信息的治理;加快立法进度,从立法层面加大对违规App的打击力度;常态化公布App违规收集个人信息的典型案例,对其他企业起到警示作用。