刚跟人聊完,很快就能在App中收到相关推荐内容或广告?日前,“App会偷听吗?”成为热议话题,网民调侃背后充满对个人信息安全的担忧。
2月5日,在工信部召开的App个人信息保护监管座谈会上,工信部副部长刘烈宏对此表示,一些即时通讯工具、输入法和地图导航等App,使用麦克风权限,读取文字输入内容后,超出用户许可范围(将信息)用于“其他途径”,带来了风险隐患。
实际上,违规收集用户个人信息是App侵害用户权益最常见的一种行为。澎湃新闻(www.thepaper.cn)统计工信部开展专项整治行动以来公开通报的11批违规App名单,发现657款App“榜上有名”,UC浏览器、360清理大师、达达快送、永辉生活、芒果TV、QQ输入法等生活各场景中的热门App曾在列;在16类App中,工具类App被“点名”比率达到15.68%。下架的167款App中,工具类App下架也最多,占比16.67%。
统计数据显示,被通报过的657款App中所涉问题中,有超过50%的为“违规收集用户个人信息”,而“App强制频繁过度索取权限”、“违规使用用户个人信息”的问题在被通报的App中各占20%左右。
此外,工信部组织的11批检测发现,被通报的App来自24个应用商店,以腾讯应用宝、豌豆荚、OPPO软件商店、360手机助手、小米应用商店五大应用程序平台为主,分别占比24.60%、11.27%、10.83%、10.25%、9.81%。
用户个人信息一直被App服务提供者视之为“唐僧肉”,不管是在商业主体的“获客引流”上,还是在信息泄露后被用于实施电信诈骗上,违规收集来的用户个人信息都成为基础资料。近年来,为违规App套上“紧箍咒”,阻止其对用户权益的侵害,多方在立法、监管、行业自律、技术维度、用户自我保护意识等方面寻求“良方”。
个人信息成“唐僧肉”
“网民反映,刚刚聊到某个话题,很快就能在某个App中收到相关广告,用户对此感到很疑惑,这个话题也成为了用户最为关切的问题,登上了热搜榜第一名。”
2月5日,在工信部召开的App个人信息保护监管座谈会上,工信部副部长刘烈宏对此表示,一些即时通讯工具、输入法和地图导航等App,使用麦克风权限,读取文字输入内容后,超出用户许可范围(将信息)用于“其他途径”,带来了风险隐患。
事实上,用户个人信息一直被App服务提供者视之为“唐僧肉”。记者统计发现,在被工信部通报过的657款App中,有超过50%所涉问题为“违规收集用户个人信息”。
“这么做多是为了收集用户的经济状况、消费偏好、活动区域等信息,对用户进行精细的人物画像,以支持产品研发更新,或精准推送广告。”广东省公安厅网警总队案件科副科长黄建邦曾就超范围收集用户信息行为如此指出。
记者梳理发现,成都市中级人民法院2018年10月判决的一起网络侵权责任纠纷案中印证了部分App会将收集到的信息用于推送广告,以此“获客”。
法院审理查明,早稻App的开发者系上海合合信息科技发展有限公司,该公司也为扫描全能王App的开发者,何某律曾下载注册过扫描全能王App,合合公司通过扫描全能王App收集了何某律的手机号码。
获取信息后,该公司向何某律以短信方式发送了内容为“【早稻】何某律,前同事评价你‘专业靠谱’并向你推荐107个人脉,还有19个好友在等你cc.co/OypRubuV3m投诉退订回TD”的消息。何某律以收集个人信息及向其发送商业广告的行为侵权为由将该公司告上法庭。
另一起在2020年12月判决的隐私权纠纷二审民事判决书则直接披露部分App会“违规收集用户个人信息”。
法院审理查明,App“天天消消乐”开发企业乐元素科技(北京)股份有限公司收集、使用信息的目的、方式和范围并不明确,亦未向用户提供《隐私政策》的相关内容,在游戏登录界面及用户使用相关功能过程中也未采取其他方式提示存在收集用户个人信息的情况。在未取得用户刘某博明确授权的情况下,存在“全项开启手机应用权限,调用用户个人手机位置信息”的情况。
而除了商业行为,一部分来自App违规收集的用户个人信息也最终为滋生电信诈骗提供了温床。
北京市公安局网络安全保卫总队日前发布的一篇文章中指出,疫情期间,存在某些违规App打着疫情监测的名义,出现非授权、超范围采集使用个人信息等问题,这带来了用户个人信息泄露、滥用的风险。而个人信息泄露是诈骗成功实施的关键因素,不法分子在精准掌握用户个人信息的前提下,能编造出迷惑性更高的诈骗场景,得以实施欺诈。
时至今日,工信部的部长信箱仍能时不时收到用户对App违规收集用户个人信息的投诉。记者仅检索2020年2月至2021年2月一年时间的留言就发现,小米手机系统自带软件、58同城、拼多多、知乎、京东商城、迅雷、QQ、网易邮箱、阿里云等热门App均出现在投诉名单中。
实际上,对于App违法收集使用个人信息行为,国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、市场监管总局办公厅曾联合印发《App违法违规收集使用个人信息行为认定方法》的通知。
其中明确指出,“未公开收集使用规则,未明示收集使用个人信息的目的、方式和范围,未经用户同意收集使用个人信息,违反必要原则,收集与其提供的服务无关的个人信息,未经同意向他人提供个人信息,未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息”等六类行为属于违法违规收集使用个人信息。
我们生活中所常见的“利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用”等现象也被认为是违法违规收集。
记者注意到,工信部曾公布一则数据,对于违规收集个人信息现象的严重性可窥一二。
在3480条关于App违法违规收集使用个人信息的举报信息中,26%的App没有隐私条款或未在隐私条款中明确收集个人信息的目的、方式、范围;31%的App在申请打开收集个人信息相关权限时,未明确告知用户;20%的App收集与业务功能无关的个人信息,如金融借贷App收集用户通信录;19%的App未经用户同意,向他人提供设备ID、应用程序列表等个人信息;13%的App强制索要与业务功能无关的权限,如计算器、手电筒App强制要求打开地理位置权限。
“有的App在商业利益的驱动下,未经用户同意便违规获取用户的语音、文字、图片等输入信息,实施大数据汇聚分析,实现用户画像,并进行广告的精准推送,这些令用户产生不安甚至焦虑。”工信部副部长刘烈宏在2月5日的监管座谈会上称。
用户的不安搅动起舆论场的热议,相关部门亮出“监管之刃”。
“App是否在偷听用户”的网络热议之下,2月5日,工信部在“2021年第2批,总第11批”通报中,首次就“近期社会关注的麦克风、通讯录、相册权限问题”公开通报26款未完成整改的App,QQ输入法、墨迹天气、微商输入法、声吧等App因违规或超范围收集个人信息被点名。
这也被视为监管层向外释放出对违规收集用户个人信息“监管趋严、回应关切”的一个明确信号。
违规App中“违规收集用户个人信息”的超50%
针对以违规收集用户个人信息为代表的App侵害用户行为,工信部在2019年11月首次决定组织开展App侵害用户权益专项整治行动工作。这一行动也在次年7月向“纵深推进”。
2020年7月,《工业和信息化部关于开展纵深推进App侵害用户权益专项整治行动的通知》进一步明晰了整治的对象为“App服务提供者、软件工具开发包(SDK)提供者、应用分发平台”。
“企业自查自纠、监督检查、结果处置”是工信部开展App侵害用户权益专项整治行动的中三个阶段,也是为违规App套上“紧箍咒”的步骤。
自查自纠主体为App服务提供者和分发服务提供者,属于主动行为;监督检查则由工信部组织第三方检测机构对App进行技术检测和检查,重点抽测与群众生活密切相关、下载使用量较大的App产品和分发平台。
而在结果处置阶段,工信部会对存在问题的App统一进行通报,依法依规予以处理,具体措施包括责令整改、向社会公告、组织App下架、停止App接入服务,以及将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单。
澎湃新闻不完全统计,自2019年11月工信部开展整治行动以来,至今已通报11批657款侵害用户权益的App被“点名”。
通报的频率基本是月均一次,通报的数量变化呈现出“M”型。两次波峰分别出现在2020年10月27日与2021年1月22日,单次通报数量的最高峰为“2021年第1批,总第10批”,157款App“榜上有名”。
657款遭通报App涉及教育类、生活服务类、游戏类、社交类、医药健康类等16个类别,其中工具类最多,占比达到15.68%;教育类、生活服务类、视频直播类、游戏类、交通出行类、电商购物类、社交类紧随其后,占比在7%-9%之间;母婴亲子类、招聘类较少,占比不足2%。
多数App在通报后能及时整改,再次被通报的情况较少,但360清理大师、叮嗒出行、千千音乐等26款App被两次点名。
从通报的App所涉问题看,2019年11月的“工信部信管函〔2019〕337号”整治工作通知将违规App涉及的问题分成“违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、账号注销难”四大类及八小类,前五批通报也遵循了这一说法。
2020年7月,“工信部信管函〔2020〕164号164号”整治行动通知则将问题分为“App、SDK违规处理用户个人信息,设置障碍、频繁骚扰用户,欺骗误导用户,应用分发平台责任落实不到位”四大类及十小类,后五批通报也沿用了调整后的问题表述。
综合上述两次分类并考虑到统计方便,记者把违规App所涉问题分为“违规收集用户个人信息、违规使用用户个人信息、App强制频繁过度索取权限、欺骗误导用户、应用分发平台责任落实不到位、为用户账号注销设置障碍”六类。
经不完全统计,多数App存在的问题数量控制在3类以内,但是王者荣耀助手、闪送、宾果消消消等15款App存在5类及以上的违规问题。有超过50%的违规App所涉问题为“违规收集用户个人信息”,而“App强制频繁过度索取权限”、“违规使用用户个人信息”的问题在被通报的App中各占20%左右,其余问题占比较小。
每一批通报发出后,工信部会组织第三方检测机构核查复检,对未按要求完成整改或者逾期不整改的App再行通报,并下架处理。
记者不完全统计发现,工信部官网公布的多批次下架名单共涉及169款App,草莓视频是唯一一个被两次通报下架的App。下架App中工具类仍然最多,占比16.67%;生活服务、电商购物类、游戏类、视频直播类、社交类App紧随其后,占比在8%-11%之间;整改通报中较多出现的教育类App则较少被下架。
此外,工信部组织的十一批检测发现,被通报的App来自24个应用商店,以腾讯应用宝、豌豆荚、OPPO软件商店、360手机助手、小米应用商店五大应用程序平台为主,分别占比24.60%、11.27%、10.83%、10.25%、9.81%。
就此,工信部已督促相关平台企业严格落实《移动智能终端应用软件预置和分发管理暂行规定》要求,落实企业主体责任。
“一共实现对62万款App的技术检测工作,责令2234款违规App进行整改。”在2021年1月26日国新办举行的2020年工业和信息化发展情况发布会上,工信部信息通信管理局局长赵志国公布了连续两年开展的专项行动数据。
不过,据公开资料,我国国内市场检测到的App数量超过500万款,这一数字也在不断增长。就此,由中国信息通信研究院研发的全国App技术检测平台已经启动,试图通过集成领先企业的技术检测能力,力争到2021年实现全年检测180万款App的目标。
违法成本低?App治理需打组合拳
如何对违规App套上“紧箍咒”,阻止对用户权益的侵害。近年来,多方在立法、监管、行业自律、技术维度、用户自我保护意识等方面试图寻求“良方”。
记者注意到,除了举起“监管之刃”,近年来《网络安全法》、《个人信息保护法》、《数据安全管理办法》、《个人信息出境安全评估办法》、《规范互联网信息服务市场秩序若干规定》、《电信和互联网用户个人信息保护规定》、《移动智能终端应用软件预置和分发管理暂行规定》等系列法律法规的出台完善也试图扎紧对个人信息保护的“制度篱笆”,以规范秩序。
最新消息也显示,针对App强制授权、过度索权、超范围收集个人信息等现象大量存在,违法违规使用个人信息问题突出,《移动互联网应用程序个人信息保护管理暂行规定》即将出台。
《暂行规定》共计22条。以App开发运营者、App分发平台、App第三方服务提供者、移动终端电信设备生产者和网络技术服务提供者作为重点监管服务的对象,规定了五类主体应当遵循的个人信息保护总体要求和应承担的义务。相关主体如果违反规定,将依次按照通知整改,公开通报,下架处置,断开接入流程进行处置。
此外,针对一些企业在整改过程中存在推诿、阻挠、故意拖延的现象,监管层召集掌握大量互联网用户信息的主要商事主体负责人,督促就此公开表态。
2020年11月27日,在全国App个人信息保护监管会上,苏宁控股、蚂蚁集团、爱奇艺、360、小米集团、新浪微博、快手、哔哩哔哩、滴滴、阿里巴巴集团、百度集团等11家互联网公司主要负责人就加强用户权益与个人信息保护、规范信息搜集使用模式、建立健全投诉反馈机制、落实企业主体责任和法定义务等内容做出了公开承诺。
“要把App侵犯用户权益整治工作作为各家企业的核心工作来抓,要一把手负总责。”2月5日的监管座谈会上,刘烈宏称,对有令不行、整改不彻底、反复出现问题、搞技术对抗的企业和App采取停止接入、行政处罚及信用管理等措施严厉处置。
但现实案例反映,仅仅靠监管、立法、企业自觉践行主体责任等并非能一劳永逸。
在2月5日的监管座谈会上,刘烈宏也坦言,需打好综合治理组合拳,需要全社会群策群力。“多方共治、协同发力。”记者采访中,多位长期关注保护用户个人信息安全领域的专家也给出了共同意见。
“现在的情况是我们立了法,但法律太松了。”信息安全专家何展强在接受澎湃新闻采访时认为,整改违规App,尽量降低个人信息泄露的可能性,出台法律条例只是第一步,提高相关法规的惩罚力度才是关键。
他认为,每个月发一次公告的震慑力确实有限,很多App开发者换个版本就能继续上线,最重也不过是几十万元罚款,违规所付出的成本远远低于它带来的收益,而诸多拥有国有背景的App运营商同样存在违规问题也是“立法不严”的原因之一。
“一些App开发者的行为已经违反法律了,单靠工信部通报是没有用的,需要实质性处罚,比如罚款、市场禁入、甚至判刑。”独立通信专家付亮对澎湃新闻坦言。
通信世界全媒体总编辑刘启诚认为,除处罚力度小之外,用户不重视自己的数据泄露问题也为App一再违规提供了缝隙,李彦宏曾备受争议的“隐私换便利”观点在中国随处可见。使用者需有自我保护意识和维权意识,减少非必要App使用的同时,联合起来跟过度索取信息的不良厂商说“不”。
赛迪智库网络安全研究所所长刘权在接受媒体采访时建议,应进一步细化个人信息采集边界,通过配套标准规范“明确”不同类型、不同应用场景下的App获取用户权限的范围,引导开发商只获取与业务功能相关的权限,压缩运营者的自由裁量空间。还可以通过建立奖惩机制,让应用商店积极参与到审核工作中来。
从技术维度层面看,可以从移动端系统考虑,比如在App安装前禁止自动打开权限,安装后通过应用日志监管权限打开情况。若App存在“偷听”、“偷看”等违法收集个人信息行为,系统通过某种方式给用户做出提示。
同样,《中国电子报》综合多位专家观点后写到,在个人隐私数据保护方面,数据输出方、数据采集方和平台监管方皆需承担相应的责任。
对于App开发和运营商而言,一方面应加强自律,仔细研究相关法律、法规,严格遵守知情同意、最小必要等基本原则;另一方面也要提高网络安全意识,防范数据窃取、违规爬取、采集传输泄密等安全风险。而对于应用商店平台而言,需要进一步树立责任意识,规范App审核上架机制,加强操作系统权限管理能力,积极应用新技术提升监管效率。
对于个人用户而言,要在使用App过程中加强自我保护意识,谨慎对待收集、使用个人信息行为,善于拒绝不必要的权限申请。
“App使用者应提升个人信息保护的意识,应该成为一种上网自觉。”西安交通大学人工智能方向一位在读研究生向记者吐露,排除偷偷读取用户信息,他现在打开App,看到要读取通讯录、位置、相机、照片、麦克风等信息,都会先思考下看是否是正常使用App的必要条件,有些完全是过度索权,不同意也不影响正常使用。“这样做,是给个人信息自我‘加锁’。”
(本文原始数据来源:工信部官网 统计制图:段景文 赵思维)