日前,国家网信办发布了《关于腾讯手机管家等84款APP违法违规收集使用个人信息情况的通报》(下称《通报》),其中指明:36款安全管理类APP及48款网贷类APP因违法违规收集、使用个人信息,给予点名通报处理。
《通报》在“工作要求”项目中提到:针对检测发现的问题,相关APP运营者应当于本通报发布之日起15个工作日内完成整改,并将整改情况报网信办,逾期未完成整改的网信办将依法予以处置。
记者梳理发现,被通报的36款安全管理类APP中,四分之一的APP运营公司集中在广东,其中广州5家、深圳4家;48款网贷类APP中,运营者集中在广东、上海、重庆和北京,其中广东涉事企业最多,达12家,深圳有7家,广州4家、珠海1家。
在本次被通报的84款APP中,腾讯手机管家、360手机卫士等安全管理类APP涉及收集与其提供的服务无关的个人信息或未经用户同意收集使用个人信息等违规行为;360借条、平安消费金融、中原消费金融等网贷类APP未经用户同意收集使用个人信息,滴滴金融等平台也涉及收集与其提供的服务无关的个人信息等违规行为。
对于点名通报和近期相关法律法规的出台,广东金唐律师事务所律师齐岩冰在接受《华夏时报》记者采访时指出:“国家的立法行为和点名通报,和近几年网络侵害隐私权等人身权益的行为较为猖獗密切相关。特别是在网贷、安全管理、网购约车等领域,广泛存在隐蔽或潜伏式收集、超范围收集使用、强制或捆绑收集使用个人信息的行为以及非法泄露、去除设障或投诉无响应等问题。”
齐岩冰向记者强调:“本次网信办的通报批评责令改正,只是其中最轻微的处罚,而事实上,个人认为,如果有列表中查实的违法行为,只是责令改正,显然是不够的。”
84款APP违法违规获取个人信息
以华为应用市场的数据为标准,在此次被点名通报的84款APP中,36款安全管理类APP占划归至最相近类别:安全性能类APP(共120款)的30%;而48款网贷类APP占应用市场201款网贷类APP的比例为23.88%。这84款APP三成左右的违规比例揭示出APP违法违规收集、使用个人信息现象的普遍性。
揭发是必须的,整治是必要的。此次事件与手机用户的切身利益密切相关,在这个大数据时代,用户信息被视为重要资源,但信息获取的渠道是否正规就是商家“君子是非”的选择了。
这84款APP违法违规遵循着它们一贯的套路,他们明知违法违规收集、使用个人信息是错误的行为,但它们还是寄希望于把违法违规的行径藏匿于正规手段之下以获得更多的数据资源,从而实现更大的商业利益。
通常情况下,人们对于自己的隐私信息有本能的保护,同时这一保护的权利受到法律的保障,因此商家不会直白的声称当用户成功登录APP时隐私信息应该输送给商家,或者它们也不会强制执行信息的搜集及获取。在此情况下,商家会采用征询的方式获得用户手机权限的同意权,而它们获取的访问权限通常包括:手机的设备信息、定位信息、图片及相册信息、联系人信息、通话记录信息等,有的APP甚至还包含日历信息的搜集及获取。
家住深圳的肖女士(化名)告诉《华夏时报》记者:“我没有向什么网贷公司填写或者告诉任何个人的隐私信息,我甚至都没有接触过这方面的销售人员,但却会接到网贷公司的电话,询问我是否有贷款需求,不知道这些信息的泄露和我在APP上填写的个人信息被倒卖有没有关系。”虽然不能确认肖女士的个人信息是否和在APP上填写的个人信息被倒卖有关,但这却给像肖女士一样的用户带来了心理困扰与负担。
为了规范APP个人信息收集行为,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合制定了《常见类型移动互联网应用程序必要个人信息范围规定》(下称《规定》),于今年5月1日起施行。其中明确指出:安全管理类APP的基本功能服务为“查杀病毒、清理恶意插件、修复漏洞等”,无须获取个人信息即可使用基本功能。
这次被点名的腾讯手机管家属于“安全管理类”APP,针对检测发现的问题,相关App运营者应当于《通报》发布之日(5月10日)起15个工作日内完成整改。但记者于5月15日在腾讯手机管家的《隐私条款》中发现,系统《隐私条款》的更新日期及生效日期均为2021年3月16日,这说明运营商尚未对违法违规条款作相应的更改或删除。
记者了解到,腾讯手机管家《隐私条款》的违法违规内容较多。在“我们可能手机的信息”项目下,腾讯手机管家列示“如您拒绝提供(被要求提供的个人信息),则将无法使用我们的微信安全中心、QQ安全中心、我的资料和我的积分功能”;另有“如您拒绝提供(被要求提供的个人信息),则将无法使用我们的账号和资料保护功能”。而完全不符合5月1日施行的《规定》要求的条款有“我们会手机您的设备标识信息、设备硬件及系统参数、网络类型、系统日志等信息”等等。
此外,“广告服务”中还有这样的表述:“我们也可能使用您的信息,通过我通过我们的服务、电子邮件或其他方式向您发送营销信息,提供或推广我们或第三方的如下商品和服务。”显然,该条款不符合《规定》的要求。
齐岩冰向《华夏时报》记者表示:“法律法规的出台发布使得腾讯手机管家此类手机安全管理类的软件,将不得以收集个人信息作为基本功能的使用条件,用户拒绝收集的,不得拒绝提供相应基本功能服务。超出基本功能服务的部分,涉及到收集、使用个人信息的,必须遵循合法、正当、必要性原则,事先公开其收集、使用的规则,明示收集、使用信息的目的、方式和范围,并经消费者同意。”
“实际上,腾讯手机管家的多数功能已经超出了安全管理类的基本功能设定,但在信息收集中虽然部分经过了指引的明示,但明示的内容中很多涉嫌超出了合法、正当、必要性原则,且没有取得用户事先许可,而是事后由用户依照指引去选择关闭或删除,甚至强制许可或无法关闭、删除。”齐岩冰表示。
一般情况下,搜集获取必要信息是正常使用APP所必需的,但违法违规使用不属于执行APP本身功能所应获取的信息就应该受到监管与管控,这不仅仅是对用户权力的保护,同时也是道德与法律准绳在企业运营管理中被置于何等位置的议题。
早在2018年6月中旬,中消协就曾发起的一项APP个人信息保护情况测评活动中,其邀请专家对APP用户协议、隐私条款政策进行审核,并进行打分排名。参与测评的APP共计10类。在10类100款APP中,金融理财APP得分最低,仅有28.91的得分,与第一名69.82分相差超过40分。正如84款被点名通报的APP中,网贷类就占据了48项,可见金融理财类APP是个人信息隐私政策“落水”的重灾区。
到了2020年,艾媒报告发布的中国手机APP隐私权限测评报告显示,65.3%的受访网民认为读取通话记录属于侵犯隐私,55.4%的网民认为读取联系人属于侵犯隐私。而APP授权项目中,相机被调用的情况达到97%,其次是定位信息的95%,第三位是录音信息的85%。与2018年相比,金融理财类APP获取权限的信息范围依然非常广。
由此可见,图片及相册信息、定位信息、录音信息几乎成了“逢APP必获取”。而且,隐私似乎正在成为一个陈旧的词汇,概念变得越发被侵蚀了。并且,与其说是人们不愿自身的隐私信息被泄露,不如说是人们不知应该如何保护自己的隐私信息。
“聪明”的商家公开的“霸王条款”让用户不得不同意APP所列示的个人信息与隐私条款,因为不同意就意味着无法使用APP或者无法正常使用其中的部分功能,这就给用户带来了不便,在进退两难中,用户只好选择妥协,这就成了一种“迫不得已”的选择。
国家出手打击
此次点名,意味着APP非法违规获取个人信息大行其道的行径被国家出手遏制。
根据上述《规定》,地图导航类APP获取用户信息范围为:位置信息、出发地、到达地;即时通信类APP获取用户信息范围为:移动电话号码、账号信息;网上购物类APP获取用户信息范围为:移动电话号码、收货人姓名、地址、电话、支付时间、金额、支付渠道等信息。《规定》还对其它领域的个人信息获取范围作了规定,另有13类APP无需额外获取用户信息即可正常使用。
事实上,这并不是国家第一次出手。早在2019年12月30日,国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅就曾联合印发《APP违法违规收集使用个人信息行为认定方法》(下称《认定方法》)的通知。
齐岩冰对《华夏时报》记者表示:“今年,国家明显加强了利用网络违法收集用户个人信息的打击力度,今年生效的《民法典》,首次在基本民事法律中较为全面规定了网络用户信息保护的内容和责任;最高人民法院紧随其后,专门出台了关于利用信息网络侵害人身权益的相关规定。”
“国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅则联合出台了《规定》《认定方法》。至此,从宏观的基本法律到具体违法细节指引的部门规章,一个较为全面的公民个人信息保护的法律保护网络才算构建了起来。此次国家网信办对于84款APP的通报,正是以上新规落地后的首次国家层面的行政处罚。”齐岩冰补充道。
这一次《规定》的出台其实是法律法规向前更近了一步,是国家继《认定方法》后的再次出手。其管控范围更加聚焦,条令也更加清晰、明确、具体。这也意味着:倘若手机APP收集、使用了规定范围之外的用户个人信息,用户完全可以举报并明确依照法律法规说明原因。
国家接连出手,这说明了APP违法违规收集、使用个人信息的现象很猖獗以及用户对该违法违规行为的怨声载道。
信息非法违规获取原因显见。在这个大数据时代,用户信息变得非常重要,商家争相在获取用户信息上下功夫,这里面也滋生了地下倒卖用户隐私信息、黑色产业链等犯罪行为。
齐岩冰对此表示,网络立法的脚步似乎滞后于网络犯罪,这同互联网高度多元和极富变化的特性有关。但至少从今年开始,我们看到了国家在逐步丰富和充实违法认定标准的努力和突破,日后相关的规范和细则将会越来越加强和完善。
消费者权益保护法对违法违规收集、使用个人信息,未遵循合法、正当、必要性原则、未经用户允许采集信息、未列明信息使用办法、用户拒绝提供信息后继续使用信息等行为的最高处罚为违法所得十倍或50万元罚款(停业整顿、关闭网站、吊销营业执照除外),网络安全法则将罚款拔高到100万元,并可对相关责任人员最高处以10万元的罚款。而依据刑法最高可处3年有期徒刑并处罚金。
此次点名通报是否能够起到应有的效果,是严加惩治还是“轻轻放下”,我们要静待时间给出答案。然而,作为大数据时代微小的个体(用户),我们无力抵挡时代的浪潮,每个个体不是站在巨浪之巅,而是脚踩大地。面对APP违法违规获取个人信息的行径,我们应该有意识地拿起法律武器维护自身正当权利。