个人隐私频频失守 千余款App平均申25项权限

2019-12-23 13:52:56

来源:工人日报

光大银行App用户隐私政策条款

光大银行App用户隐私政策条款

使用银行App还需要获取性取向、婚史、好友列表、精准定位信息?

近日,据国家网络安全通报中心透露,又有100款违法违规采集个人信息的App被查处整改,光大银行、更美、考拉海购、微店等知名App在列。通告指出,此次集中整治,重点针对无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形。

其中,在发布日期为2019年10月30日的《中国光大银行手机银行隐私政策》罗列的可能收集的个人信息及收集信息范围一项内容备受争议,引发人们再度质疑:App刺探用户隐私的“手”,究竟能伸到哪儿?

千余款App每款平均申请25项权限

《中国光大银行手机银行隐私政策》在个人信息范围描述的相关条款中,“个人敏感信息”一项中列出的“其他信息”,包括个人电话号码、性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通讯录、好友列表、群组列表、精准定位信息、网页浏览信息等14项内容。

一款金融类App为何要获取这么多用户个人敏感信息?记者下载使用后发现,如果选择暂不同意该隐私政策,则无法使用光大银行手机银行的相关服务。

针对此事,光大银行在其官网发布说明称:“光大银行高度重视提升客户体验与客户隐私信息保护工作,切实保证用户个人信息安全,目前提示的用户隐私政策条款符合相关要求。光大银行手机银行App一直正常运行,从未停止过服务。”

有业内人士认为,银行App在隐私政策中列出此类条款,违反了监管部门对信息获取最少够用原则。根据2018年5月1日实施的《信息安全技术个人信息安全规范》,网络运营者或者其他个人信息收集者,除与个人信息主体另有约定外,只处理满足个人信息主体授权同意的所需最少个人信息类型和数量。目的达成后,应及时根据约定删除个人信息。

迈入移动互联时代,大数据的价值日益凸显,但稍加梳理即可发现,许多App也在借收集数据之名,不断刺探获取用户隐私的边界。

“大众点评”App曾出现用微信登录后,酒店、餐厅等地方的签到点评信息就全部出现在好友面前;航旅纵横App开通的“虚拟客舱”功能,乘客可以查看同一航班其他乘客的历史飞行地点及频率等信息,还有用户在使用后收到骚扰信息;此前曾引起轩然大波的滴滴顺风车的车主乘客互评功能,人未上车司机就已知晓你“颜值几何”……

来自国家互联网应急中心监测分析发现,在目前下载量较大的千余款移动App中,每款应用平均申请25项权限,平均收集20项个人信息和设备信息。通常与主业无关的通话权限,就有30%以上的App申请。

注册充值后就可定位或查询动态轨迹

“我每天都要接到好几个陌生电话,不接怕遗漏重要电话,接来一听全是问要不要买房、贷款,要不要给孩子报补习班。”面对骚扰电话,北京的陈女士苦不堪言。

有业内人士表示,大多数App都会要求获取访问用户应用程序列表的权限,他们就可以在用户不知情的情况下,分析用户对应用程序的使用习惯,来推测出用户的爱好。这些信息可能与App的主业无关,但却能够帮助企业给用户做画像,从而进行商业营销。

除了App过度索取权限导致的隐私泄露,还有一些不法App专门获取用户隐私信息谋利。

今年初,江苏南京警方破获一起通过技术定位侵犯公民个人信息案。去年1月,一名男子报警称,讨债人员利用手机定位软件,实时定位到了他聊天账号的位置,结果对方找上门,使他人身安全受到威胁。

警方介入调查后发现,讨债人员是使用了一款名叫“App神探”的定位软件,只需把想要定位的人的聊天软件账号输进去,点击查询,就可以查询静态位置或动态轨迹。

据民警介绍,用户要先在该App软件上注册成为会员,充值后才能使用定位功能。如果对方在线,定位一次只要1元。如果对方不在线,定位一次要10元。案发时,这款定位软件已经吸引了4000多名注册用户,涉案金额40余万元。

App过度索取权限、个人隐私信息一旦泛滥便会造成极大的危害。例如身份证号会被用于贷款、办黑卡,甚至被不法分子用来办理手机卡用于电话诈骗。

获取用户信息应合法正当且必要

个人隐私频频失守,App索取用户信息的边界究竟在哪儿?

北京志霖律师事务所律师赵占领表示,根据网络安全法的规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则。

“应用软件索取用户信息的边界,主要是依据必要原则。对于必要原则通常的理解是,比如基于法律本身强制性规定的情况,要求App进行实名制认证,就需要收集如用户身份证号码等信息。”赵占领说。

“第二种情况就是基于这种产品本身的功能特点。比如地图软件就需要收集用户的位置信息,社交软件就可能需要读取你的通讯录。”赵占领表示,“还有第三种情况就是为了改进用户体验而收集用户信息,而这种情况往往容易产生争议。”

2019年6月1日,全国信息安全标准化技术委员会秘书处编制发布了《网络安全实践指南——移动互联网应用基本业务功能必要信息规范(V1.0)》,给出了地图导航、网络约车、即时通讯社交、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务、婚恋相亲、求职招聘、金融借贷、房产交易、汽车交易16类基本业务功能正常运行所需的个人信息。

“这个文件非常具体,第一次规定了各种不同类型软件收集个人必要信息的具体范围,是对必要原则进行的细化。但这个国家标准是属于推荐性标准,没有强制约束力。监管部门在监管时可以作为参考。”赵占领认为,今后还需要建立常态化的执法机制,对App违法采集个人信息长期保持监管的高压态势。

有业内人士分析认为,互联网公司在开发手机App的同时,一定要确保所得数据的私密性,维护用户数据隐私不受侵犯。

“应用软件收集用户个人信息,还需要明确告知收集个人信息的范围,收集的用途,并且经过用户明确同意,这是基本的原则。”赵占领表示,如果用户发现某个企业违反相关原则,或者未经同意就读取用户的相关信息,就可以向相关部门举报投诉。

关键词: App 权限