APP“不同意授權就不能用”將成歷史
楊佳 繪
日前,中央網信辦官方對外通報,在中央網信辦、工信部、公安部、市場監管總局指導下,APP專項治理工作組開通了違法違規收集使用個人信息舉報渠道,認真受理網民舉報。期間,工作組收到大量關於APP強制、超範圍索要權限等舉報信息。
據南方日報記者瞭解到,從中央網信辦公佈的信息顯示,APP專項治理工作組對包括餐飲外賣、地圖導航、網上購物、短視頻、金融借貸、工具軟件、即時通訊、交通票務、瀏覽器、拍照美化、社區社交、輸入法、網絡支付、新聞資訊、學習教育、網絡遊戲、影音娛樂以及其他近20大類共計100款APP申請權限以及強制開啟的權限進行了分析統計,其中結果顯示,100款常用APP無一例外存在申請收集使用個人信息權限的現象。
針對目前APP行業的現狀,國家互聯網信息辦公室28日就《數據安全管理辦法(徵求意見稿)》向社會公開徵求意見。徵求意見稿提出,網絡運營者不得以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由,以默認授權、功能捆綁等形式強迫、誤導個人信息主體同意其收集個人信息。
在法律界人士看來,國家進一步通過法律法規來規範網絡運營者收集個人信息、數據收集處理應用等方面,將會對用戶的個人信息保護起到關鍵的作用。
現象
超六成常用APP“強行”收集個人信息
中央網信辦方面表示,規範APP申請收集使用個人信息相關權限,對於加強APP個人信息保護具有重要意義。
據瞭解,權限是操作系統內置的訪問控制機制,安卓(Android)操作系統通過權限來控制APP對系統資源和個人信息的訪問使用。APP只有在系統層面獲取了某項權限,才能執行與該權限有關的操作。例如,APP獲取READ_CONTACTS(讀通訊錄)權限,就能讀取手機的通訊錄信息;獲取ACCESS_FINE_LOCATION(訪問精準位置)權限,就能得到手機的精確位置信息。
據中央網信辦方面透露,目前常用的原生安卓操作系統有26個重點權限與個人信息收集使用密切相關,經過APP專項治理工作組對下載量大的100款APP申請權限以及強制開啟的權限進行分析統計後發現,這100款常用的APP無一例外存在申請收集使用個人信息權限的現象,其中360手機衛士申請收集個人信息相關權限數更是多達23個。在100款常用APP中,有61款更是在用戶不同意開啟相關權限的情況下APP無法安裝或運行。
一邊是大量APP要求用戶開通權限獲取用戶信息,而另一邊則是個人信息的頻頻洩露。據南方日報記者瞭解到,近年來,信息洩露事件屢屢發生,而APP過度索要授權是個人信息洩露的導火索之一。2019年中央電視臺3·15晚會曝光多家科技企業存在私自採集個人信息的情況。另據“電子商務消費糾紛調解平臺”近年來受理的全國數十萬起電商投訴案件大數據表明,包括噹噹網、蘇寧易購、國美在線等在內的電商平臺,以及攜程、去哪兒等在內的生活服務O2O平臺,均曾出現用戶信息洩露事件。而僅2018年,就多次出現用戶個人信息洩露事件,圓通、順豐十幾億條個人信息在暗網被出售,以及12306數百萬條旅客信息在網上被出售等。
網經社-電子商務研究中心法律權益部分析師姚建芳在接受南方日報記者採訪時就認為,互聯網APP運營者不能過度收集用戶信息,同時應保證個人信息的安全,企業最好建立健全用戶個人信息安全內控機制,採取一切合理可行的措施,保護用戶個人信息。而對於有必要收集個人信息的,法律界人士則認為互聯網運營商有義務保護用戶信息安全。網經社-電子商務研究中心特約研究員、北京盈科(杭州)律師事務所方超強律師就認為,根據《網絡交易管理辦法》第25條第二款規定,第三方交易平臺經營者應當採取必要的技術手段和管理措施保證平臺的正常運行,提供必要、可靠的交易環境和交易服務,維護網絡交易秩序。網絡運營者在獲取個人信息的同時,就有保護個人信息的義務。
新規
APP不能強迫個人授權收集信息
為了維護國家安全、社會公共利益,保護公民、法人和其他組織在網絡空間的合法權益,保障個人信息和重要數據安全,根據《中華人民共和國網絡安全法》等法律法規,國家互聯網信息辦公室會同相關部門研究起草了《數據安全管理辦法(徵求意見稿)》(以下簡稱“《數據安全管理辦法》”)並對外發布,開始向社會公開徵求意見。據瞭解,《數據安全管理辦法》對網絡運營者在數據收集、處理使用、安全監督管理三方面作出了要求,包括企業利用用戶數據和算法推送新聞信息、商業廣告時,應標明“定推”字樣、併為用戶提供停止接收定向推送信息的功能等。
值得留意的是,南方日報記者瞭解到,在《數據安全管理辦法》明確指出,“不得因個人信息主體拒絕或者撤銷同意收集上述信息以外的其他信息,而拒絕提供核心業務功能服務”,這對目前大量APP以“不同意授權就不能用”來要挾用戶的行為進行了糾正。
“《數據安全管理辦法》針對網絡爬蟲等抓取網頁的自動化手段,明確限制在不妨礙網站正常運行的範圍內,並列明具體的訪問收集流量不得超過網站日均流量1/3;針對‘大數據殺熟’等歧視性推送行為,其要求網絡運營者開展定向推送活動應誠實守信,嚴禁歧視、欺詐等行為。《數據安全管理辦法》針對新型數據的安全管理的規定能及時填補因社會發展導致的法律漏洞,具有前瞻性。”上海漢盛律師事務所高級合夥人律師李旻在接受採訪時就表示,《數據安全管理辦法》對於近年來層出不窮的網絡數據安全問題予以細化規定,如對以往手機APP過度獲取權限的問題,其要求“網絡運營者不得以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由,以默認授權、功能捆綁等形式強迫、誤導個人信息主體同意其收集個人信息”;對數據洩露才確定網絡安全負責人的問題,其明確數據安全責任人的任職要求,突出網絡運營者主要負責人、數據安全責任人的姓名及聯繫方式等。
李旻律師認為,儘管《數據安全管理辦法》尚存在部分概念及定義有待明確等問題,但從加強公民個人信息保護意識、規範企業數據處理活動的角度來看,其影響不容小覷。“大數據時代的數據安全管理尤為重要,《數據安全管理辦法》是我國逐步構建數據安全監管的框架的初步成果,也是維護網絡空間主權和國家安全的必然要求。”