16类APP首迎规范监管“隐私换便利”时代能否终结?
2019-01-08谢慧华
谢慧华
6月1日,全国信息安全标准化技术委员会发布《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》(下稱《规范》),App超范围收集、强制授权、过度索权等个人信息安全问题有望得到进一步规范。《规范》依据个人信息收集最少够用的原则以及不同种类App的业务范围,对地图导航、网上购物、餐饮外卖等16类App收集个人信息的范围给出了参考。随着《规范》的发布,移动互联网的隐私安全问题是否有望得以解决呢?
为App隐私安全立法势在必行
App窃取用户隐私一直是网络安全的重灾区,随便打开一款新安装的App,启动界面就会接连跳出多项权限申请。要想进一步使用App的功能,注册时还必须一并同意其附带的《隐私政策》。细读这些条款,充斥着大量技术专用名词,将收集隐私美其名为“保护隐私”,却对收集后如何安全保存避而不谈。不给权限,不同意《隐私政策》,就只能退出应用界面。
2018年底,中国消费者协会发布的《100款App个人信息收集与隐私政策测评报告》显示,10类100款App中,多达91款App列出的权限存在涉嫌“越界”过度收集用户个人信息的问题。特別是在有关隐私条款上,报告显示当前许多手机App存在诸如隐私条款笼统不清,不主动向用户展示或展示内容晦涩冗长没有为用户提供访问、更正、删除个人信息的途径,大量收集与所提供服务无直接关联的个人信息等典型问题。
2019年1月25日,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,决定自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。App运营者收集使用个人信息时,不得收集与所提供服务无关的个人信息,不得以默认、捆绑、停止安装使用等手段变相强迫用户授权。为规范App收集、使用用户信息特別是个人信息的行为,市场监管总局、中央网信办还从2019年3月起开展App安全认证工作,并鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的App。
《规范》明确界定16类基本业务功能
《规范》指出,移动互联网应用个人信息收集活动,主要依据《信息安全技术个人信息安全规范》的“个人信息安全基本原则”,遵循权责一致、目的明确、最少够用、选择同意、公开透明、确保安全六个原则。针对App的基本业务功能,明确界定了保障其正常运行所需收集的个人信息,给出了每类业务功能相关的必要信息范围。
同时,《规范》首次对《中华人民共和国网络安全法》提出的“合法、正当、必要”原则中的“必要原则”给出具体界定,将App“非越界”索取的信息分为了通用功能相关必要信息与基本业务功能相关必要信息两类。其中,基本业务功能是指满足个人信息主体选择使用App的最主要需求和根本期待的业务或功能。《规范》清晰界定了地图导航、网络约车、即时通讯社交、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务、婚恋相亲、求职招聘、金融借贷、房产交易、汽车交易等16类基本业务功能相关的必要信息范围。
其中,地图导航类应用的基本业务功能必要信息仅为位置信息,包括精准定位信息和行踪轨迹;短视频类应用只能获取用户关注的账号信息但自媒体用户则需要提供姓名、证件和证件号码等用于实名认证的信息,大大缩小了获取范围。针对目前较多App读取用户通讯录的要求,《规范》也给出了明确的范围限制。比如针对金融借贷类应用,《规范》要求应允许用户手动输入两位紧急联系人信息;即时通讯社交应用应该允许用户手动添加好友,而不应强制读取用户的手机通讯录。
《规范》中还指出,浏览、搜索、点击等操作记录通常是非必要信息,收集时应告知用户并征得其同意;保存和使用个人上网记录时,对个人信息进行去标识化处理;使用个人上网记录用于分析用户画像进行个性化展示和推荐时,告知用户使用目的,并提供用户退出定向推送模式选项。以新闻资讯类应用为例,存在聚合类新闻应用需收集用户的浏览操作记录。根据《规范》,该业务功能应告知用户并征得其同意,如果用户拒绝,App应提供让其退出定向推送模式的渠道。
《规范》之外,我们还能做什么?
需要注意的是,《规范》并没有限定App完全不能超出必要性范畴收集信息但是必须得有充分的理由,或者额外的规定,比如国家的法律法规或行业管理要求等等,并且允许用户自主选择同意。这给了App可乘之机。根据《规范》,“求职招聘”类App可以索取的必要信息包括用户注册的手机号码、账号信息、求职者基本信息、教育信息和工作经历信息等。但在截稿前,我们在正规应用商店下载的《智联招聘》,依然需要读取应用列表、位置、通讯录等与上述可索取信息并不相干的权限,且并未提示为何开启这些权限。对于位置信息,我们还能理解为推荐附近的工作机会,但通讯录和应用列表完全与求职招聘业务无关。与之对比同属于“求职招聘”类《BOSS直聘》与《前程无忧》只开启了位置信息。由此可见,除了法律方面的不断完善,企业加强自律,从源头上减少被泄露的信息量,作为使用者的用户依然需要加强自我防范意识。
在使用手机的过程中,我们应当积极管理手机隐私权限,在安装软件时就将有些涉及隐私信息但又不必要的权限关闭;选择正规的下载渠道,安装过程中认真阅读App要求的访问权限和隐私条例;提高自我隐私安全保护意识,不要轻易授权密码记录等核心隐私数据。
“隐私换便利”并不会随着《规范》的出台而终结,但我们应该明白:针对功能的必要隐私可以牺牲,但非必要隐私万万不可泄露。