索取個人信息花樣多 存在侵害用戶權益隱患 法律監管有待完善
APP越界索權 個人信息安全怎保
新華社發
1月3日,支付寶開放年度個人賬單查詢之后,其APP存在默認選項誘使用戶授權芝麻信用使用個人信息事實在網上曝光。隨后,百度、今日頭條也相繼因涉及用戶隱私問題陷入輿論漩渦而被工信部約談,引發了社會對使用手機APP時存儲個人信息安全問題的討論。
微信聊天、淘寶購物、百度地圖導航……隨著智能終端設備的普及,用戶如何在享受網絡產品和服務帶來便利的同時,更好保護自身合法權益?針對這些問題,記者進行了調查。
過度收集、隱秘收集、誘騙收集,手機APP索取用戶個人信息花樣多
網上約車、購物、叫外賣……從早上一睜眼到晚上睡覺,省會市民周凱杰幾乎每時每刻都享受著手機APP帶來的便利。在他看來,沒有手機的生活已不能想象。
但看到DCCI互聯網數據中心發布的《2017年中國Android手機隱私安全報告》時,他還是吃了一驚。報告顯示,非游戲類APP 2017年越界獲取通話記錄和越界讀取彩信記錄出現較大幅度增長。
“這不意味著我在使用這些APP時,個人信息已經泄露了嗎?”周凱杰表示,這種感覺就好像自己成了一個“透明人”。
事實上,通過越界索權獲取用戶個人信息的APP不在少數。記者打開自己手機中的應用商店,隨機搜索安裝了7款軟件,絕大部分軟件都要求用戶開放存儲、位置信息、電話等權限,還有1款要求開通訪問通訊錄的權限。
和周凱杰一樣,很多“手機控”在下載APP時,或許并沒有閱讀或者讀懂這些軟件中的隱私條款,也不清楚軟件是如何收集、使用、轉讓用戶個人信息的,便直接同意安裝。然而就是這么一個簡單的動作,APP便會完成訪問通訊錄、讀取通話記錄、讀取短信記錄、讀取位置信息、監聽手機通話等一系列行為,一不留神用戶的個人信息和隱私就泄露了。
“對手機APP用戶來說,個人隱私條款是用戶了解企業如何收集個人信息的一個主要窗口,同時也是用戶行使個人信息控制權的一個主渠道。”河北世紀方舟律師事務所律師閆博稱,近年來,網絡運營者對個人信息的過度收集、隱秘收集、誘騙收集以及“一攬子協議”強迫用戶同意霸王條款等,時常導致個人信息泄露、濫用以及非法交易等事件發生,對公民合法權益造成侵害。
對此,閆博建議,公眾在下載和使用應用軟件時應提高警惕,應選擇正規大型電子應用商店下載,在安裝時盡量關閉重要的隱私權限,待后續使用過程中再根據需要開啟,當使用中涉及財產操作時尤其要小心謹慎,防范可能出現的網絡詐騙。
追求商業利益最大化,導致APP運營者越界索權
“我把手機里的APP全都卸載了。”提起個人信息泄露,家住省會陽光新城小區的陳女士至今心有余悸。
前段時間,陳女士在使用一款手機游戲APP時手機號碼被盜取,險些損失慘重。“當時我只是在下載后隨便勾選了幾個權限授予選項,誰知道過了一會兒便收到短信提示,顯示我的手機被設置了呼叫轉移。”
意識到有人正在盜用自己的手機號碼,陳女士馬上修改了密碼。然而即便只有短短幾分鐘,陳女士還是收到了短信消費提示,顯示她在某網上商城購買了商品。
為了弄明白自己到底買了些什么,她馬上聯系了該網上商城客服電話,工作人員在查詢后告訴陳女士,在電話被呼叫轉移期間,她購買了一件價值500元的商品。
考慮到自己的手機號碼、支付密碼等相關信息可能已經泄露,陳女士趕緊解除了所有與手機綁定的銀行卡,還辦理了停機業務。
“陳女士的遭遇并非個例。”閆博表示,調取手機的某些權限是手機APP運行的必經步驟,然而并非所有的APP都能做到“安分守己”,很多山寨和盜版APP會通過調用大量權限的方式,侵害用戶的個人隱私和財產安全。
網絡運營者為何熱衷于索取用戶個人信息?
“大數據時代,用戶的每一次點擊鼠標,每一次撥打電話……都會有海量數據生成,這些數據代表了一個人的某些特征,數據越多也就會越精準,其營銷價值就越大。”1月11日,在省會某寫字樓內,一位不愿意透露姓名的某搜索引擎公司工作人員告訴記者。
隨后,這位工作人員在工位上為記者現場演示了如何用后臺系統將一款體育產品廣告通過添加關鍵詞、投放設備范圍、投放地域等操作,推送到全省范圍根據日常網頁瀏覽痕跡推測可能是籃球愛好者的用戶智能終端設備上。“無論是使用電腦還是手機,只要這位用戶再瀏覽與籃球相關的任何媒介頁面,這則廣告便會以自動彈窗的形式呈現,而只要用戶點擊,廣告投放商就要向我們支付一定費用。”
“在個人信息的利用上,互聯網企業與用戶之間存在著一定的矛盾:企業希望盡可能多地獲取用戶個人信息來進行商業利用,而個人用戶希望其信息不被或者盡量少地被企業使用或者商業利用。”閆博稱,正是為了獲取用戶個人信息中隱藏的巨大商業利益,許多企業和不法分子才會鋌而走險,偷偷在APP上做手腳。
完善法律、加強監管,營造安全有序的網絡社會環境
“事實上,對于手機APP過度索取用戶個人信息的行為,相關部門早有規定。《移動互聯網應用程序信息服務管理規定》就指出,未向用戶明示并經用戶同意,不得開啟收集地理位置、讀取通訊錄、使用攝像頭、啟用錄音等功能。”閆博稱,去年6月1日起施行的《中華人民共和國網絡安全法》,在總則、附則外有10余處內容直接涉及用戶個人信息保護的條款,對嚴防個人信息泄露、濫用以及層出不窮的新型網絡詐騙犯罪作出規定。
“但與目前數據產業蓬勃發展的狀況相比,相關法律和監管存在一定滯后性。”閆博認為,目前法律在保護公民個人信息方面存在諸多不足,一方面缺少有關個人信息保護統一的專項立法,另一方面保護個人信息的立法規定分散、不全面,沒有形成獨立、統一的原則、目標和措施,難以為個人信息保護提供切實有效的法律保障。
“目前法律對于不守法者的懲罰缺乏明確規定,缺少知名判例或罰則,因此也讓一些互聯網企業有了僥幸心理。”閆博建議,應盡快明確個人信息安全保護標準和操作程序,在必要的時候出臺個人信息保護法。“在將來的立法中,不但要完善個人信息主體范圍、個人信息管理者范圍以及調整范圍,還要重視行政責任、刑事責任的規定,也要補充民事責任的內容,三者相輔相成,共同營造安全有序的網絡社會環境。”
此外,閆博認為,雖然管理諸多應用程序不太現實,但監管部門可以從應用商店入手,通過管理平臺間接管理應用,加強應用商店的審核標準,不斷改善APP過度索取用戶個人信息的局面。
京公網安備 11010502049343號