有安全团队人士称,侵权者获取大量数据后有机会带来巨大经济和社会效益,违法成本却微乎其微。
自2019年1月至12月,中央网信办、工信部、公安部、市场监管总局等四部门在全国范围组织开展App违法违规收集使用个人信息专项治理。3月初,工作组开通了微信公众号和举报专用邮箱,在一个半月里(截至4月16日),收到举报信息超过3480条,涉及1300余款APP,遍及金融借贷、社区社交、网上购物、短视频与直播、即时通讯等当今热门移动应用领域。其中30款用户量大且问题严重的APP,工作组已向其运营者发送了整改通知。
面对巨大的经济利益,APP疯狂采集个人隐私信息的现状如何才能真正解决,这不仅是我国的难题,也是世界各国都面临的难题。
一个半月收集举报超3480条
隐私条款不明确是重灾区
正如本报此前多次报道,近年来我国爆发的多宗个人信息、隐私泄露或贩卖的案件中,很多时候追溯到的黑灰产产业链数据源头都是大大小小的互联网厂商。
即使不被用于黑灰产等的违法用途,互联网应用过度采集个人信息的行为,本身就涉嫌侵犯用户个人隐私,对用户心理造成很大的不安。比如,输入法、手电筒APP,要求获取地理位置是要干嘛?有的APP,在静默状态下竟然会悄悄启动麦克风、摄像头持续采集用户音视频数据。还有APP被发现长期在后台悄悄记录用户的通话记录、短信、通讯录、位置信息、设备信息等并上传到企业服务器……
有见及此,《信息安全技术个人信息安全规范》(简称《规范》)2018年5月1日实施,《规范》严格界定了个人信息控制者的权利并明确了其义务:规定在收集个人信息前,应当向信息主体明示相关内容并取得同意;涉及间接获取方式以及个人敏感信息时,应当做出必要说明或取得明示同意且遵守有关法律、行政法规关于个人信息保护的规定。
从一个半月的举报问题看,26%的APP没有隐私条款或未在隐私条款中明确收集个人信息的目的、方式、范围;31%的APP在申请打开收集个人信息相关权限时,未明确告知用户;20%的APP收集与业务功能无关的个人信息,如金融借贷APP收集用户通信录;19%的APP未经用户同意,向他人提供设备ID、应用程序列表等个人信息;13%的APP强制索要与业务功能无关的权限,如计算器、手电筒APP强制要求打开地理位置权限。还有一些APP存在不支持用户注销账户、更正或删除信息等问题。
采集用户信息事关“财路”
互联网公司信奉“越多越好”
在企业层面,其收集数据的目的是借助大数据分析的力量,精准匹配投放商业广告,这是国内外几乎所有互联网公司的一条重要“财路”。就算不用于广告,用于自身业务发展也是越多越好。
今年1月,据媒体报道,有白帽黑客通过抓包工具监测发现,如果用户甲在微信朋友圈分享了一条今日头条新闻,当甲的微信好友乙和丙都打开看过这条新闻后,今日头条就悄悄记录下乙和丙都是甲的好友,并将这组社交关系分享给本公司的抖音等APP平台,其违规在于,正常软件在设置cookie参数时一般仅为5至7天,而今日头条将这一数值设定为10年,这一隐蔽设定使其可以长期更新关注用户的好友关系变动情况。
还有用户下载一款APP申请贷款时,发现对方要求知道自己所安装的全部APP列表,感到十分诧异。该应用客服人员对此的解释是,应用列表信息将作为该平台综合授信的一个维度,比如获知用户是否安装了多款借款类APP,依此综合评估用户的信用风险。
析因
1
法律依然缺位,让企业违规几无成本
有业内人士指出,大数据时代,没人知道哪些数据会成为重点,不少企业本着“不管有用没用,多收集一点总没坏处”的想法,滥采用户信息和资料。但这种想法和《规范》是相悖的。《规范》明确个人信息的收集类型、频率和数量应在必要性的最小要求之内,即符合最少够用原则的要求。
遗憾的是,《规范》只是一套推荐性国家标准(目前国内尚无专门针对个人信息保护的法律),并不具备法律效力和强制约束力,这让有心违规的企业肆无忌惮。在截至4月中旬的举报信息里,针对30款用户量大且问题严重的APP,工作组也只是向其运营者发送了整改通知。逾期不改的,才考虑公开曝光,情节严重的予以下架、停止服务等。
前述安全团队人士慨叹说,侵权者获取大量数据后有机会带来巨大的经济和社会效益,而同等条件下的违法成本却微乎其微,难怪企业会屡禁不止。
更尴尬的是,在个人信息保护法缺位之下,原本应作为保障用户隐私和权利公平的APP隐私保护协议,反被运营者利用为逃避应有法律义务、责任的挡箭牌,像某APP用户协议中写道,“对发布在××上的信息,××拥有再许可的权利”;有的说“××可将用户信息传至第三方,且不负担任何责任”;或者“用户的发表、上传行为意味着对××的授权”。
事实上,用户对APP隐私协议举报最多的,除了“自动默认勾选视为同意”和“不同意不能使用APP”外,在隐私条例里设置霸王条款或者偷换概念内容来恶意规避法律责任,也是其中之一。
2
新技术层出不穷,更多个人信息认定存争议
有法律专家指出,我国个人信息保护法律缺位的现状,和它本身是一件不断发展、演变中的事物不无关系。随着近年来各种新技术的发展,大家越来越活在各种传感器、摄像头、定位系统、无人机等设备的时刻“监控”之下,传统隐私权定义已经不能适应新形势,更多新型个人信息的认定和侵犯方式,都还存在诸多争议。
一方面,智能家居设备的摄像头,可能会在你某次在扫地机器人旁输入银行密码时记录你的财务信息。用于智能医疗的各类可穿戴设备可能会不费气力地了解你的心跳、脉搏、血压、睡眠质量等。此外,通过可穿戴设备及其他设备等获得的个人数据,有可能会深入到思维这个层面,人的思维、心理状态这些隐秘信息,将成为可以被感知、存储、传输甚至处理的外在信息,更关键的是,个体很难控制信息的发出、传播与使用,会变得无能为力。
在日前一场某搜索引擎的营销峰会上,记者发现,其号称人脸识别技术能做到根据摄像头获取人脸图像信息,据此智能分析出人物性别年龄特征值,并在其经过的各类楼宇屏幕上展现广告设定的广告。还有远程教育公司宣布,成功开发出新系统,可根据学生实时表情及行为实时评估教学效果,并应用于VR互动教学,打造新型沉溺体验。
面对这些新型个人信息和隐私保护难题,各国都在探索应对之策,但看来短期内也难有定论。在美国,已经有参议员提议通过新的法案——商业面部识别隐私法,对技术公司的人脸识别技术使用进行一定限制。在我国,今年两会期间,全国人大常委会也已将个人信息保护法等与人工智能密切相关的立法项目列入本届五年的立法规划。2018年5月欧盟开始实施被称为史上最严格的GDPR(《一般数据保护条例》),虽然有了向Facebook等巨头连续开出天价罚单的战绩,但学者表示担心,认为如果不允许收集数据,就类似于“想倒掉洗澡水,把宝宝也泼出去了”。还有学者直言,当前对隐私问题的研究,有待于更充足的经济学、社会学层面的知识给予支撑和完善。
关键词: APP隐私条款不明确
