◆經(jīng)濟導(dǎo)報記者 劉勇
《網(wǎng)絡(luò)安全實踐指南——移動互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》(下稱《規(guī)范》)近日在全國信息安全標準化技術(shù)委員會官網(wǎng)公布��,界定了社交、金融借貸��、網(wǎng)約車���、短視頻等16類常用移動APP收集用戶必要信息的范圍,要求即時通訊社交�����、社區(qū)社交�����、金融借貸APP不應(yīng)強制讀取用戶通訊錄��。
“這只是萬里長征第一步��,未來還應(yīng)出臺專門的個人信息保護法���,對個人信息保護的規(guī)定加以細化��。”濟南華星信息安全技術(shù)有限公司總經(jīng)理劉華星��,接受經(jīng)濟導(dǎo)報記者采訪時表示���。
“綁架”用戶的APP
隨著移動互聯(lián)網(wǎng)的快速發(fā)展,各種APP呈爆發(fā)式增長����。手機APP在給人們帶來便利的同時,也帶來了許多困擾���。部分手機APP過度收集�����、違規(guī)使用個人信息一直被詬病�。
“說實話,如果不是因為工作原因要使用各種APP�����,我都想用老式手機����,能打電話、發(fā)短信就行�����。”提起各種手機APP軟件��,濟南市民王文遠是又恨又愛�,“因為移動互聯(lián)網(wǎng)的發(fā)展,各種APP確實給我?guī)砹吮憷�,但也在偷偷拿走我的隱私。”
王文遠告訴經(jīng)濟導(dǎo)報記者�,很多軟件在注冊或者第一次啟動時,總是會讓人們同意各種隱私條款和政策�����。包括他在內(nèi)的絕大部分人,并不會真正地去細細查看這些隱私條款�,而是直接點擊“同意”。
“以前我也是不看隱私條款���,有一次仔細閱讀才發(fā)現(xiàn),要收集的個人信息實在是太多了�。”王文元說。
王文元告訴經(jīng)濟導(dǎo)報記者����,此前他曾使用的一款A(yù)PP要收集的個人信息竟然包括賬號名稱、昵稱�、密碼、密碼保護問題�����、電子郵件地址��、淘寶賬號�����、支付寶賬號���、微信����、QQ、車輛品牌�、車牌號碼、車輛識別代碼�����、發(fā)動機號��、機動車駕駛證����、住宿信息、行程信息��、支付信息等一大堆����。“更關(guān)鍵的是,該APP的研發(fā)者還會將這些信息提供給第三方����,并允許間接向第三方提供相關(guān)信息����。”
實際上���,今年3月份18日�,本報刊發(fā)的《“咪咕視頻”到底要多少權(quán)限?手機APP向用戶過度索權(quán)����,能監(jiān)控所有應(yīng)用的啟動》��,就曾報道過APP過度索權(quán)的問題�。
當(dāng)時的報道以經(jīng)濟導(dǎo)報記者手機為例:手機內(nèi)一共有109個APP,這些APP都要擁有的權(quán)限包括但不限于發(fā)送彩信����、獲取手機信息(手機號碼、IMEI�、IMSI權(quán)限)、讀取手機中已經(jīng)安裝的應(yīng)用列表����、讀寫手機存儲以及后臺彈出界面。此外�,有94個APP要求定位和拍照�����、錄像和閃光燈等權(quán)限;93個要求開啟或關(guān)閉WiFi的權(quán)限;87個要求可以修改系統(tǒng)設(shè)置;75個要通話錄音和本地錄音;58個要求獲取手機賬戶;56個要求可以讀取聯(lián)系人;46個要求可以直接撥打電話……
“沒有人愿意用隱私來換取便利����,這些隱私信息確實都是我們在下載安裝APP時同意授權(quán)的��,但并不都是心甘情愿的��,因為你不選‘同意’就無法使用���。在這個時代很難想象一個人在生活中完全不使用手機APP�����。”王文遠說����。
應(yīng)用規(guī)范出爐
不過�����,APP過度索權(quán)的這種情況即將被終結(jié)。
經(jīng)濟導(dǎo)報記者注意到����,《規(guī)范》指出,APP收集信息遵循權(quán)責(zé)一致���、目的明確�����、最少夠用���、選擇同意����、公開透明、確保安全6個原則�����。依據(jù)個人信息收集最少夠用的原則�����,《規(guī)范》給出了16類APP實現(xiàn)基本業(yè)務(wù)功能可收集的必要信息范圍。
針對即時通訊����、社區(qū)社交、金融借貸類APP�����,《規(guī)范》也整理出了實現(xiàn)APP基本業(yè)務(wù)功能需要手機的必要信息����,同時要求上述三類APP“不應(yīng)強制讀取用戶通訊錄”。
《規(guī)范》顯示����,即時通訊社交類APP要實現(xiàn)基本業(yè)務(wù)功能,需要收集的必要信息包括手機號碼����、賬號信息、好友列表���、好友信息�、群列表�����。但《規(guī)范》要求,此類APP收集好友列表�����,僅用于建立和管理用戶在即時通訊社交應(yīng)用的聯(lián)系人關(guān)系�����,應(yīng)允許用戶在即時通訊社交應(yīng)用中手動添加好友���,而不應(yīng)強制讀取用戶的通訊錄�。
“這個應(yīng)該屬于技術(shù)文件��,不是國家標準��,沒有強制約束力�����,但是對于‘必要信息’的規(guī)定非常具體��,針對不同類型的應(yīng)用軟件��,規(guī)定了必要信息的具體范圍���,這對于監(jiān)管部門的監(jiān)管會有很大的參考作用����。”劉華星說�����。
在劉華星看來�,“未來還應(yīng)出臺專門的個人信息保護法,對個人信息保護的規(guī)定加以細化�。”
劉華星告訴經(jīng)濟導(dǎo)報記者,很多互聯(lián)網(wǎng)公司的數(shù)據(jù)管理員����,在數(shù)據(jù)安全意識尤其是保護個體數(shù)據(jù)安全意識上,邊界意識較差�����。什么數(shù)據(jù)可以用���,什么數(shù)據(jù)可以搜集����,對個人數(shù)據(jù)使用到什么程度,泄露后怎么處罰等�����,都沒有相應(yīng)的認知和具體的規(guī)范要求�。未來,需要加強執(zhí)法力度�,“除了大幅提升對違法違規(guī)企業(yè)的懲罰力度,還需制定APP過度索權(quán)的評估標準和打造有力的監(jiān)管體系���。”
“此外����,網(wǎng)站平臺收集和使用用戶信息�����,應(yīng)當(dāng)遵循‘合法�、正當(dāng)��、必要’三原則��。對收集到的用戶信息應(yīng)當(dāng)采取安全保護措施,一旦發(fā)生泄密��,必須及時采取補救措施��,否則都可能面臨行政處罰或者用戶的訴訟�����。”劉華星表示�。 |
