luda 手机上安装app后,大多数人都会经历类似的过程。——需要在充满各种读取权限的用户合同中单击同意,才能完成安装。
这些权限包括获取位置、阅读短信、阅读通讯录列表、浏览手机存储。各种app在阅读用户的个人信息时几乎是海量的,用户经常在各种与个人信息保护权限相关的协议面前阅览或放弃阅读,容易将个人信息赋予app。
那么,应用程序要求用户信息的界限在哪里?个人隐私该如何保护?《工人日报》记者对此进行了调查采访。
手机应用程序频繁越过国境
根据互联网第三方研究机构DCCI互联网数据中心发布的《2016年中国Android手机隐私安全报告》数据,2016年Android BIOM应用程序中,91.7%需要阅读位置信息,其中13%跨越了国界。需要访问联系人的49%中,9.1%跨越了国境。另外,跨境阅读短信、通话记录、手机号码等行为也很严重。
记者发现,除了跨境获取权限外,造成手机卡顿以外,更严重的后果是,隐私被盗后,手机上的重要资料和照片将被擅自查询,随意访问联系人、短信、记事本等信息将被泄露,造成经济损失。
2013年工信部与其他部门联合推出的《信息安全技术公共及商用服务信息个人信息保护指南》确定了目的明确、至少充分、公开通报、个人同意等一些应用程序应遵循的基本原则。其中,最低使用原则是指只处理与处理目的相关的最低信息,达到处理目的后在最短时间内删除个人信息。目的明确的原则强调,个人信息处理具有具体、明确、合理的目的,不扩大适用范围,在个人信息主体不知道的情况下不改变个人信息处理的目的。
显然,现在很多APP都违反了这些原则。记者在Android手机应用商店搜索了多个手电筒应用程序,几乎所有的应用程序都要求拨号、阅读通讯录、位置信息等。根据科学技术公司“最高实验室”发布的《APP个人隐私研究报告》,该公司研究人员对Android手机代码进行了深入分析,结果显示,许多权限申请超出了应用程序的功能范围。
其中,该公司通过对驾驶考试、提供汽车信息的应用程序代码的深入分析,发现应用程序申请并调用了通话记录读取权限,并将该信息直接上传到供应商服务器。该研究对Google Play上超过1000万人的传输类应用程序进行了分析,结果显示,新注册用户首次登录时,将用户手机上的通讯录信息直接上传到服务器,不加密也不发送通讯录信息,因此被窃听的风险大大增加。
数据背后的利益
根据2016年8月生效的《移动互联网应用程序信息服务管理规定》,互联网应用程序提供商在安装或使用过程中必须依法保护用户的知情权和选择权,在未向用户明确说明的情况下,未经用户同意,不得打开收集地理位置、读取通讯录、使用摄像头、激活录音等功能,不得打开服务相关功能,不得捆绑安装不相关的应用程序。
但是记者用Android手机做了实验,发现有些应用程序不仅获得了与自己功能无关的权限,而且一旦禁止这些权限,应用程序的使用体验就会恶化。(威廉莎士比亚、Northern Exposure(美国电视剧)、Northern Exposure(美国电视剧)拒绝调用APP的部分权限申请,将在APP使用期间弹出呼叫权限申请。随着时间的推移,大多数用户都很烦,放松警惕,同意呼叫权限。
从事APP开发的技术人员徐晓告诉记者,对APP的大部分权限实际上不需要调用。“地图、外卖、旅行类的APP等位置权限调用是可以理解的。这是基于APP本身的功能考虑,但联系人访问、文字阅读等权限不是基于用户观点,而是为了收集用户信息。”
从徐晓的角度来看,尽可能广泛地获取用户权限是为了尽可能广泛地收集数据,最终形成大数据,这对精准推送、广告投放、软件改进至关重要。例如,通过获取用户的设备信息,可以通过对使用中的手机型号和系统的开发不断改善用户体验,从而在行业竞争中取得优势。收集用户的其他信息也是为了获取数据。“互联网发展正在迅速变化。没有人知道现在无用的信息将来是否能起作用。”
个人信息保护亟待加强
手机应用程序拥有的数据越多,用户信息泄露的风险就越大。如果发生网络黑客解密数据库、网络公司内部工作人员使用非法手段倒卖用户数据、或其他恶意窃取用户数据的行为,APP获得的各种信息将成为不法分子的黑市交易商品。(约翰f肯尼迪)。
虽然分别规范了APP的各种行为,如《信息安全技术公共及商用服务信息个人信息保护指南》、《移动互联网应用程序信息服务管理规定》等,但记者审查表明,这两份文件中,APP一旦越境,没有规定具体的惩罚措施,实际上也没有APP越境、越过呼叫权限后承担责任或受到处罚的判例。
与此同时,我国目前的个人信息保护仅限于刑法,民法和行政法中还存在很多真空地带。无论是刑法还是相关的司法解释,对于如何定义公民个人信息的定义和范围都不明确,从而成为承认犯罪、非罪或侵权的障碍。
最近全国人民代表大会常务委员会民法总则草案二审查增设了“保护个人信息”条款,规定“自然人的个人信息受法律保护”。任何组织和个人都不能非法收集、使用、加工、传输个人信息,也不能非法提供、公开或销售个人信息。“全国人民代表大会常务委员会委员杨进认为,这将为今后制定单行法或通过其他方法进一步细化保护措施提供依据。
今年两会上,全国人大代表、天能集团董事长张天任提出了关于制定“《个人信息保护法》”的议案。张天任建议接受任何单位或个人
集他人个人信息都应当遵循合法性、风险限定原则。并且,收集主体应对个人信息收集后的泄露承担责任;收集主体因对个人信息保管不善而造成权利人利益受损的,其应当承担与其过错相应的责任;如工作人员私自泄露了个人信息,除该个人应当承担责任外,信息采集主体业应视具体情节也依法承担责任。而对用户而言,面对APP系统性的过度索取权限,也可以通过设定设置,禁止APP调取不必要的权限,“现在无论安卓或者ios的安全管理都在提升,即使禁止后很多APP仍能正常使用”。
(原题为《过度索权,谁来锁住APP的边界?》)