刚跟人聊完,很快就能在App中收到相关推荐内容或广告?日前,“App会偷听吗?”成为热议话题,网民调侃背后充满对个人信息安全的担忧。
2月5日,在工信部召开的App个人信息保护监管座谈会上,工信部副部长刘烈宏对此表示,一些即时通讯工具、输入法和地图导航等App,使用麦克风权限,读取文字输入内容后,超出用户许可范围(将信息)用于“其他途径”,带来了风险隐患。
实际上,违规收集用户个人信息是App侵害用户权益最常见的一种行为。澎湃新闻(www.thepaper.cn)统计工信部开展专项整治行动以来公开通报的11批违规App名单,发现657款App“榜上有名”,UC浏览器、360清理大师、达达快送、永辉生活、芒果TV、QQ输入法等生活各场景中的热门App曾在列;在16类App中,工具类App被“点名”比率达到15.68%。下架的167款App中,工具类App下架也最多,占比16.67%。
统计数据显示,被通报过的657款App中所涉问题中,有超过50%的为“违规收集用户个人信息”,而“App强制频繁过度索取权限”、“违规使用用户个人信息”的问题在被通报的App中各占20%左右。
此外,工信部组织的11批检测发现,被通报的App来自24个应用商店,以腾讯应用宝、豌豆荚、OPPO软件商店、360手机助手、小米应用商店五大应用程序平台为主,分别占比24.60%、11.27%、10.83%、10.25%、9.81%。
用户个人信息一直被App服务提供者视之为“唐僧肉”,不管是在商业主体的“获客引流”上,还是在信息泄露后被用于实施电信诈骗上,违规收集来的用户个人信息都成为基础资料。近年来,为违规App套上“紧箍咒”,阻止其对用户权益的侵害,多方在立法、监管、行业自律、技术维度、用户自我保护意识等方面寻求“良方”。
个人信息成“唐僧肉”
“网民反映,刚刚聊到某个话题,很快就能在某个App中收到相关广告,用户对此感到很疑惑,这个话题也成为了用户最为关切的问题,登上了热搜榜第一名。”
2月5日,在工信部召开的App个人信息保护监管座谈会上,工信部副部长刘烈宏对此表示,一些即时通讯工具、输入法和地图导航等App,使用麦克风权限,读取文字输入内容后,超出用户许可范围(将信息)用于“其他途径”,带来了风险隐患。
事实上,用户个人信息一直被App服务提供者视之为“唐僧肉”。记者统计发现,在被工信部通报过的657款App中,有超过50%所涉问题为“违规收集用户个人信息”。
“这么做多是为了收集用户的经济状况、消费偏好、活动区域等信息,对用户进行精细的人物画像,以支持产品研发更新,或精准推送广告。”广东省公安厅网警总队案件科副科长黄建邦曾就超范围收集用户信息行为如此指出。
记者梳理发现,成都市中级人民法院2018年10月判决的一起网络侵权责任纠纷案中印证了部分App会将收集到的信息用于推送广告,以此“获客”。
法院审理查明,早稻App的开发者系上海合合信息科技发展有限公司,该公司也为扫描全能王App的开发者,何某律曾下载注册过扫描全能王App,合合公司通过扫描全能王App收集了何某律的手机号码。
获取信息后,该公司向何某律以短信方式发送了内容为“【早稻】何某律,前同事评价你‘专业靠谱’并向你推荐107个人脉,还有19个好友在等你cc.co/OypRubuV3m投诉退订回TD”的消息。何某律以收集个人信息及向其发送商业广告的行为侵权为由将该公司告上法庭。
另一起在2020年12月判决的隐私权纠纷二审民事判决书则直接披露部分App会“违规收集用户个人信息”。
法院审理查明,App“天天消消乐”开发企业乐元素科技(北京)股份有限公司收集、使用信息的目的、方式和范围并不明确,亦未向用户提供《隐私政策》的相关内容,在游戏登录界面及用户使用相关功能过程中也未采取其他方式提示存在收集用户个人信息的情况。在未取得用户刘某博明确授权的情况下,存在“全项开启手机应用权限,调用用户个人手机位置信息”的情况。
而除了商业行为,一部分来自App违规收集的用户个人信息也最终为滋生电信诈骗提供了温床。
北京市公安局网络安全保卫总队日前发布的一篇文章中指出,疫情期间,存在某些违规App打着疫情监测的名义,出现非授权、超范围采集使用个人信息等问题,这带来了用户个人信息泄露、滥用的风险。而个人信息泄露是诈骗成功实施的关键因素,不法分子在精准掌握用户个人信息的前提下,能编造出迷惑性更高的诈骗场景,得以实施欺诈。
时至今日,工信部的部长信箱仍能时不时收到用户对App违规收集用户个人信息的投诉。记者仅检索2020年2月至2021年2月一年时间的留言就发现,小米手机系统自带软件、58同城、拼多多、知乎、京东商城、迅雷、QQ、网易邮箱、阿里云等热门App均出现在投诉名单中。
实际上,对于App违法收集使用个人信息行为,国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、市场监管总局办公厅曾联合印发《App违法违规收集使用个人信息行为认定方法》的通知。
其中明确指出,“未公开收集使用规则,未明示收集使用个人信息的目的、方式和范围,未经用户同意收集使用个人信息,违反必要原则,收集与其提供的服务无关的个人信息,未经同意向他人提供个人信息,未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息”等六类行为属于违法违规收集使用个人信息。
我们生活中所常见的“利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用”等现象也被认为是违法违规收集。
记者注意到,工信部曾公布一则数据,对于违规收集个人信息现象的严重性可窥一二。
在3480条关于App违法违规收集使用个人信息的举报信息中,26%的App没有隐私条款或未在隐私条款中明确收集个人信息的目的、方式、范围;31%的App在申请打开收集个人信息相关权限时,未明确告知用户;20%的App收集与业务功能无关的个人信息,如金融借贷App收集用户通信录;19%的App未经用户同意,向他人提供设备ID、应用程序列表等个人信息;13%的App强制索要与业务功能无关的权限,如计算器、手电筒App强制要求打开地理位置权限。
“有的App在商业利益的驱动下,未经用户同意便违规获取用户的语音、文字、图片等输入信息,实施大数据汇聚分析,实现用户画像,并进行广告的精准推送,这些令用户产生不安甚至焦虑。”工信部副部长刘烈宏在2月5日的监管座谈会上称。
用户的不安搅动起舆论场的热议,相关部门亮出“监管之刃”。
“App是否在偷听用户”的网络热议之下,2月5日,工信部在“2021年第2批,总第11批”通报中,首次就“近期社会关注的麦克风、通讯录、相册权限问题”公开通报26款未完成整改的App,QQ输入法、墨迹天气、微商输入法、声吧等App因违规或超范围收集个人信息被点名。
这也被视为监管层向外释放出对违规收集用户个人信息“监管趋严、回应关切”的一个明确信号。
违规App中“违规收集用户个人信息”的超50%
针对以违规收集用户个人信息为代表的App侵害用户行为,工信部在2019年11月首次决定组织开展App侵害用户权益专项整治行动工作。这一行动也在次年7月向“纵深推进”。
2020年7月,《工业和信息化部关于开展纵深推进App侵害用户权益专项整治行动的通知》进一步明晰了整治的对象为“App服务提供者、软件工具开发包(SDK)提供者、应用分发平台”。
“企业自查自纠、监督检查、结果处置”是工信部开展App侵害用户权益专项整治行动的中三个阶段,也是为违规App套上“紧箍咒”的步骤。
自查自纠主体为App服务提供者和分发服务提供者,属于主动行为;监督检查则由工信部组织第三方检测机构对App进行技术检测和检查,重点抽测与群众生活密切相关、下载使用量较大的App产品和分发平台。
而在结果处置阶段,工信部会对存在问题的App统一进行通报,依法依规予以处理,具体措施包括责令整改、向社会公告、组织App下架、停止App接入服务,以及将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单。
澎湃新闻不完全统计,自2019年11月工信部开展整治行动以来,至今已通报11批657款侵害用户权益的App被“点名”。
通报的频率基本是月均一次,通报的数量变化呈现出“M”型。两次波峰分别出现在2020年10月27日与2021年1月22日,单次通报数量的最高峰为“2021年第1批,总第10批”,157款App“榜上有名”。
657款遭通报App涉及教育类、生活服务类、游戏类、社交类、医药健康类等16个类别,其中工具类最多,占比达到15.68%;教育类、生活服务类、视频直播类、游戏类、交通出行类、电商购物类、社交类紧随其后,占比在7%-9%之间;母婴亲子类、招聘类较少,占比不足2%。
多数App在通报后能及时整改,再次被通报的情况较少,但360清理大师、叮嗒出行、千千音乐等26款App被两次点名。
