◆經濟導報記者 劉勇
《網絡安全實踐指南——移動互聯(lián)網應用基本業(yè)務功能必要信息規(guī)范》(下稱《規(guī)范》)近日在全國信息安全標準化技術委員會官網公布�,界定了社交、金融借貸、網約車��、短視頻等16類常用移動APP收集用戶必要信息的范圍��,要求即時通訊社交�����、社區(qū)社交��、金融借貸APP不應強制讀取用戶通訊錄。
“這只是萬里長征第一步���,未來還應出臺專門的個人信息保護法���,對個人信息保護的規(guī)定加以細化���。”濟南華星信息安全技術有限公司總經理劉華星,接受經濟導報記者采訪時表示����。
“綁架”用戶的APP
隨著移動互聯(lián)網的快速發(fā)展,各種APP呈爆發(fā)式增長�。手機APP在給人們帶來便利的同時,也帶來了許多困擾���。部分手機APP過度收集�����、違規(guī)使用個人信息一直被詬病�����。
“說實話�����,如果不是因為工作原因要使用各種APP����,我都想用老式手機,能打電話�、發(fā)短信就行。”提起各種手機APP軟件����,濟南市民王文遠是又恨又愛,“因為移動互聯(lián)網的發(fā)展����,各種APP確實給我?guī)砹吮憷苍谕低的米呶业碾[私�����。”
王文遠告訴經濟導報記者�,很多軟件在注冊或者第一次啟動時,總是會讓人們同意各種隱私條款和政策��。包括他在內的絕大部分人����,并不會真正地去細細查看這些隱私條款�����,而是直接點擊“同意”。
“以前我也是不看隱私條款�,有一次仔細閱讀才發(fā)現(xiàn),要收集的個人信息實在是太多了��。”王文元說�����。
王文元告訴經濟導報記者����,此前他曾使用的一款APP要收集的個人信息竟然包括賬號名稱、昵稱����、密碼、密碼保護問題����、電子郵件地址��、淘寶賬號����、支付寶賬號�����、微信��、QQ����、車輛品牌、車牌號碼�����、車輛識別代碼��、發(fā)動機號�、機動車駕駛證、住宿信息���、行程信息����、支付信息等一大堆。“更關鍵的是���,該APP的研發(fā)者還會將這些信息提供給第三方��,并允許間接向第三方提供相關信息。”
實際上����,今年3月份18日,本報刊發(fā)的《“咪咕視頻”到底要多少權限?手機APP向用戶過度索權��,能監(jiān)控所有應用的啟動》���,就曾報道過APP過度索權的問題���。
當時的報道以經濟導報記者手機為例:手機內一共有109個APP,這些APP都要擁有的權限包括但不限于發(fā)送彩信�����、獲取手機信息(手機號碼�、IMEI����、IMSI權限)�、讀取手機中已經安裝的應用列表、讀寫手機存儲以及后臺彈出界面����。此外,有94個APP要求定位和拍照���、錄像和閃光燈等權限;93個要求開啟或關閉WiFi的權限;87個要求可以修改系統(tǒng)設置;75個要通話錄音和本地錄音;58個要求獲取手機賬戶;56個要求可以讀取聯(lián)系人;46個要求可以直接撥打電話……
“沒有人愿意用隱私來換取便利�����,這些隱私信息確實都是我們在下載安裝APP時同意授權的���,但并不都是心甘情愿的,因為你不選‘同意’就無法使用���。在這個時代很難想象一個人在生活中完全不使用手機APP��。”王文遠說���。
應用規(guī)范出爐
不過�����,APP過度索權的這種情況即將被終結��。
經濟導報記者注意到�,《規(guī)范》指出����,APP收集信息遵循權責一致、目的明確�、最少夠用�����、選擇同意�����、公開透明�����、確保安全6個原則�。依據個人信息收集最少夠用的原則�,《規(guī)范》給出了16類APP實現(xiàn)基本業(yè)務功能可收集的必要信息范圍�。
針對即時通訊、社區(qū)社交���、金融借貸類APP����,《規(guī)范》也整理出了實現(xiàn)APP基本業(yè)務功能需要手機的必要信息���,同時要求上述三類APP“不應強制讀取用戶通訊錄”�����。
《規(guī)范》顯示�����,即時通訊社交類APP要實現(xiàn)基本業(yè)務功能�,需要收集的必要信息包括手機號碼���、賬號信息��、好友列表��、好友信息����、群列表。但《規(guī)范》要求��,此類APP收集好友列表����,僅用于建立和管理用戶在即時通訊社交應用的聯(lián)系人關系,應允許用戶在即時通訊社交應用中手動添加好友�,而不應強制讀取用戶的通訊錄。
“這個應該屬于技術文件�,不是國家標準,沒有強制約束力�,但是對于‘必要信息’的規(guī)定非常具體��,針對不同類型的應用軟件����,規(guī)定了必要信息的具體范圍,這對于監(jiān)管部門的監(jiān)管會有很大的參考作用���。”劉華星說���。
在劉華星看來�����,“未來還應出臺專門的個人信息保護法���,對個人信息保護的規(guī)定加以細化。”
劉華星告訴經濟導報記者��,很多互聯(lián)網公司的數(shù)據管理員�����,在數(shù)據安全意識尤其是保護個體數(shù)據安全意識上����,邊界意識較差。什么數(shù)據可以用���,什么數(shù)據可以搜集���,對個人數(shù)據使用到什么程度,泄露后怎么處罰等,都沒有相應的認知和具體的規(guī)范要求��。未來��,需要加強執(zhí)法力度�,“除了大幅提升對違法違規(guī)企業(yè)的懲罰力度,還需制定APP過度索權的評估標準和打造有力的監(jiān)管體系�。”
“此外,網站平臺收集和使用用戶信息����,應當遵循‘合法、正當�、必要’三原則。對收集到的用戶信息應當采取安全保護措施�����,一旦發(fā)生泄密����,必須及時采取補救措施���,否則都可能面臨行政處罰或者用戶的訴訟��。”劉華星表示��。 |
