中國消費者報報道(記者武曉莉) 每個使用智能手機的人可能都遇到過相似的問題:下載后,,APP就強制、頻繁,、過度索取權限,,超范圍收集個人信息,強制用戶使用定向推送功能,,欺騙誤導用戶下載APP……
而從相關部門通報的APP侵權情況來看,,還有很多用戶并未感知的隱性問題,如APP違規(guī)收集個人信息,、違規(guī)使用個人信息,、應用分發(fā)平臺上的APP信息明示不到位、不授權無法使用APP等,?!毒W(wǎng)絡安全法》規(guī)定:個人信息收集必須遵循合法、正當,、必要的原則,。今年以來開展的各項整治行動,尤其是針對個人信息收集的“最小必要”原則,,就是為了擋住APP伸得太長的手,,用標準化方式強化個人信息保護。
APP個人信息保護難在哪兒
“APP侵害用戶權益是中央關心,、群眾關切,、社會關注的焦點問題,關系到人民群眾能否安心放心享受信息通信業(yè)發(fā)展帶來的各項美好成果,。”工業(yè)和信息化部副部長劉烈宏指出,。
2019年以來,工信部連續(xù)兩年開展專項行動,。2020年7月,,工信部發(fā)布《縱深推進APP侵害用戶權益專項整治通知》,重點聚焦APP和SDK違規(guī)處理個人信息,、設置障礙,、頻繁騷擾用戶、欺騙誤導用戶以及應用分發(fā)平臺落實責任不到位等問題,。
據(jù)工信部信息通信管理局副局長魯春叢介紹,,截至2020年第三季度末,,國內市場檢測到的APP數(shù)量超過350萬款。截至目前,,已完成44萬款的技術檢測工作,,責令1336款違規(guī)APP進行整改,公開通報377款整改不到位的APP,,下架94款拒不整改的APP,。
魯春叢介紹說,,APP個人信息保護工作面臨兩方面挑戰(zhàn),。一是商業(yè)模式變革的挑戰(zhàn)。我國互聯(lián)網(wǎng)產業(yè)普遍采用前端免費,、后端獲利的模式,,營利模式從在線廣告向基于大數(shù)據(jù)的定向推送、精準營銷轉變,。企業(yè)違規(guī)成本低,,個人信息保護能力良莠不齊,為逐利違規(guī)侵害用戶權益的情況時有發(fā)生,,同時“灰黑產”也加速向違規(guī)收集使用甚至非法買賣個人信息聚集,。二是APP版本迭代頻繁的挑戰(zhàn)。我國境內APP上架總量已超過350萬款,,頭部應用更新頻繁,,幾乎每兩周就會進行版本更新,中小應用層出不窮,,新技術應用更具備在線迭代“熱更新”功能,,APP總量在不斷增加。龐大的APP數(shù)量,,豐富的應用場景,,需要加大監(jiān)督檢查和技術檢測力量。
部分頭部企業(yè)推諉拖延且技術對抗
APP治理工作組專家何延哲指出:“所謂必要個人信息,,就是指保障APP基本功能正常運行所必需的個人信息,,缺少該信息,APP無法提供基本功能服務,。只要用戶同意收集必要個人信息,,APP不得拒絕用戶安裝使用。”
據(jù)了解,,專項行動期間,,工信部對市場上八大主流分發(fā)平臺華為、小米,、OPPO,、vivo,、百度、應用寶,、360,、豌豆莢等上架的APP進行了抽測。存在的主要問題是主體責任缺位,、信息明示不到位,、誘導用戶下載等。今年8月26日,,工信部通報了部分APP審核把關不嚴,、存在問題較多、移動應用分發(fā)平臺管理主體責任缺位等問題,。
劉烈宏指出,,前期APP個人信息保護工作推進中,有部分問題沒得到徹底解決,,一些企業(yè)在整改過程中存在推諉,、阻撓、故意拖延的現(xiàn)象,。
“部分頭部APP在個人信息保護整改上存在思想漠視,、僥幸心理、技術對抗等問題,。”魯春叢說,,“最大的問題是有的企業(yè)找不到管理層,管理層互相推諉,,有120家企業(yè)的APP問題反復出現(xiàn)過兩次以上,。”
強化個人信息保護須標準先行
“強化個人信息保護,必須標準先行,。只有標準化,,才能實現(xiàn)監(jiān)管檢測的自動化、智能化,。”劉烈宏說,。為此,工信部制定了《APP用戶權益保護測評規(guī)范》10項標準,。對于消費者特別關心的“最小必要化”等收集使用用戶個人信息原則,,也制定了《APP收集使用個人信息最小必要評估規(guī)范》等11項系列標準,涉及通信錄,、錄音,、人臉、位置、圖片,、軟件列表,、設備、錄像等信息收集使用規(guī)范等,。
據(jù)電信終端產業(yè)協(xié)會秘書長謝毅介紹,,上述標準性文件已經(jīng)正式發(fā)布,標準將適用于移動互聯(lián)網(wǎng)應用提供者規(guī)范個人信息收集活動,,也適用于監(jiān)管部門,、第三方評估機構等組織對移動互聯(lián)網(wǎng)應用收集個人信息行為進行監(jiān)督、管理和評估,。
“應加快制定出臺相關標準,,將APP個人信息保護要求轉化為APP開發(fā)者、運營者可理解,、可執(zhí)行的具體要求,。”中國信息通信研究院泰爾終端實驗室主任魏然說。
據(jù)魏然介紹,,該系列標準按照信息分類,明確不同場景下個人信息收集使用的“最小必要”原則,。例如,,《APP收集使用個人信息最小必要評估規(guī)范位置信息》中明確,電商購物類APP在基于位置展示商品信息時,,不需收集精準位置信息,。《APP收集使用個人信息最小必要評估規(guī)范人臉信息》中明確,,圖像美化,、圖像合成、圖像聚類,、皮膚檢測,、情感分析等場景下的人臉信息處理僅應在本地完成,不應傳輸至遠程服務器,,且人臉信息不應用于身份認證,。
魏然指出,企業(yè)可對照“最小必要”系列標準要求,,設計開發(fā)符合“最小必要”原則的APP產品,。測評機構也可依據(jù)該標準開展“最小必要”符合性評估。
何為“最小必要”消費者說了算
為進一步驗證APP相關38種常見服務類型的“最小必要”個人信息范圍標準內容合理性,,保障標準在評估APP等方面實施的效果,,APP專項治理工作組聯(lián)合全國信安標委秘書處對每批(3-5類)服務類型收集的最小必要信息范圍,以投票形式進行了社會調研,。“這種用戶可以直接參與的征求意見方式比較新穎,。”何延哲說,。國家標準的出臺都需要征求意見,但以前征求意見的方式比較死板,,就是把全文發(fā)出來,,然后大家去提意見。這次的征求方式比較專業(yè),,又因為是個人信息收集的基本規(guī)范,,老百姓很關心,而且也不是特別難懂,。因此,,為了讓消費者能夠直接表達對收集個人信息最小必要性的態(tài)度,就做了這樣一個類似調研的征求意見的工作,。在此基礎上制定的標準,,有利于充分尊重用戶的選擇權。
何延哲指出,,從涵蓋內容上來看是比較廣泛全面的,,能夠代表與普通用戶息息相關的絕大部分APP的類型。用戶也可以通過這次調研了解相關部門的管理思路,,從用戶層面真正厘清必要和非必要,,并以此為依據(jù),給用戶一個自由選擇的權利,。然后再去判斷什么是過度數(shù)據(jù),、什么是強制索要。“這就相當于劃了一條線,。”他說,,“后續(xù)可能會向比較強制性的方向進一步演化,以達到更好的效果,。標準落實之后,,用戶的選擇權會得到一個大幅度的提高。”
