澎湃Logo
下载客户端

登录

  • +1

百度被提起公益诉讼引发信息安全讨论:手机APP的边界在哪

于潇 郭璐璐/检察日报
2018-01-12 12:08
法治中国 >
字号

日前,江苏省消费者权益保护委员会(以下简称江苏消保委)就北京百度网讯科技有限公司(以下简称百度)涉嫌违法获取消费者个人信息及相关问题提起民事公益诉讼。对此,百度回应:“读取权限都有非常明确的使用场景,不存在未经用户同意、超合理范围获取信息的情况。”

风波过后,有关手机应用软件(以下简称APP)越界读取个人信息的讨论未停止。“读取短信彩信”“读取联系人”“获取地理位置”……越来越多的手机APP尝试读取用户手机信息。北京市法学会电子商务法治研究会会长邱宝昌表示,经营者必须要考虑信息收集的合法性、正当性和必要性。如果是收集不必要的信息,即使经过消费者同意,其收集行为也是不合法的。

涉嫌越界获取用户信息,百度被提起公益诉讼

在江苏消保委对百度提起消费民事公益诉讼之前,江苏消保委曾对百度进行约谈。

2017年7月4日,江苏消保委就个人信息安全问题曾向百度发送《关于手机应用程序获取权限问题的调查函》,要求百度派员接受约谈。同年11月,百度接受约谈,并随后提交整改方案。

不过,对百度的这份整改方案,江苏消保委并不满意:“该企业仅书面对问题做了简单说明,并将权限通知及选择等义务推卸给手机操作系统,消极应对调查。”

2018年1月5日,江苏消保委发布消息称,“手机百度”“百度浏览器”两款手机APP在用户安装前,未告知其所获取的各种权限及目的,在未取得用户同意的情况下,获取诸如“监听电话、定位、读取短彩信、读取联系人、修改系统设置”等各种权限。

“作为搜索及浏览器类APP,上述权限并非提供正常服务所必需,已超出合理的范围。”江苏消保委表示。

1月9日,百度公司在接受媒体采访时回应,“百度APP不会也没有能力‘监听电话’,而百度APP敏感权限均需要授权,且用户可自由关闭。”

关于“读取权限是否在合理的范围之中”的质疑,百度方面表示,较为常用和敏感的权限包括存储、获取地理位置,读取通讯录、摄像头、麦克风、短信等权限,“这些权限都有明确的使用场景,不存在超出合理范围使用信息的情况”。

同时,百度方面强调,只有在用户使用到相关功能时,才会去申请这个权限,且用户可以自由关闭已经授权开放的权限。“这是我们的基本准则。”百度方面表示。

邱宝昌认为,手机APP越界收集用户个人信息是涉嫌违法的,它侵害的是不特定多数人的利益,江苏消保委的做法值得点赞。

越界读取成“常态”,核心隐私保护告急

“由于经营者维护消费者个人信息意识不足、消费者维护个人信息安全手段缺乏,手机APP越界获取消费者个人信息行为几乎成为业内‘常态’,消费者个人信息安全存在极大隐患。”江苏消保委发文表示。

手机壁纸应用能读取你通讯录,一个浏览器应用竟能随时给你录音。记者观察,类似这种越界获取隐私权限,并不是“新”话题。

2016年底,DCCI互联网数据中发布《2016年中国Android手机隐私安全报告》。报告显示,有30.2%的安卓手机应用越界获取隐私权限,这意味着有三成安卓手机APP存在权限越界问题。

相比2016年,2017年非游戏类手机APP越界获取的各种隐私权限显著减少。不过,《2017年中国Android手机隐私安全报告》同时指出,核心隐私权限中的越界获取“通话记录”和越界“读取彩信记录”出现较大幅度增长。

建立在调查报道和产品测评的基础之上,针对互联网安全与个人信息保护现状,南都个人信息保护研究中心发布《2017个人信息保护年度报告》(以下简称《报告》),指出APP过度获取用户信息的现象严重。

以某热门游戏名为关键词,按照排名前后的顺序,南都选取了50款其周边应用APP作为研究样本。这50款APP中,应用简介列出的权限总体有28个,包括拍摄照片和视频、读取通讯录、读取/收发短信、录音、获取精准位置、修改SD卡中的内容等。

《报告》发现,仅有2款APP列出的权限是“核心”权限,即不获取就无法正常使用APP核心功能的权限。有5款APP列出的所有权限均系“越界”,即使用APP没有必要获取的权限。其他APP均涉及要求获取没必要获取的权限或并不影响APP核心功能使用的权限。

在《报告》看来,用户想要获知手机应用到底获取了哪些具体权限并不容易。以“某热门游戏视频网”APP为例,《报告》指出,该APP简介中提到只会读取用户6项权限,但在安装时,弹出的提示中列出了20项权限。而经技术检测,它又至少向安卓系统申请了21项权限的许可。

通过统计近三年工信部公布的466款不良APP,《报告》发现超过八成以上的APP存在强制捆绑推广其他APP的问题。其中,恶意“吸费”和违规收集用户信息的合计占比16%,甚至存在不良APP恶意操控用户手机的情况。

“这些不良APP涉及93个应用商店,百度手机助手、应用酷、安卓网、苏宁易购等应用商店被检测发现的不良APP最多,均在20款以上。”报告认为,即便是大型的应用商店,也可能存在审核不严的问题,从而让问题APP上架。

专家:以格式条款越权读取个人信息无效

“越界收集消费者信息可能会侵害消费者的隐私权、知情权和信息安全权等,经营者必须要考虑收集的合法性、正当性和必要性。”邱宝昌举例说,收集信息与实现某种功能之间要具有必要性,如地图APP收集用户位置信息就比较正常,除此之外的信息收集就有越界嫌疑。

除了收集信息的目的要具有正当性之外,收集信息的程序也要正当。邱宝昌在接受采访时指出,经营者通过APP收集个人信息必须要明确告诉消费者,说明APP收集信息的目的、用途、方式、范围等,还要公开其使用规则,并以醒目的方式进行提醒。

其实,对于收集用户信息,法律已有规定。国家网络安全法明确规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

“经营者不得使用格式条款及其他技术手段越界,不得通过不公平条款来侵害消费者的个人信息安全。”邱宝昌进一步表示,如果是收集不必要的信息,即使经过消费者同意,其收集行为也是不合法的。

针对手机APP越界收集信息的情况,邱宝昌建议,消费者发现后要积极投诉维权,造成不特定消费者利益受损的,有资质的消费者协会可提起公益诉讼。

延伸阅读

2017年12月28日,在南方都市报社和中国人民大学未来法治研究院等联合主办的“2017年个人信息安全大会”上,南都个人信息保护研究中心发布了《2017个人信息保护年度报告》(以下简称《报告》),《报告》显示,互联网平台隐私政策透明度的分布是陡峭的金字塔型,即透明度高的互联网平台极少,透明度低的占比超过80%,在互联网金融类平台和购物类平台中,低透明度的占比甚至超过90%。

值得注意的是,在透明度最高的10个互联网平台中,大部分都是大型互联网企业旗下产品,并且也是2017年7月中央网信办等四部委组织隐私政策评审的首批参评对象。此次专项行动之后,京东、淘宝、支付宝等平台纷纷调整隐私政策,对个人信息的使用均作出了相关规范。不过,在报告涉及的1550个平台中,其知名度和隐私政策透明度并非绝对正相关,大量高知名度互联网平台的隐私政策透明度排名靠后。

用户信息安全与多主体相关,其保护工作也需要多元共治。其中,国家的法规政策是用户信息安全保护体系的重要支撑,相关法规政策是否精准有效,对于保护用户信息安全、推动互联网产业健康发展至关重要。

北京市第一中级法院民二庭副庭长丁宇翔表示,个人信息的范畴非常大,随着信息技术的发展,个人信息的内涵将会越来越丰富,基于这样一种现状,司法实践对于个人信息的保护很可能没办法把每种利益都界定得特别清楚。

对于一些数据产业领域的企业来说,则往往会产生其正常业务是否会受到信息安全保护法规政策影响的担忧。“从执法层面来说,我们希望有关部门能有效区分合法合规的数字产业和打着大数据旗号的黑色产业,然后有针对性地进行打击。”蚂蚁金服首席隐私官聂正军表示,信息安全与隐私保护是一个非常复杂的系统性问题,立法过程中,要平衡好发展与保护的关系以及发展与安全的关系,要做到这两类平衡,关键在于把决定权交还给用户,因为任何代表用户或者代替用户作出的一刀切规则,都有可能打破这个平衡。

此外,聂正军认为,从司法层面来说,尽管路径方向很明确,但是实践起来还有很多障碍,最大的问题在于受害者很难举证,难以胜诉,或者即便胜诉,也可能输了金钱和时间,得到的收益与投入不对等,司法层面的这些问题应该得到完善。

赛迪智库网络安全研究所所长刘权则认为,要遏制个人信息泄露现象,应当建立有效的追溯和追责机制,“目前用户使用的400多万款APP中,究竟有几款可以实现追溯?是谁开发的?内容检测是谁负责的?在哪个应用商店下载的?是否提示用户APP有没有得到认可的第三方机构检测?如果可以有效追溯这些环节,厘清责任归属,也许可以从根本上解决这个问题。”

(原题为《手机APP:你的边界在哪里》)

    校对:刘威
    澎湃新闻报料:021-962866
    澎湃新闻,未经授权不得转载
    +1
    收藏
    我要举报

            扫码下载澎湃新闻客户端

            沪ICP备14003370号

            沪公网安备31010602000299号

            互联网新闻信息服务许可证:31120170006

            增值电信业务经营许可证:沪B2-2017116

            © 2014-2024 上海东方报业有限公司

            反馈