 |
 |
没有人愿意用隐私来换取便利,这些信息确实是我们在下载安装APP时同意授权的,但并不都是心甘情愿的
◆导报记者 刘勇 济南报道
《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》(下称《规范》)近日在全国信息安全标准化技术委员会官网公布,界定了社交、金融借贷、网约车、短视频等16类常用移动APP收集用户必要信息的范围,要求即时通讯社交、社区社交、金融借贷APP不应强制读取用户通讯录。
“这只是万里长征第一步,未来还应出台专门的个人信息保护法,对个人信息保护的规定加以细化。”济南华星信息安全技术有限公司总经理刘华星,接受经济导报记者采访时表示。
“绑架”用户的APP
随着移动互联网的快速发展,各种APP呈爆发式增长。手机APP在给人们带来便利的同时,也带来了许多困扰。部分手机APP过度收集、违规使用个人信息一直被诟病。
“说实话,如果不是因为工作原因要使用各种APP,我都想用老式手机,能打电话、发短信就行。”提起各种手机APP软件,济南市民王文远是又恨又爱,“因为移动互联网的发展,各种APP确实给我带来了便利,但也在偷偷拿走我的隐私。”
王文远告诉经济导报记者,很多软件在注册或者第一次启动时,总是会让人们同意各种隐私条款和政策。包括他在内的绝大部分人,并不会真正地去细细查看这些隐私条款,而是直接点击“同意”。
“以前我也是不看隐私条款,有一次仔细阅读才发现,要收集的个人信息实在是太多了。”王文元说。
王文元告诉经济导报记者,此前他曾使用的一款APP要收集的个人信息竟然包括账号名称、昵称、密码、密码保护问题、电子邮件地址、淘宝账号、支付宝账号、微信、QQ、车辆品牌、车牌号码、车辆识别代码、发动机号、机动车驾驶证、住宿信息、行程信息、支付信息等一大堆。“更关键的是,该APP的研发者还会将这些信息提供给第三方,并允许间接向第三方提供相关信息。”
实际上,今年3月份18日,本报刊发的《“咪咕视频”到底要多少权限?手机APP向用户过度索权,能监控所有应用的启动》,就曾报道过APP过度索权的问题。
当时的报道以经济导报记者手机为例:手机内一共有109个APP,这些APP都要拥有的权限包括但不限于发送彩信、获取手机信息(手机号码、IMEI、IMSI权限)、读取手机中已经安装的应用列表、读写手机存储以及后台弹出界面。此外,有94个APP要求定位和拍照、录像和闪光灯等权限;93个要求开启或关闭WiFi的权限;87个要求可以修改系统设置;75个要通话录音和本地录音;58个要求获取手机账户;56个要求可以读取联系人;46个要求可以直接拨打电话……
“没有人愿意用隐私来换取便利,这些隐私信息确实都是我们在下载安装APP时同意授权的,但并不都是心甘情愿的,因为你不选‘同意’就无法使用。在这个时代很难想象一个人在生活中完全不使用手机APP。”王文远说。
不过,APP过度索权的这种情况即将被终结。
经济导报记者注意到,《规范》指出,APP收集信息遵循权责一致、目的明确、最少够用、选择同意、公开透明、确保安全6个原则。依据个人信息收集最少够用的原则,《规范》给出了16类APP实现基本业务功能可收集的必要信息范围。
针对即时通讯、社区社交、金融借贷类APP,《规范》也整理出了实现APP基本业务功能需要手机的必要信息,同时要求上述三类APP“不应强制读取用户通讯录”。
《规范》显示,即时通讯社交类APP要实现基本业务功能,需要收集的必要信息包括手机号码、账号信息、好友列表、好友信息、群列表。但《规范》要求,此类APP收集好友列表,仅用于建立和管理用户在即时通讯社交应用的联系人关系,应允许用户在即时通讯社交应用中手动添加好友,而不应强制读取用户的通讯录。
“这个应该属于技术文件,不是国家标准,没有强制约束力,但是对于‘必要信息’的规定非常具体,针对不同类型的应用软件,规定了必要信息的具体范围,这对于监管部门的监管会有很大的参考作用。”刘华星说。
在刘华星看来,“未来还应出台专门的个人信息保护法,对个人信息保护的规定加以细化。”
刘华星告诉经济导报记者,很多互联网公司的数据管理员,在数据安全意识尤其是保护个体数据安全意识上,边界意识较差。什么数据可以用,什么数据可以搜集,对个人数据使用到什么程度,泄露后怎么处罚等,都没有相应的认知和具体的规范要求。未来,需要加强执法力度,“除了大幅提升对违法违规企业的惩罚力度,还需制定APP过度索权的评估标准和打造有力的监管体系。”
“此外,网站平台收集和使用用户信息,应当遵循‘合法、正当、必要’三原则。对收集到的用户信息应当采取安全保护措施,一旦发生泄密,必须及时采取补救措施,否则都可能面临行政处罚或者用户的诉讼。”刘华星表示。
◆导报记者 刘勇 济南报道
《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》(下称《规范》)近日在全国信息安全标准化技术委员会官网公布,界定了社交、金融借贷、网约车、短视频等16类常用移动APP收集用户必要信息的范围,要求即时通讯社交、社区社交、金融借贷APP不应强制读取用户通讯录。
“这只是万里长征第一步,未来还应出台专门的个人信息保护法,对个人信息保护的规定加以细化。”济南华星信息安全技术有限公司总经理刘华星,接受经济导报记者采访时表示。
“绑架”用户的APP
随着移动互联网的快速发展,各种APP呈爆发式增长。手机APP在给人们带来便利的同时,也带来了许多困扰。部分手机APP过度收集、违规使用个人信息一直被诟病。
“说实话,如果不是因为工作原因要使用各种APP,我都想用老式手机,能打电话、发短信就行。”提起各种手机APP软件,济南市民王文远是又恨又爱,“因为移动互联网的发展,各种APP确实给我带来了便利,但也在偷偷拿走我的隐私。”
王文远告诉经济导报记者,很多软件在注册或者第一次启动时,总是会让人们同意各种隐私条款和政策。包括他在内的绝大部分人,并不会真正地去细细查看这些隐私条款,而是直接点击“同意”。
“以前我也是不看隐私条款,有一次仔细阅读才发现,要收集的个人信息实在是太多了。”王文元说。
王文元告诉经济导报记者,此前他曾使用的一款APP要收集的个人信息竟然包括账号名称、昵称、密码、密码保护问题、电子邮件地址、淘宝账号、支付宝账号、微信、QQ、车辆品牌、车牌号码、车辆识别代码、发动机号、机动车驾驶证、住宿信息、行程信息、支付信息等一大堆。“更关键的是,该APP的研发者还会将这些信息提供给第三方,并允许间接向第三方提供相关信息。”
实际上,今年3月份18日,本报刊发的《“咪咕视频”到底要多少权限?手机APP向用户过度索权,能监控所有应用的启动》,就曾报道过APP过度索权的问题。
当时的报道以经济导报记者手机为例:手机内一共有109个APP,这些APP都要拥有的权限包括但不限于发送彩信、获取手机信息(手机号码、IMEI、IMSI权限)、读取手机中已经安装的应用列表、读写手机存储以及后台弹出界面。此外,有94个APP要求定位和拍照、录像和闪光灯等权限;93个要求开启或关闭WiFi的权限;87个要求可以修改系统设置;75个要通话录音和本地录音;58个要求获取手机账户;56个要求可以读取联系人;46个要求可以直接拨打电话……
“没有人愿意用隐私来换取便利,这些隐私信息确实都是我们在下载安装APP时同意授权的,但并不都是心甘情愿的,因为你不选‘同意’就无法使用。在这个时代很难想象一个人在生活中完全不使用手机APP。”王文远说。
不过,APP过度索权的这种情况即将被终结。
经济导报记者注意到,《规范》指出,APP收集信息遵循权责一致、目的明确、最少够用、选择同意、公开透明、确保安全6个原则。依据个人信息收集最少够用的原则,《规范》给出了16类APP实现基本业务功能可收集的必要信息范围。
针对即时通讯、社区社交、金融借贷类APP,《规范》也整理出了实现APP基本业务功能需要手机的必要信息,同时要求上述三类APP“不应强制读取用户通讯录”。
《规范》显示,即时通讯社交类APP要实现基本业务功能,需要收集的必要信息包括手机号码、账号信息、好友列表、好友信息、群列表。但《规范》要求,此类APP收集好友列表,仅用于建立和管理用户在即时通讯社交应用的联系人关系,应允许用户在即时通讯社交应用中手动添加好友,而不应强制读取用户的通讯录。
“这个应该属于技术文件,不是国家标准,没有强制约束力,但是对于‘必要信息’的规定非常具体,针对不同类型的应用软件,规定了必要信息的具体范围,这对于监管部门的监管会有很大的参考作用。”刘华星说。
在刘华星看来,“未来还应出台专门的个人信息保护法,对个人信息保护的规定加以细化。”
刘华星告诉经济导报记者,很多互联网公司的数据管理员,在数据安全意识尤其是保护个体数据安全意识上,边界意识较差。什么数据可以用,什么数据可以搜集,对个人数据使用到什么程度,泄露后怎么处罚等,都没有相应的认知和具体的规范要求。未来,需要加强执法力度,“除了大幅提升对违法违规企业的惩罚力度,还需制定APP过度索权的评估标准和打造有力的监管体系。”
“此外,网站平台收集和使用用户信息,应当遵循‘合法、正当、必要’三原则。对收集到的用户信息应当采取安全保护措施,一旦发生泄密,必须及时采取补救措施,否则都可能面临行政处罚或者用户的诉讼。”刘华星表示。