日前,中央网信办官方对外通报,在中央网信办、工信部、公安部、市场监管总局指导下,APP专项治理工作组开通了违法违规收集使用个人信息举报渠道,认真受理网民举报。期间,工作组收到大量关于APP强制、超范围索要权限等举报信息。
据南方日报记者了解到,从中央网信办公布的信息显示,APP专项治理工作组对包括餐饮外卖、地图导航、网上购物、短视频、金融借贷、工具软件、即时通讯、交通票务、浏览器、拍照美化、社区社交、输入法、网络支付、新闻资讯、学习教育、网络游戏、影音娱乐以及其他近20大类共计100款APP申请权限以及强制开启的权限进行了分析统计,其中结果显示,100款常用APP无一例外存在申请收集使用个人信息权限的现象。
针对目前APP行业的现状,国家互联网信息办公室28日就《数据安全管理办法(征求意见稿)》向社会公开征求意见。征求意见稿提出,网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。
在法律界人士看来,国家进一步通过法律法规来规范网络运营者收集个人信息、数据收集处理应用等方面,将会对用户的个人信息保护起到关键的作用。
现象
超六成常用APP“强行”收集个人信息
中央网信办方面表示,规范APP申请收集使用个人信息相关权限,对于加强APP个人信息保护具有重要意义。
据了解,权限是操作系统内置的访问控制机制,安卓(Android)操作系统通过权限来控制APP对系统资源和个人信息的访问使用。APP只有在系统层面获取了某项权限,才能执行与该权限有关的操作。例如,APP获取READ_CONTACTS(读通讯录)权限,就能读取手机的通讯录信息;获取ACCESS_FINE_LOCATION(访问精准位置)权限,就能得到手机的精确位置信息。
据中央网信办方面透露,目前常用的原生安卓操作系统有26个重点权限与个人信息收集使用密切相关,经过APP专项治理工作组对下载量大的100款APP申请权限以及强制开启的权限进行分析统计后发现,这100款常用的APP无一例外存在申请收集使用个人信息权限的现象,其中360手机卫士申请收集个人信息相关权限数更是多达23个。在100款常用APP中,有61款更是在用户不同意开启相关权限的情况下APP无法安装或运行。
一边是大量APP要求用户开通权限获取用户信息,而另一边则是个人信息的频频泄露。据南方日报记者了解到,近年来,信息泄露事件屡屡发生,而APP过度索要授权是个人信息泄露的导火索之一。2019年中央电视台3·15晚会曝光多家科技企业存在私自采集个人信息的情况。另据“电子商务消费纠纷调解平台”近年来受理的全国数十万起电商投诉案件大数据表明,包括当当网、苏宁易购、国美在线等在内的电商平台,以及携程、去哪儿等在内的生活服务O2O平台,均曾出现用户信息泄露事件。而仅2018年,就多次出现用户个人信息泄露事件,圆通、顺丰十几亿条个人信息在暗网被出售,以及12306数百万条旅客信息在网上被出售等。
网经社-电子商务研究中心法律权益部分析师姚建芳在接受南方日报记者采访时就认为,互联网APP运营者不能过度收集用户信息,同时应保证个人信息的安全,企业最好建立健全用户个人信息安全内控机制,采取一切合理可行的措施,保护用户个人信息。而对于有必要收集个人信息的,法律界人士则认为互联网运营商有义务保护用户信息安全。网经社-电子商务研究中心特约研究员、北京盈科(杭州)律师事务所方超强律师就认为,根据《网络交易管理办法》第25条第二款规定,第三方交易平台经营者应当采取必要的技术手段和管理措施保证平台的正常运行,提供必要、可靠的交易环境和交易服务,维护网络交易秩序。网络运营者在获取个人信息的同时,就有保护个人信息的义务。
新规
APP不能强迫个人授权收集信息
为了维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,根据《中华人民共和国网络安全法》等法律法规,国家互联网信息办公室会同相关部门研究起草了《数据安全管理办法(征求意见稿)》(以下简称“《数据安全管理办法》”)并对外发布,开始向社会公开征求意见。据了解,《数据安全管理办法》对网络运营者在数据收集、处理使用、安全监督管理三方面作出了要求,包括企业利用用户数据和算法推送新闻信息、商业广告时,应标明“定推”字样、并为用户提供停止接收定向推送信息的功能等。
值得留意的是,南方日报记者了解到,在《数据安全管理办法》明确指出,“不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息,而拒绝提供核心业务功能服务”,这对目前大量APP以“不同意授权就不能用”来要挟用户的行为进行了纠正。
“《数据安全管理办法》针对网络爬虫等抓取网页的自动化手段,明确限制在不妨碍网站正常运行的范围内,并列明具体的访问收集流量不得超过网站日均流量1/3;针对‘大数据杀熟’等歧视性推送行为,其要求网络运营者开展定向推送活动应诚实守信,严禁歧视、欺诈等行为。《数据安全管理办法》针对新型数据的安全管理的规定能及时填补因社会发展导致的法律漏洞,具有前瞻性。”上海汉盛律师事务所高级合伙人律师李旻在接受采访时就表示,《数据安全管理办法》对于近年来层出不穷的网络数据安全问题予以细化规定,如对以往手机APP过度获取权限的问题,其要求“网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息”;对数据泄露才确定网络安全负责人的问题,其明确数据安全责任人的任职要求,突出网络运营者主要负责人、数据安全责任人的姓名及联系方式等。
李旻律师认为,尽管《数据安全管理办法》尚存在部分概念及定义有待明确等问题,但从加强公民个人信息保护意识、规范企业数据处理活动的角度来看,其影响不容小觑。“大数据时代的数据安全管理尤为重要,《数据安全管理办法》是我国逐步构建数据安全监管的框架的初步成果,也是维护网络空间主权和国家安全的必然要求。”