蒐集個人隱私方式日益隱蔽留心躲避手機App隱私陷阱
今年8月的最後一天,一款名叫ZAO的AI換臉手機App火了,用戶只要把照片上傳到這款App上,就可以和一眾明星換臉。“逆天”的功能並非ZAO火的全部理由,涉嫌違法的指責讓這款App開始刷屏。使用ZAO的用戶協議上提出“同意授予ZAO及其關聯公司以及ZAO用戶全球範圍內完全免費、不可撤銷、永久、可轉授權和可再許可的權利”,這意味著包括肖像在內的個人信息被霸道地收集,並且可能被其他企業使用。
9月3日,針對曝光的“ZAO”App用戶隱私協議不規範,存在數據洩露風險等網絡數據安全問題,工業和信息化部網絡安全管理局對北京陌陌科技有限公司相關負責人進行了問詢約談。
聽來雖然令人震驚,但ZAO絕非首個收集個人信息的App。《法制日報》記者梳理髮現,近年來,手機App對個人隱私的蒐集日益嚴重,雖然幾經曝光,但相關企業的態度卻曖昧不清。ZAO的意外走紅,從一個側面再次暴露出我國公民個人信息保護的短板和難題,在相關立法出台之前,公眾使用手機App前一定要留心躲避其中的個人隱私陷阱。
過度採集個人信息趨勢普遍
消費記錄被購物App分析,出行住宿被旅行App掌握,行車線路也被導航App知道得一清二楚……在互聯網大數據面前,普通用戶幾乎是“裸體”的,而一旦這些數據被洩露,後果不堪設想。更為嚴重的是,一些手機App從一開始的信息採集就是過度的。
2018年8月29日,中國消費者協會發布《App個人信息洩露情況調查報告》稱,手機App需要獲取的權限種類繁多,過度採集個人信息呈現普遍趨勢。
2018年11月28日,《100款App個人信息收集與隱私政策測評報告》由中消協對10類共100款App進行綜合評測後發布。報告顯示,100款App中,超過九成App列出的權限存在涉嫌越界,即存在過度收集用戶個人信息的問題。
被測評的10類App為通訊社交、影音播放、網上購物、交易支付、出行導航、金融理財、旅遊住宿、新聞閱讀、郵箱雲盤和拍攝美化,基本囊括了公眾日常使用App的全部類型。“位置信息”“通訊錄信息”“手機號碼”是過度收集或使用個人信息最常見的內容,除此之外,用戶的個人照片、個人財產信息、生物識別信息、工作信息、交易賬號信息、交易記錄、上網瀏覽記錄等,均存在被過度使用或收集的現象。
今年初,中央網信辦、工業和信息化部、公安部、市場監管總局對外發布《關於開展App違法違規收集使用個人信息專項治理的公告》,中消協、中國互聯網協會等部門聯合成立App專項治理工作組,對用戶數量大、與民眾生活密切相關的App的隱私政策和個人信息收集使用情況進行評估。
然而,在專項治理的凌厲攻勢下,App過度採集個人信息的問題並未得到遏制。
今年央視3·15晚會介紹了個人隱私信息通過手機App洩露的案例。主持人現場使用一款名為“社保掌上通”的App查詢個人社保信息,一旁的網絡安全專家通過抓取分析數據包發現,用戶的信息在查詢時已被發送至一家大數據公司的服務器。
7月16日,上述App專項治理工作組發布通知,稱有40款App在個人信息收集方面存在問題,且未公開有效聯繫方式。工作組敦促這40款App的運營者30日內完成整改,並向工作組提交整改報告。這份通知顯示,Wi-Fi萬能鑰匙、同花順、墨跡天氣、安居客、糗事百科、起點讀書等常見的App,都在需要整改的名單之中。
蒐集個人隱私方式日益隱蔽
2018年,某品牌新上市手機配備了升降式前置攝像頭,在需要調用的時候,這個攝像頭會自動從手機內升起。不過,一些用戶發現在使用某些瀏覽器等不需要調用前置攝像頭的App時,攝像頭還是會自動升起,而這意味著用戶的隱私可能遭到洩露。
由此,不少網友表示,暴露個人隱私的不會只有一個前置攝像頭,事實上,手機麥克風、GPS定位、指紋收集器、聯網數據、語音通話等都可能在記錄著用戶的數據,一些App則將這些數據予以收集。
今年3月,有媒體報導稱,某些App涉嫌“偷聽”用戶信息。隨後這些運營企業均作出解釋性答复。但事實上,App蒐集個人隱私的方式並不局限於“偷看”“偷聽”。
據了解,一般來說,App的安裝和使用只能對一些必要的權限徵求使用人的同意。在使用安卓系統的手機中,有以下幾個權限最常被調取,其一是“讀取已安裝應用列表”,藉此可以了解和分析用戶的使用習慣;其二是“讀取本機識別碼”,主要用來確定用戶的身份;其三是“讀取位置信息”,通過獲取位置,蒐集用戶的活動範圍,例如導航類軟件就必須調取這一權限。
然而,在現實生活中,許多App普遍存在越界索權現象,比如視頻軟件要求讀取運動數據、資訊類App要求開啟相機和麥克風錄音權限等,“為了給您提供更好的服務,我們請求獲取這些權限……”則成為要求獲取相關權限的普遍話術。
手機App使用權限被濫用、隱私條款內容不達標有可能造成用戶隱私洩露,進而引發個人信息非法買賣、電信網絡詐騙等互聯網安全事件。
強化權限管理防範隱私洩露
總的來說,解決手機App過度收集個人信息的問題,需要立法者和執法者共同尋求符合互聯網發展規律的破解之道,同時也需要App開發管理者規範行為、明示隱私條款,各應用商店也要認真履行平台審核責任。
2012年《全國人民代表大會常務委員會關於加強網絡信息保護的決定》提出,“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息”“網絡服務提供者和其他企業事業單位及其工作人員對在業務活動中收集的公民個人電子信息必須嚴格保密,不得洩露、篡改、毀損,不得出售或者非法向他人提供”。
網絡安全法規定,網絡運營者不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。
目前,刑法、民法總則、消費者權益保護法、網絡安全法、電子商務法等,都涉及個人信息保護。但雖有相關法律規定,互聯網企業對公民個人信息的收集並未得到規範。加強個人隱私保護、對個人信息保護專門立法成為近年來的普遍呼聲。今年兩會期間,官方通報,全國人大常委會已將製定個人信息保護法列入本屆立法規劃,相關部門正在抓緊研究和起草,爭取早日出台。
不過,在目前階段,普通手機用戶能做的就是盡量提高警惕,防範隱私洩露。業內人士提醒,用戶盡量選擇知名App商店下載應用軟件;在安裝和使用手機App時,注意閱讀應用權限和用戶協議或隱私政策,查看其中是否有隱私“陷阱”;下載後對App做權限管理,一般情況下,關閉App“資費相關”和“隱私相關”的大部分權限並不影響App正常使用(某些App需“定位”功能的除外)。
一些手機具有權限推薦功能,根據App的功能屬性,推薦用戶開啟或關閉權限。安卓系統用戶可以通過手機設置中的“權限管理”,IOS系統用戶可以通過“隱私”,看到自己下載的App軟件都有哪些權限,權限中哪些是開啟狀態,不相關的、涉及隱私的手動關閉。推薦定期篩選一遍,把所有不影響正常使用的授權全部關閉,避免“流氓軟件”在不知情的情況下收集個人信息。
值得注意的是,在平時使用手機App時不要隨意登錄未知WiFi,隨意刷二維碼。此外,即便是無意將App某個權限關閉,也不要擔心,比如提示無法進行視頻聊天等,使用時打開相關權限即可。