千餘款App平均申請25項權限光大銀行竟需獲取性取向
使用銀行App還需要獲取性取向、婚史、好友列表、精准定位信息?近日,據國家網絡安全通報中心透露,又有100款違法違規採集個人信息的App被查處整改,光大銀行、更美、考拉海購、微店等知名App在列。通告指出,此次集中整治,重點針對無隱私協議、收集使用個人信息範圍描述不清、超範圍採集個人信息和非必要採集個人信息等情形。
其中,在發布日期為2019年10月30日的《中國光大銀行手機銀行隱私政策》羅列的可能收集的個人信息及收集信息範圍一項內容備受爭議,引發人們再度質疑:App刺探用戶隱私的“手”,究竟能伸到哪兒?
千餘款App每款平均申請25項權限
《中國光大銀行手機銀行隱私政策》在個人信息範圍描述的相關條款中,“個人敏感信息”一項中列出的“其他信息”,包括個人電話號碼、性取向、婚史、宗教信仰、未公開的違法犯罪記錄、通信記錄和內容、通訊錄、好友列表、群組列表、精准定位信息、網頁瀏覽信息等14項內容。
一款金融類App為何要獲取這麼多用戶個人敏感信息?記者下載使用後發現,如果選擇暫不同意該隱私政策,則無法使用光大銀行手機銀行的相關服務。
針對此事,光大銀行在其官網發布說明稱:“光大銀行高度重視提升客戶體驗與客戶隱私信息保護工作,切實保證用戶個人信息安全,目前提示的用戶隱私政策條款符合相關要求。光大銀行手機銀行App一直正常運行,從未停止過服務。”
有業內人士認為,銀行App在隱私政策中列出此類條款,違反了監管部門對信息獲取最少夠用原則。根據2018年5月1日實施的《信息安全技術個人信息安全規範》,網絡運營者或者其他個人信息收集者,除與個人信息主體另有約定外,只處理滿足個人信息主體授權同意的所需最少個人信息類型和數量。目的達成後,應及時根據約定刪除個人信息。
邁入移動互聯時代,大數據的價值日益凸顯,但稍加梳理即可發現,許多App也在藉收集數據之名,不斷刺探獲取用戶隱私的邊界。
“大眾點評”App曾出現用微信登錄後,酒店、餐廳等地方的簽到點評信息就全部出現在好友面前;航旅縱橫App開通的“虛擬客艙”功能,乘客可以查看同一航班其他乘客的歷史飛行地點及頻率等信息,還有用戶在使用後收到騷擾信息;此前曾引起軒然大波的滴滴順風車的車主乘客互評功能,人未上車司機就已知曉你“顏值幾何”……
來自國家互聯網應急中心監測分析發現,在目前下載量較大的千餘款移動App中,每款應用平均申請25項權限,平均收集20項個人信息和設備信息。通常與主業無關的通話權限,就有30%以上的App申請。
註冊充值後就可定位或查詢動態軌跡
“我每天都要接到好幾個陌生電話,不接怕遺漏重要電話,接來一聽全是問要不要買房、貸款,要不要給孩子報補習班。”面對騷擾電話,北京的陳女士苦不堪言。
有業內人士表示,大多數App都會要求獲取訪問用戶應用程序列表的權限,他們就可以在用戶不知情的情況下,分析用戶對應用程序的使用習慣,來推測出用戶的愛好。這些信息可能與App的主業無關,但卻能夠幫助企業給用戶做畫像,從而進行商業營銷。
除了App過度索取權限導致的隱私洩露,還有一些不法App專門獲取用戶隱私信息謀利。
今年初,江蘇南京警方破獲一起通過技術定位侵犯公民個人信息案。去年1月,一名男子報警稱,討債人員利用手機定位軟件,實時定位到了他聊天賬號的位置,結果對方找上門,使他人身安全受到威脅。
警方介入調查後發現,討債人員是使用了一款名叫“App神探”的定位軟件,只需把想要定位的人的聊天軟件賬號輸進去,點擊查詢,就可以查詢靜態位置或動態軌跡。
據民警介紹,用戶要先在該App軟件上註冊成為會員,充值後才能使用定位功能。如果對方在線,定位一次只要1元。如果對方不在線,定位一次要10元。案發時,這款定位軟件已經吸引了4000多名註冊用戶,涉案金額40餘萬元。
App過度索取權限、個人隱私信息一旦氾濫便會造成極大的危害。例如身份證號會被用於貸款、辦黑卡,甚至被不法分子用來辦理手機卡用於電話詐騙。
獲取用戶信息應合法正當且必要
個人隱私頻頻失守,App索取用戶信息的邊界究竟在哪兒?
北京志霖律師事務所律師趙占領表示,根據網絡安全法的規定,網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則。
“應用軟件索取用戶信息的邊界,主要是依據必要原則。對於必要原則通常的理解是,比如基於法律本身強制性規定的情況,要求App進行實名制認證,就需要收集如用戶身份證號碼等信息。 ”趙占領說。
“第二種情況就是基於這種產品本身的功能特點。比如地圖軟件就需要收集用戶的位置信息,社交軟件就可能需要讀取你的通訊錄。”趙占領表示,“還有第三種情況就是為了改進用戶體驗而收集用戶信息,而這種情況往往容易產生爭議。”
2019年6月1日,全國信息安全標準化技術委員會秘書處編制發布了《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規範(V1.0)》,給出了地圖導航、網絡約車、即時通訊社交、社區社交、網絡支付、新聞資訊、網上購物、短視頻、快遞配送、餐飲外賣、交通票務、婚戀相親、求職招聘、金融借貸、房產交易、汽車交易16類基本業務功能正常運行所需的個人信息。
“這個文件非常具體,第一次規定了各種不同類型軟件收集個人必要信息的具體範圍,是對必要原則進行的細化。但這個國家標準是屬於推薦性標準,沒有強制約束力。監管部門在監管時可以作為參考。”趙占領認為,今後還需要建立常態化的執法機制,對App違法採集個人信息長期保持監管的高壓態勢。
有業內人士分析認為,互聯網公司在開發手機App的同時,一定要確保所得數據的私密性,維護用戶數據隱私不受侵犯。
“應用軟件收集用戶個人信息,還需要明確告知收集個人信息的範圍,收集的用途,並且經過用戶明確同意,這是基本的原則。”趙占領表示,如果用戶發現某個企業違反相關原則,或者未經同意就讀取用戶的相關信息,就可以向相關部門舉報投訴。