有些App為偷窺你的隱私可能有這個操作應用商店要負責嗎?
因違規收集個人信息,張影(化名)所在公司一款App在3月12日被工信部通報。張影表示,此前該App收集信息沒有得到用戶授權也能正常上架,且下載量還不錯,在各大應用商店的安裝量合計超過5億。
來源:中新經緯
作者:常濤
當前,違規收集用戶個人信息是App侵害用戶權益最常見的一種行為。中新經緯記者梳理髮現,2021年以來,共有319款App因侵害用戶權益被工信部通報,其中超範圍收集個人信息,違規收集、使用個人信息是“重災區”。
那麼,這些App在上架應用商店環節為什麼沒被發現可能侵害用戶權益?用戶從OPPO、小米等應用商店下載App後被侵害隱私,這些應用商店需要承擔責任嗎?
今年319款App被通報“偷聽”等被重點整治
工信部App侵害用戶權益行為專項整治工作開始於2019年10月底。同年12月,工信部公佈了首批41款侵害用戶權益App名單,其中不乏QQ、小米金融等知名App。最初工信部重點整治的App問題包括私自收集個人信息、私自共享給第三方、賬號註銷難、不給權限不讓用等。
2021年以來,工信部已通報了三批侵害用戶權益行為的App,總計319款,其中第一批157款,第二批26款,第三批136款。在3月12日通報的2021年第三批136款侵害用戶權益App中,不乏騰訊手機管家、訊飛配音、攜程租車、獵豹清理大師等知名互聯網公司的產品。
中新經緯記者註意到,2021年被通報的App所涉問題包括App頻繁自啟動和關聯啟動、超範圍收集個人信息、違規使用和收集個人信息,App強制、頻繁、過度索取權限等,這與專項整治工作最初關注的App問題有所變化。
2021年3月初,工信部部長肖亞慶直言,就群眾反映強烈的“麥克風權限濫用”“過度索取通訊錄”等問題,對App開展了專項整治,堅決下架侵害用戶權益拒不接受整治的App。
另據媒體2月報導,工信部正在起草《移動互聯網應用程序個人信息保護管理暫行規定》,明確知情同意和最小必要兩項個人信息保護基本原則,為App個人信息保護明確底線、劃出紅線。同時將以問題為導向,重點解決“麥克風權限濫用”“未經用戶同意擅自讀寫相冊”“過度索取通訊錄”“隱藏個推關閉選項”等當前用戶反映強烈的熱點問題。
這意味著,今後App“偷聽”等一系列侵害用戶隱私的行為,如App違規調用麥克風、通訊錄、相冊等將被重點整治。
有些App為偷窺你的隱私可能有這個操作
對於通報App所涉侵犯用戶權益的問題,尤其是違規收集個人信息、強制索取權限等,有網友表示:這些問題App為什麼能順利上架應用商店呢?應用商店審查不出來嗎?
值得注意的是,工信部在歷次通報中會註明侵害用戶權益App的來源。比如在3月12日的通報中,來自騰訊應用寶的萌龍大亂鬥、收錢吧等App因違規收集個人信息上榜;來自OPPO應用商店的P圖大神、來電萬能寶等App因違規收集、使用個人信息上榜;來自小米應用商店的悅跑圈、愛豆等App因違規收集個人信息等上榜。
在2021年第一批通報中,工信部表示,在其組織的十批次檢測中,騰訊應用寶、小米應用商店、豌豆莢、OPPO軟件商店、華為應用市場發現問題分別佔比22.3%,12.0% ,10.3%,9.9%,8.8%,平台管理主體責任落實不到位。
事實上,各大手機應用商店都有自己的審核標準。例如《華為應用市場審核指南》隱私政策顯示,應用訪問、收集、使用或披露任何個人數據,需經用戶的同意或遵守其他適用的法律法規;應用收集和使用個人數據須遵守數據最小化原則;應用申請和使用權限須遵守權限最小化原則等。
但在實踐中,應用商店未必能將審核標準落到實處。某互聯網大廠一位不願具名的安全工程師向中新經緯記者透露,目前應用商店的審查確實比較粗糙,主要原因是相關隱私標準一直在變,導致應用市場也拿不准,“有時候就睜一隻眼閉一隻眼上架了”。
上述安全工程師透露,開發者還可以通過某些技術操作,使App繞過應用市場的審核。“一些App在上架應用市場的時候,獲取隱私的按鈕是關閉的,但用戶下載到手機後就自動打開了。不過這是少數行為。”
另有不願具名的程序開發者向中新經緯記者表示,從技術上來說,應用商店可以審查出一個App可以獲取用戶哪些權限。一般情況下,上架應用商店的App都無法擅自獲取用戶的通訊、定位、麥克風權限,這些權限獲取均需要經過用戶同意,但不排除App強制用戶開啟,即不開啟無法使用該App,或找藉口騙用戶開啟,這些應用商店審查不出來。
應用商店需要承擔責任嗎?
中新經緯記者註意到,早在2016年6月,國家互聯網信息辦公室就發布了《移動互聯網應用程序信息服務管理規定》,國家互聯網信息辦公室有關負責人就此規定答記者問時指出,“互聯網應用商店服務提供者應當對應用程序提供者履行’四項管理責任’”。其中一項責任就是“督促應用程序提供者保護用戶信息,完整提供應用程序獲取和使用用戶信息的說明,並向用戶呈現。”
中國互聯網協會法治工作委員會副秘書長胡鋼在接受中新經緯採訪時表示,新印發的《常見類型移動互聯網應用程序必要個人信息範圍規定》將於5月1日施行,明確了39種常見類型App的必要個人信息範圍,其中13類App無須個人信息,即可使用基本功能服務。
總的來說,這條新規更精準、更有力也更有持久性,同時也對App開發者提出了更高的要求。
“App要獲取哪些權限應主動、詳盡告知應用商店,還應請第三方機構對App相關信息、權限獲取功能進行檢測,這些細節應在應用商店展示,應用商店做好把關者的角色。”胡鋼表示,“應用商店參與了App的分發、銷售環節,與開發者是利益共同體,App出現問題應用商店無法獨善其身,是共同責任人,應承擔連帶責任。”
胡鋼表示,目前對侵害用戶權益App且到期未整改的處罰只停留在下架層面,未來有必要加大處罰力度。“非法、過度獲取或使用個人信息達到一定量,是否可以考慮停止其運營並追究其刑事責任,這是應該積極探討的。”