超范圍高頻率獲取個人資訊不同意讀取不能使用
App過度收集個人資訊何時休?
● 下載運作購物App,需要允許通訊錄許可權;下載運作交友App,需要允許位置許可權;哪怕是借個共用充電寶,也被收集各種個人資訊……App過度收集個人資訊已成為用戶的一大槽點
● 個人資訊的收集具有隱蔽性特徵,收集者與被收集者處于明顯不對等的地位,用戶對收集過程缺乏可感知性,加上相關法律規范存在模糊空間,都讓App運營商有恃無恐
● 要壓實互聯網資訊服務提供者的責任,尤其對于敏感個人資訊,App應該在具有特定的目的和充分的必要性,且採取嚴格保護措施的情形下,才可以處理。同時,行業協會應加強行業自律,健全黑名單制度,對違法企業和個人進行聯合懲戒
今年4月,遼寧瀋陽居民白鴿(化名)家的單元門換了新的門禁係統,使用門禁係統需要下載一款App。然而,白鴿發現,該App會讀取用戶大量個人資訊,包括位置資訊、錄音、通訊錄、相機等,用戶不同意就無法登錄使用。
“一個門禁係統,為什麼要收集這麼多個人隱私?”白鴿和身邊不少業主對此均很不理解。
類似的情況並不鮮見。近年來,App過度收集個人資訊已經成為一大頑疾,群眾反映強烈,相關部門也多次查處通報,仍屢禁不止。
App過度收集個人資訊何時休?帶著這一問題,《法治日報》記者展開了調查。
超范圍獲取資訊很多用戶不知情
下載運作購物App,需要允許通訊錄許可權;下載運作交友App,需要允許位置許可權;哪怕是借個共用充電寶,也被收集各種個人資訊……App過度收集個人資訊已成為用戶的一大槽點。
近日,上海市消保委針對消費者在使用共用充電寶過程中遇到的個人信息安全問題開展測試顯示:有些充電寶App首次運作時,在用戶授權同意隱私政策前,就收集個人資訊;有些App收集了用戶的姓名、性別等與租借充電寶無關的個人資訊;還有些App存在未經用戶同意或未作匿名化處理直接向第三方提供個人資訊等。
江蘇消保委2021年《電商平臺侵犯消費者權益相關問題報告》顯示,多家主流電商平臺默認收集非必要資訊。平臺將基于個性化展示的商品、服務的展示瀏覽功能與用戶協議捆綁,要求消費者默認同意接受平臺收集處理消費者的設備資訊、服務日志資訊、瀏覽搜索記錄等資訊,以便平臺通過消費記錄和習慣,向消費者進行有針對性的個性化商品展示。平臺即使提供了個性化展示關閉功能,也未提供資訊收集終止功能。
“個性化展示功能看似便利,實則限制了消費者瀏覽及購物自由,如消費者購買某種商品成功後,基于大數據的推薦,依然會頻繁收到已購産品的推送,既不智能,更影響購物體驗。”江蘇省消保委宣傳部工作人員徐悅告訴記者。
據了解,網上存在一些專業App,用戶下載後借此可以形成“隱私報告”,查看到自己手機裏的App在一周內收集了自己哪些資訊、何時收集的、收集的頻率、與哪些第三方共用了這些資訊等。
記者下載後發現,不少App都在記者不知情的情況下,反覆讀取記者的各種個人資訊,其中手機定位和相冊是被讀取最多的兩項資訊,有一款交友App連續6個小時、每隔幾分鐘就讀取一次記者的手機定位。
就過度收集個人資訊的問題,“黑貓投訴”相關工作人員告訴記者,在黑貓投訴平臺上,2020年11月至今,相關投訴超過3萬條,主要涉及網貸、網上商城、第三方支付、保險等行業。
該工作人員介紹,在金融借貸類App上,存在未經用戶同意讀取通訊錄資訊,在能夠與消費者有效聯繫的情況下,通過短信惡意騷擾通訊錄聯繫人;還有一些App未經消費者同意收集其搜索、購物等記錄,定向推薦産品。
今年以來,工信部發布10批次《關于侵害用戶權益行為的App通報》、11批次《關于App超范圍索取許可權、過度收集用戶個人資訊等問題“回頭看”的通報》以及《關于下架侵害用戶權益App名單的通報》。而最近一次通報顯示,38款App存在超范圍、高頻次索取許可權,非服務場景所必需收集用戶個人資訊等違規行為。
運營商趨之若鶩易滋生數據黑産
個人資訊保護法規定,個人資訊處理者不得以個人不同意處理其個人資訊或者撤回同意為由,拒絕提供産品或者服務;處理個人資訊屬于提供産品或者服務所必需的除外。
“收集個人資訊應當限于實現處理目的的最小范圍,非必要不收集;個人資訊處理者在取得個人同意的情形下,方可處理個人資訊。個人資訊處理的重要事項發生變更,應當重新向個人告知並取得同意。”中國傳媒大學文化産業管理學院文化法治研究中心主任鄭寧説。
鄭寧説,個人資訊處理者不得過度收集個人資訊,不得以個人不同意為由拒絕提供産品或者服務,並賦予個人撤回同意的權利。也就是説,消費者有權決定自己的個人資訊是否被使用和使用的范圍以及停止授權使用。對于敏感個人資訊,還應該在具有特定的目的和充分的必要性,且採取嚴格保護措施的情形下才可以處理。
過度收集個人資訊,用戶反感、相關部門接連查處通報,為何App運營商仍趨之若鶩?
中國傳媒大學文化法治研究中心副主任程科告訴記者,最重要的原因是利益驅使,個人資訊中蘊含著巨大的商業價值,特別是在數字經濟的背景下,通過對個人資訊的大數據分析,可以為商業決策提供較為準確的依據,同時也使得個性化資訊推送、定向廣告投放等商業模式成為可能,在市場競爭中可以獲得巨大的優勢。
在程科看來,個人資訊的收集常常具有隱蔽性特徵,收集者與被收集者處于明顯不對等的地位,用戶對收集過程缺乏可感知性;加上相關法律規范存在模糊空間,比如如何解釋“過度”,如何理解個人資訊收集中的“最小且必要”原則,都存在一定的模糊性,這些都讓App運營商有恃無恐。
過度收集個人資訊,也加劇了個人資訊泄露、濫用的風險。安徽省宿州市公安局埇橋分局網安大隊相關負責人介紹説,用戶訪問網站或App,網絡服務提供者未明確告知收集使用個人資訊的目的、方式和范圍並獲得用戶同意前,就收集用戶個人資訊,或非因服務過程中所必需的場景,超范圍、多次收集個人資訊,像人臉視頻、位置資訊、通訊錄數據,這些都容易滋生數據黑産,引發違法犯罪。
多管齊下強治理聯合懲戒壓責任
整治過度收集個人資訊行為,迫在眉睫。相關部門也在積極行動。
11月1日,工業和信息化部印發《關于開展資訊通信服務感知提升行動的通知》,列出了首批設立“雙清單”、提升客服熱線響應能力、優化隱私政策和許可權調用展示方式的互聯網企業名單,包括39家主要互聯網企業,建立已收集個人資訊清單和與第三方共用個人資訊清單,並在App二級功能表中展示,方便用戶查詢。
11月14日,國家網信辦發布的《網絡數據安全管理條例(徵求意見稿)》提出,數據處理者利用生物特徵進行個人身份認證的,應當對必要性、安全性進行風險評估,不得將人臉、步態、指紋、虹膜、聲紋等生物特徵作為唯一的個人身份認證方式,以強制個人同意收集其個人生物特徵資訊。
在程科看來,解決過度收集個人資訊行為需要立法端、司法端、執法端、用戶端多管齊下。
他進一步解釋説,在立法端,需要將個人資訊保護的相關規則進一步具體化,通過分級分類的方式逐步建立具體可執行的標準。可以考慮對個人資訊本身進行精細化分類,為身份數據、行為數據、特殊主體數據(未成年人、老年人等)確立不同的保護標準;此外,對于資訊的收集方,如各類App,進行分級分類管理,對其收集許可權予以明確。
“目前,個人資訊的保護仍然處于多部門聯合執法的狀態,設立專門的資訊執法部門有助于明確職責,提升執法的專業性。”程科説,用戶也需要提升信息安全意識,在使用App時閱讀用戶協議、隱私保護協議,發現個人資訊存在被過度收集的行為時積極舉報、維權。
鄭寧也認為,消費者應提高警惕,保護好個人資訊。在下載或使用App時一定要仔細閱讀相關條款,不要隨意開通涉及個人資訊的許可權;不要隨意填寫個人資訊或上傳帶有個人資訊的證件及復印件。如遇個人資訊泄露或被非法使用情況,應立即通過法律手段維護自身合法權益。
“要壓實互聯網資訊服務提供者的責任。尤其對于敏感個人資訊,App應該在具有特定的目的和充分的必要性,且採取嚴格保護措施的情形下,才可以處理。同時,行業協會應加強行業自律,健全黑名單制度,對違法企業和個人進行聯合懲戒。”鄭寧説。(見習記者 張守坤 記者 韓丹東 實習生 王意天 漫畫/李曉軍)
