個(gè)人隱私如何保護(hù) 千余款A(yù)PP每款平均申請(qǐng)25項(xiàng)權(quán)限

　近日，據(jù)國(guó)家網(wǎng)絡(luò)安全通報(bào)中心透露，又有100款違法違規(guī)采集個(gè)人信息的APP被查處整改，光大銀行、更美、考拉海購(gòu)、微店等知名APP在列。通告指出，此次集中整治，重點(diǎn)針對(duì)無隱私協(xié)議、收集使用個(gè)人信息范圍描述不清、超范圍采集個(gè)人信息和非必要采集個(gè)人信息等情形。

其中，在發(fā)布日期為2019年10月30日的《中國(guó)光大銀行手機(jī)銀行隱私政策》羅列的可能收集的個(gè)人信息及收集信息范圍一項(xiàng)內(nèi)容備受爭(zhēng)議，引發(fā)人們?cè)俣荣|(zhì)疑：APP刺探用戶隱私的“手”，究竟能伸到哪兒？

千余款A(yù)PP每款平均申請(qǐng)25項(xiàng)權(quán)限

《中國(guó)光大銀行手機(jī)銀行隱私政策》在個(gè)人信息范圍描述的相關(guān)條款中，“個(gè)人敏感信息”一項(xiàng)中列出的“其他信息”，包括個(gè)人電話號(hào)碼、性取向、婚史、宗教信仰、未公開的違法犯罪記錄、通信記錄和內(nèi)容、通訊錄、好友列表、群組列表、精準(zhǔn)定位信息、網(wǎng)頁(yè)瀏覽信息等14項(xiàng)內(nèi)容。

一款金融類APP為何要獲取這么多用戶個(gè)人敏感信息？記者下載使用后發(fā)現(xiàn)，如果選擇暫不同意該隱私政策，則無法使用光大銀行手機(jī)銀行的相關(guān)服務(wù)。

針對(duì)此事，光大銀行在其官網(wǎng)發(fā)布說明稱：“光大銀行高度重視提升客戶體驗(yàn)與客戶隱私信息保護(hù)工作，切實(shí)保證用戶個(gè)人信息安全，目前提示的用戶隱私政策條款符合相關(guān)要求。光大銀行手機(jī)銀行APP一直正常運(yùn)行，從未停止過服務(wù)。”

有業(yè)內(nèi)人士認(rèn)為，銀行APP在隱私政策中列出此類條款，違反了監(jiān)管部門對(duì)信息獲取最少夠用原則。根據(jù)2018年5月1日實(shí)施的《信息安全技術(shù)個(gè)人信息安全規(guī)范》，網(wǎng)絡(luò)運(yùn)營(yíng)者或者其他個(gè)人信息收集者，除與個(gè)人信息主體另有約定外，只處理滿足個(gè)人信息主體授權(quán)同意的所需最少個(gè)人信息類型和數(shù)量。目的達(dá)成后，應(yīng)及時(shí)根據(jù)約定刪除個(gè)人信息。

邁入移動(dòng)互聯(lián)時(shí)代，大數(shù)據(jù)的價(jià)值日益凸顯，但稍加梳理即可發(fā)現(xiàn)，許多APP也在借收集數(shù)據(jù)之名，不斷刺探獲取用戶隱私的邊界。

“大眾點(diǎn)評(píng)”APP曾出現(xiàn)用微信登錄后，酒店、餐廳等地方的簽到點(diǎn)評(píng)信息就全部出現(xiàn)在好友面前；航旅縱橫APP開通的“虛擬客艙”功能，乘客可以查看同一航班其他乘客的歷史飛行地點(diǎn)及頻率等信息，還有用戶在使用后收到騷擾信息；此前曾引起軒然大波的滴滴順風(fēng)車的車主乘客互評(píng)功能，人未上車司機(jī)就已知曉你“顏值幾何”……

來自國(guó)家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測(cè)分析發(fā)現(xiàn)，在目前下載量較大的千余款移動(dòng)APP中，每款應(yīng)用平均申請(qǐng)25項(xiàng)權(quán)限，平均收集20項(xiàng)個(gè)人信息和設(shè)備信息。通常與主業(yè)無關(guān)的通話權(quán)限，就有30%以上的APP申請(qǐng)。

注冊(cè)充值后就可定位或查詢動(dòng)態(tài)軌跡

“我每天都要接到好幾個(gè)陌生電話，不接怕遺漏重要電話，接來一聽全是問要不要買房、貸款，要不要給孩子報(bào)補(bǔ)習(xí)班。”面對(duì)騷擾電話，北京的陳女士苦不堪言。

有業(yè)內(nèi)人士表示，大多數(shù)APP都會(huì)要求獲取訪問用戶應(yīng)用程序列表的權(quán)限，他們就可以在用戶不知情的情況下，分析用戶對(duì)應(yīng)用程序的使用習(xí)慣，來推測(cè)出用戶的愛好。這些信息可能與APP的主業(yè)無關(guān)，但卻能夠幫助企業(yè)給用戶做畫像，從而進(jìn)行商業(yè)營(yíng)銷。

除了APP過度索取權(quán)限導(dǎo)致的隱私泄露，還有一些不法APP專門獲取用戶隱私信息謀利。

今年初，江蘇南京警方破獲一起通過技術(shù)定位侵犯公民個(gè)人信息案。去年1月，一名男子報(bào)警稱，討債人員利用手機(jī)定位軟件，實(shí)時(shí)定位到了他聊天賬號(hào)的位置，結(jié)果對(duì)方找上門，使他人身安全受到威脅。

警方介入調(diào)查后發(fā)現(xiàn)，討債人員是使用了一款名叫“APP神探”的定位軟件，只需把想要定位的人的聊天軟件賬號(hào)輸進(jìn)去，點(diǎn)擊查詢，就可以查詢靜態(tài)位置或動(dòng)態(tài)軌跡。

據(jù)民警介紹，用戶要先在該APP軟件上注冊(cè)成為會(huì)員，充值后才能使用定位功能。如果對(duì)方在線，定位一次只要1元。如果對(duì)方不在線，定位一次要10元。案發(fā)時(shí)，這款定位軟件已經(jīng)吸引了4000多名注冊(cè)用戶，涉案金額40余萬元。

APP過度索取權(quán)限、個(gè)人隱私信息一旦泛濫便會(huì)造成極大的危害。例如身份證號(hào)會(huì)被用于貸款、辦黑卡，甚至被不法分子用來辦理手機(jī)卡用于電話詐騙。

獲取用戶信息應(yīng)合法正當(dāng)且必要

個(gè)人隱私頻頻失守，APP索取用戶信息的邊界究竟在哪兒？

北京志霖律師事務(wù)所律師趙占領(lǐng)表示，根據(jù)網(wǎng)絡(luò)安全法的規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則。

“應(yīng)用軟件索取用戶信息的邊界，主要是依據(jù)必要原則。對(duì)于必要原則通常的理解是，比如基于法律本身強(qiáng)制性規(guī)定的情況，要求APP進(jìn)行實(shí)名制認(rèn)證，就需要收集如用戶身份證號(hào)碼等信息。”趙占領(lǐng)說。

“第二種情況就是基于這種產(chǎn)品本身的功能特點(diǎn)。比如地圖軟件就需要收集用戶的位置信息，社交軟件就可能需要讀取你的通訊錄。”趙占領(lǐng)表示，“還有第三種情況就是為了改進(jìn)用戶體驗(yàn)而收集用戶信息，而這種情況往往容易產(chǎn)生爭(zhēng)議。”

2019年6月1日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處編制發(fā)布了《網(wǎng)絡(luò)安全實(shí)踐指南——移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范(V1.0)》，給出了地圖導(dǎo)航、網(wǎng)絡(luò)約車、即時(shí)通訊社交、社區(qū)社交、網(wǎng)絡(luò)支付、新聞資訊、網(wǎng)上購(gòu)物、短視頻、快遞配送、餐飲外賣、交通票務(wù)、婚戀相親、求職招聘、金融借貸、房產(chǎn)交易、汽車交易16類基本業(yè)務(wù)功能正常運(yùn)行所需的個(gè)人信息。

“這個(gè)文件非常具體，第一次規(guī)定了各種不同類型軟件收集個(gè)人必要信息的具體范圍，是對(duì)必要原則進(jìn)行的細(xì)化。但這個(gè)國(guó)家標(biāo)準(zhǔn)是屬于推薦性標(biāo)準(zhǔn)，沒有強(qiáng)制約束力。監(jiān)管部門在監(jiān)管時(shí)可以作為參考。”趙占領(lǐng)認(rèn)為，今后還需要建立常態(tài)化的執(zhí)法機(jī)制，對(duì)APP違法采集個(gè)人信息長(zhǎng)期保持監(jiān)管的高壓態(tài)勢(shì)。

有業(yè)內(nèi)人士分析認(rèn)為，互聯(lián)網(wǎng)公司在開發(fā)手機(jī)APP的同時(shí)，一定要確保所得數(shù)據(jù)的私密性，維護(hù)用戶數(shù)據(jù)隱私不受侵犯。

“應(yīng)用軟件收集用戶個(gè)人信息，還需要明確告知收集個(gè)人信息的范圍，收集的用途，并且經(jīng)過用戶明確同意，這是基本的原則。”趙占領(lǐng)表示，如果用戶發(fā)現(xiàn)某個(gè)企業(yè)違反相關(guān)原則，或者未經(jīng)同意就讀取用戶的相關(guān)信息，就可以向相關(guān)部門舉報(bào)投訴。