原標題:APP瘋狂採集個人信息 有的存儲時間長達10年
有安全團隊人士稱,侵權者獲取大量數據后有機會帶來巨大經濟和社會效益,違法成本卻微乎其微
自2019年1月至12月,中央網信辦、工信部、公安部、市場監管總局等四部門在全國范圍組織開展App違法違規收集使用個人信息專項治理。3月初,工作組開通了微信公眾號和舉報專用郵箱,在一個半月裡(截至4月16日),收到舉報信息超過3480條,涉及1300余款APP,遍及金融借貸、社區社交、網上購物、短視頻與直播、即時通訊等當今熱門移動應用領域。其中30款用戶量大且問題嚴重的APP,工作組已向其運營者發送了整改通知。
面對巨大的經濟利益,APP瘋狂採集個人隱私信息的現狀如何才能真正解決,這不僅是我國的難題,也是世界各國都面臨的難題。
一個半月收集舉報超3480條
隱私條款不明確是重災區
正如本報此前多次報道,近年來我國爆發的多宗個人信息、隱私泄露或販賣的案件中,很多時候追溯到的黑灰產產業鏈數據源頭都是大大小小的互聯網廠商。
即使不被用於黑灰產等的違法用途,互聯網應用過度採集個人信息的行為,本身就涉嫌侵犯用戶個人隱私,對用戶心理造成很大的不安。比如,輸入法、手電筒APP,要求獲取地理位置是要干嘛?有的APP,在靜默狀態下竟然會悄悄啟動麥克風、攝像頭持續採集用戶音視頻數據。還有APP被發現長期在后台悄悄記錄用戶的通話記錄、短信、通訊錄、位置信息、設備信息等並上傳到企業服務器……
有見及此,《信息安全技術個人信息安全規范》(簡稱《規范》)2018年5月1日實施,《規范》嚴格界定了個人信息控制者的權利並明確了其義務:規定在收集個人信息前,應當向信息主體明示相關內容並取得同意;涉及間接獲取方式以及個人敏感信息時,應當做出必要說明或取得明示同意且遵守有關法律、行政法規關於個人信息保護的規定。
從一個半月的舉報問題看,26%的APP沒有隱私條款或未在隱私條款中明確收集個人信息的目的、方式、范圍;31%的APP在申請打開收集個人信息相關權限時,未明確告知用戶;20%的APP收集與業務功能無關的個人信息,如金融借貸APP收集用戶通信錄;19%的APP未經用戶同意,向他人提供設備ID、應用程序列表等個人信息;13%的APP強制索要與業務功能無關的權限,如計算器、手電筒APP強制要求打開地理位置權限。還有一些APP存在不支持用戶注銷賬戶、更正或刪除信息等問題。
採集用戶信息事關“財路”
互聯網公司信奉“越多越好”
在企業層面,其收集數據的目的是借助大數據分析的力量,精准匹配投放商業廣告,這是國內外幾乎所有互聯網公司的一條重要“財路”。就算不用於廣告,用於自身業務發展也是越多越好。
今年1月,據媒體報道,有白帽黑客通過抓包工具監測發現,如果用戶甲在微信朋友圈分享了一條今日頭條新聞,當甲的微信好友乙和丙都打開看過這條新聞后,今日頭條就悄悄記錄下乙和丙都是甲的好友,並將這組社交關系分享給本公司的抖音等APP平台,其違規在於,正常軟件在設置cookie參數時一般僅為5至7天,而今日頭條將這一數值設定為10年,這一隱蔽設定使其可以長期更新關注用戶的好友關系變動情況。
還有用戶下載一款APP申請貸款時,發現對方要求知道自己所安裝的全部APP列表,感到十分詫異。該應用客服人員對此的解釋是,應用列表信息將作為該平台綜合授信的一個維度,比如獲知用戶是否安裝了多款借款類APP,依此綜合評估用戶的信用風險。
析因
1
法律依然缺位,讓企業違規幾無成本
有業內人士指出,大數據時代,沒人知道哪些數據會成為重點,不少企業本著“不管有用沒用,多收集一點總沒壞處”的想法,濫採用戶信息和資料。但這種想法和《規范》是相悖的。《規范》明確個人信息的收集類型、頻率和數量應在必要性的最小要求之內,即符合最少夠用原則的要求。
遺憾的是,《規范》只是一套推薦性國家標准(目前國內尚無專門針對個人信息保護的法律),並不具備法律效力和強制約束力,這讓有心違規的企業肆無忌憚。在截至4月中旬的舉報信息裡,針對30款用戶量大且問題嚴重的APP,工作組也只是向其運營者發送了整改通知。逾期不改的,才考慮公開曝光,情節嚴重的予以下架、停止服務等。
前述安全團隊人士慨嘆說,侵權者獲取大量數據后有機會帶來巨大的經濟和社會效益,而同等條件下的違法成本卻微乎其微,難怪企業會屢禁不止。
更尷尬的是,在個人信息保護法缺位之下,原本應作為保障用戶隱私和權利公平的APP隱私保護協議,反被運營者利用為逃避應有法律義務、責任的擋箭牌,像某APP用戶協議中寫道,“對發布在××上的信息,××擁有再許可的權利”;有的說“××可將用戶信息傳至第三方,且不負擔任何責任”;或者“用戶的發表、上傳行為意味著對××的授權”。
事實上,用戶對APP隱私協議舉報最多的,除了“自動默認勾選視為同意”和“不同意不能使用APP”外,在隱私條例裡設置霸王條款或者偷換概念內容來惡意規避法律責任,也是其中之一。
2
新技術層出不窮,更多個人信息認定存爭議
有法律專家指出,我國個人信息保護法律缺位的現狀,和它本身是一件不斷發展、演變中的事物不無關系。隨著近年來各種新技術的發展,大家越來越活在各種傳感器、攝像頭、定位系統、無人機等設備的時刻“監控”之下,傳統隱私權定義已經不能適應新形勢,更多新型個人信息的認定和侵犯方式,都還存在諸多爭議。
一方面,智能家居設備的攝像頭,可能會在你某次在掃地機器人旁輸入銀行密碼時記錄你的財務信息。用於智能醫療的各類可穿戴設備可能會不費氣力地了解你的心跳、脈搏、血壓、睡眠質量等。此外,通過可穿戴設備及其他設備等獲得的個人數據,有可能會深入到思維這個層面,人的思維、心理狀態這些隱秘信息,將成為可以被感知、存儲、傳輸甚至處理的外在信息,更關鍵的是,個體很難控制信息的發出、傳播與使用,會變得無能為力。
在日前一場某搜索引擎的營銷峰會上,記者發現,其號稱人臉識別技術能做到根據攝像頭獲取人臉圖像信息,據此智能分析出人物性別年齡特征值,並在其經過的各類樓宇屏幕上展現廣告設定的廣告。還有遠程教育公司宣布,成功開發出新系統,可根據學生實時表情及行為實時評估教學效果,並應用於VR互動教學,打造新型沉溺體驗。
面對這些新型個人信息和隱私保護難題,各國都在探索應對之策,但看來短期內也難有定論。在美國,已經有參議員提議通過新的法案——商業面部識別隱私法,對技術公司的人臉識別技術使用進行一定限制。在我國,今年兩會期間,全國人大常委會也已將個人信息保護法等與人工智能密切相關的立法項目列入本屆五年的立法規劃。2018年5月歐盟開始實施被稱為史上最嚴格的GDPR(《一般數據保護條例》),雖然有了向Facebook等巨頭連續開出天價罰單的戰績,但學者表示擔心,認為如果不允許收集數據,就類似於“想倒掉洗澡水,把寶寶也潑出去了”。還有學者直言,當前對隱私問題的研究,有待於更充足的經濟學、社會學層面的知識給予支撐和完善。