媒体追问手机APP越界获取权限:隐私谁来保护
在手机上安装一款APP,大多数人会经历类似的过程——在一份写满各种读取权限的用户协议上点击同意,才能完成安装。
在这些权限中,有获取位置的、读取短信信息的、读取通讯录名单的、浏览手机存储的。各种APP应用在读取用户个人信息时,几乎是海量的,而用户往往在涉及种种个人隐私权限的协议面前,一览而过甚至放弃阅读,轻易地将个人信息授予APP。
那么,APP索要用户信息的边界在哪儿?个体的隐私又该如何保护?《工人日报》记者对此进行了调查采访。
手机APP频频越界
互联网第三方研究机构DCCI互联网数据中心发布的《2016年中国Android手机隐私安全报告》显示,2016年Android非游戏类APP中有91.7%需要读取位置信息,其中13%属于越界;需要访问联系人的占49%,其中9.1%属于越界。此外,越界读取短信、通话记录、手机号码等行为也非常严重。
记者了解到,越界获取权限除了造成手机卡顿之外,更严重的后果在于一旦隐私被窃,手机中的重要资料和照片就会被肆意查看,如果随意访问联系人、短信、记事本等应用,还会造成银行卡账号密码等信息泄露,造成经济损失。
2013年,工信部联合其他部门推出的《信息安全技术公共及商用服务信息个人信息保护指南》确定了一些APP应当遵循的基本原则,包括目的明确、最少够用、公开告知、个人同意等。其中,最少够用原则是指只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息。目的明确的原则强调处理个人信息具有特定、明确、合理的目的,不扩大适用范围,不在个人信息主体不知情的情况下改变处理个人信息的目的。
显而易见的是,目前很多APP都违反了上述原则。记者在一款安卓手机的应用商店中搜索了多个手电筒APP,几乎所有的APP都请求拨打电话、读取通讯录和位置信息等权限。 科技公司“极棒实验室”发布的《APP个人隐私研究报告》显示,该公司研究人员深入分析安卓手机代码后发现,很多权限的申请,都超出了APP的功能范围。
其中,该公司通过对一款提供驾考、汽车信息的APP代码深入分析后发现,该APP申请并调用了读取通话记录权限,并直接将该信息上传至厂商服务器。该项研究还针对一款在Google Paly上下载量超1000万的传输类APP进行分析,发现该APP在新注册用户首次登录时会将用户手机中的通讯录信息直接上传至服务器,且未对通讯录信息进行加密传输,极大增加了被监听截获的风险。
数据背后的利益
2016年8月施行的《移动互联网应用程序信息服务管理规定》指出,互联网应用程序提供者应依法保护用户在安装或使用过程中的知情权和选择权,未向用户明示并经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能,不得开启与服务无关的功能,不得捆绑安装无关应用程序。
然而,记者用安卓手机进行了实验,发现一些APP不仅获取了和自身功能关系不大的权限,一旦禁止这些权限,还会让APP的使用体验变差。而拒绝APP的某些权限申请调用,在使用APP过程中就会弹出调用权限的申请,久而久之,大多数用户就会嫌麻烦,放松警惕,最后同意权限调用。
从事APP开发的技术人员徐晓告诉记者,对一款APP来说,大部分权限实际上是不必要调用的。“比如地图、外卖、出行类的APP,调用位置权限是可以理解的,因为这是基于APP本身的功能考虑,但访问联系人、读取短信等权限则不是基于用户角度考虑,更多是为了收集用户信息的”。
在徐晓看来,尽可能广泛地调取用户权限,是为了尽可能广泛地收集数据,最后形成大数据,这些无论对精准推送、广告投放、还是软件改进来说,都至关重要。比如,获取用户的设备信息,能够针对使用数量多的手机型号和系统进行研发,进而不断提升用户体验,这样才能在同行业的竞争中占得先机。而收集用户的其他信息,也是为了获取数据,“互联网发展瞬息万变,谁也说不准这些目前看似没用的信息,在将来会不会发挥作用”。
个人信息保护亟待加强
手机APP掌握的数据越多,越可能增加用户信息被泄露的风险。一旦网络黑客破解数据库、互联网公司内部员工使用非法手段倒卖用户数据,或者其他恶意盗取用户数据的行为发生,APP所获取的各项信息将会成为不法分子的黑市交易商品。
《信息安全技术公共及商用服务信息个人信息保护指南》和《移动互联网应用程序信息服务管理规定》等对APP的种种行为分别进行了规范,但记者查阅发现,在上述两个文件中,并未规定APP一旦越界后具体的惩治措施,在实践中,也未有APP越界调用权限后被追责或收到处罚的判例。
与此同时,我国目前对个人信息的保护还仅限于刑法,在民法和行政法上还存在不少真空地带。而无论是刑法还是相关司法解释,对如何界定公民个人信息的定义和范围,都没有明确,这给认定犯罪、非罪或侵权造成了障碍。
日前,全国人大常委会民法总则草案二审稿增设“个人信息保护”条款,规定“自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息,不得非法提供、公开或者出售个人信息”。全国人大常委会委员杨震认为,这将为未来制定单行法或通过其他方式进一步细化保护措施提供依据。
在今年两会上,全国人大代表、天能集团董事长张天任提交了“关于制定《个人信息保护法》”的议案。张天任建议,任何机关和个人在收集他人个人信息都应当遵循合法性、风险限定原则。并且,收集主体应对个人信息收集后的泄露承担责任;收集主体因对个人信息保管不善而造成权利人利益受损的,其应当承担与其过错相应的责任;如工作人员私自泄露了个人信息,除该个人应当承担责任外,信息采集主体业应视具体情节也依法承担责任。
而对用户而言,面对APP系统性的过度索取权限,也可以通过设定设置,禁止APP调取不必要的权限,“现在无论安卓或者IOS的安全管理都在提升,即使禁止后很多APP仍能正常使用”。