App會竊聽嗎?如何保護個人信息?聽專家怎麼說
2019年08月20日07:50

  新京報記者 羅亦丹 編輯 趙澤 校對 範錦春

  何延哲表示,目前下載量大的主流App強製索取通訊錄權限的情況已經基本消失,治理已見成效,但還有一些問題還需進一步深化問題研究和評估工作。目前App治理工作組參與一套可供全國參考的標準,給想做“好學生”的App一個努力的方向。

  手機App(應用程式)過度索取權限、隨意共享等導致個人信息“裸奔”、泄露的現象,近年來屢被曝光並引發關注。針對手機App違法違規收集和使用個人信息問題,中央網信辦、工信部、公安部、市場監管總局等四部門聯合開展專項治理行動,App專項治理工作組也在此背景下於2019年1月成立,並在3月開通“App個人信息舉報”微信公眾號,受理對App違法違規收集使用個人信息的舉報,以及發佈對App隱私政策和個人信息收集情況的評估及處置結果等。

  新京報記者近日就民眾關心的App過度索取權限、隱私泄露隱患,以及在受理舉報中發現的問題和App整改進度等採訪了App專項治理工作組專家何延哲,其表示,目前下載量大的主流App強製索取通訊錄權限的情況已經基本消失,治理已見成效,但還有一些問題還需進一步深化問題研究和評估工作,比如,“App有一百種方法向你精準推送信息,這就需要具體問題具體分析”。但由於網絡安全法的規定較為原則,一些規則不夠細化,給執法監管、企業自律等工作都帶來了困難,目前工作組參與一套可供全國參考的標準,給想做“好學生”的App一個努力的方向。

  何延哲:中國電子技術標準化研究院信息安全研究中心審查部總監,長期從事網絡安全標準與合規、風險評估、個人信息保護、雲計算安全方面的研究工作,國家標準《個人信息安全規範》、《個人信息安全影響評估指南》、《雲計算服務安全能力要求評估方法》等的起草人之一。

  【談App問題】

  部分App有過度收集信息的“原罪”

  新京報:目前App在信息收集方面主要存在哪些問題?

  何延哲:問題有很多,通常包括缺乏隱私協議、超限索權、註銷難等,此外一些App索要用戶權限的頻率有些過高,例如一秒鍾索取5次通訊錄,這顯然是不合理的。

  隱私協議方面,《網絡安全法》第四十條規定,網絡運營者應當對其收集的用戶信息嚴格保密,並建立健全用戶信息保護製度;第四十一條規定表明,網絡運營者必須公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。上述條款在App端的直觀體現就是用戶在使用App時需要看到完善的用戶隱私保護協議。但前幾年,除了少數App外,絕大多數App都是沒有隱私協議的。雖然用戶可能打開App後對隱私協議根本不看,但在程式上必須有這一步,App要告知用戶自己收集信息的規則是什麼,這個要求在全球都是共識,比如在遵循GDPR(《通用數據保護條例》)的歐盟地區,沒有隱私協議企業有可能會被重罰。

  超限索權方面,《網絡安全法》第四十一條另有規定表明,網絡運營者不得收集與其提供的服務無關的個人信息,但現在有許多App會索要與主業無關的權限,這是違規的。我們數月前測試100款App索取權限的權限分佈時發現,絕大部分App申請10個或10個以下與個人信息相關的權限就可以滿足使用需要,例如支付寶平台申請的相關權限為10個,而功能相當單一的App申請的相關權限卻大於10個。

  新京報:你認為是什麼導致了這類問題的出現?

  何延哲:確實有不少App很貪心,什麼權限都想要索取。有些權限雖然與App的主業無關,但卻可以幫助企業給用戶做畫像,從而進行商業營銷。但這些對普通民眾是“隱形”的,民眾們能夠直觀感受到的往往是App向其索取了哪些權限。而對於手機上顯示的App索取的權限,民眾也存在一些誤解。

  例如有人向我反映,某音樂類App提示收集圖片權限,他認為音樂類App只是聽歌,為什麼收集圖片權限,這屬於侵犯隱私。但實際上該權限名為“存儲權限”,這是由於Android手機的權限顆粒較粗,會將App緩存的音頻以及圖像文件都放在一個公共的存儲空間里,這個權限一般App都需要,但由於不同國產手機對該權限有著不同的翻譯,因此引起了民眾的誤解。

  此外,當前的法律法規被某些App收集個人信息鑽空子。目前,《網絡安全法》的規定比較原則,例如雖然其規定App“不得收集與其提供的服務無關的個人信息”,但如何判斷什麼屬於“無關的個人信息”,在實際執行時往往“公說公有理婆說婆有理”,例如一個計算器App,功能只是提供計算服務,但如果App聲稱這是一個“智能計算器”,還可以給你提供所在城市的天氣預報,那麼它就有了索取地理位置權限的理由,App如果再搞一個好友互動功能,就又能成為索取通訊錄權限的理由,這就需要有更為細化的標準與規則。

  【談App整改】

  難點是如何平衡企業業態和用戶體驗

  新京報:App專項治理工作組的主要工作是什麼?

  何延哲:我們的主要工作是依據法律法規和國家相關標準,編製App違法違規收集使用個人信息治理評估要點和技術指導文件,組織相關專業機構,對用戶數量大、與民眾生活密切相關的App隱私政策和個人信息收集使用情況進行評估。

  事實上,當我們對App的隱私狀況作出評估後,絕大多數企業都會聯繫我們主動整改,我們也會響應企業的技術溝通需求,企業對如何把App的個人信息保護工作做合規很關心,一般溝通後App都會及時整改上線新版本。

  在我看來,成立App專項治理工作組最大的益處是能夠有一個統一的機構,達到較好的統籌一致的效果。此外,《網絡安全法》需要其他的法律法規製度對其進行配套,執法者也需要一個標準進行參考,App專項治理工作組所做的工作正是在實踐過程針對App的隱私政策和收集信息的範圍製定可供參考的統一標準。

  新京報:整改的過程中有哪些難點?

  何延哲:我們最常思考的是如何在保證企業本身業態和用戶體驗不被破壞的前提下保護民眾隱私,有時這二者有些矛盾。比如我們規定App要給想要註銷的用戶上線註銷通道,有App設置了很多不方便用戶的註銷規則,如“註銷需要手持身份證”等。一般我們會認為這是企業通過設置障礙保留用戶,但我們在工作中發現,有不少企業為註銷設置障礙也有其合理性,因為註銷可以完全清除用戶的個人信息,而在黑產流行的當下,註銷便捷之後最受益的並非民眾,而是註銷之後再用同一個手機註冊新用戶搶福利、搶優惠券牟利的“羊毛黨”。所以企業為註銷設置一定障礙可以,但這個設置要有一個合理的度,那麼合理的度在哪裡?這需要研究。

  做安全保護不能把眼光只放在安全上,畢竟最安全的就是直接“一刀切”,勒令不許發展,這樣是不行的。

  【談隱私保護】

  App“竊聽”絕大多數情況下並不成立

  新京報:App經常推送一些精確的廣告,有時我們和朋友閑談提起過一些話題,後來就收到了相關廣告,App是否竊聽了我們的談話?

  何延哲:這屬於App定向推送,定推是當下民眾關注的熱點,也是治理痛點,但實際上絕大多數的App“竊聽”猜想並不成立。App有上百種方式向你推送廣告,有時民眾直觀感覺App竊聽了談話從而進行廣告推送。實際上通過語音竊聽是一種成本極高、效率極低的方法,而且一旦被發現還要面臨重罰。

  很多時候,民眾以為是App“竊聽”而精確推送廣告的情況,其實是App通過社會關係、喜好習慣、WiFi場景等方式進行的定推。例如手機用戶和朋友談起去海南旅遊,後來就收到了推送的海南旅遊廣告。如果該用戶在手機的App里搜索過相關關鍵詞,那麼此類推送就很正常,類似的推送服務絕大部分App都寫在了隱私協議中,這個用戶是可以理解的。如果用戶沒有搜索行為,被推送廣告時就會聯想到手機竊聽,但實際上這有可能是朋友搜索了相關關鍵詞,廣告主通過好友關係關聯到了用戶,從而推送了這篇廣告;或者用戶和朋友處在同一個WiFi下,又或者海南旅遊的廣告直接推送給了相關的一類人,這些都可能導致廣告推送發生。

  對於精準推送廣告的行為,除非處在一個完全獨立的環境中,才能給出企業“竊聽”的實錘,但這個環境極難達成,這也是為什麼民眾都覺得可能App竊聽了我的話,但卻無法立馬複現這個過程的原因。

  新京報:在App隱私保護上,工作組未來的監管方向是什麼?

  何延哲:進一步縮小App必要信息和必要權限的範圍是一個重點方向,超出必要範圍的,只要與App的業務相關聯且做到了明示提醒用戶,用戶可以自由選擇,我們就認為是可行的。

  目前,由於Android的權限顆粒較粗,一些權限還沒法使用“一刀切”進行規定。目前所提出的方案是充分結合了個人信息保護和產業發展需要,而隨著用戶觀念的提升,業態的成熟以及操作系統的更新,可能還會提出新的方案,解決更深更細的問題。

  簡而言之,App專項治理工作組所做的,就是把App個人信息保護問題研究透,將事實和真相還原給廣大網友,製定相關的標準規範,提出建議,給想做“好學生”的App指一條明路。

關注我們Facebook專頁
    相關新聞
      更多瀏覽