App过度收集个人信息何时休?
超范围高频率获取个人信息不同意读取不能使用
● 下载运行购物App,需要允许通讯录权限;下载运行交友App,需要允许位置权限;哪怕是借个共享充电宝,也被收集各种个人信息……App过度收集个人信息已成为用户的一大槽点
● 个人信息的收集具有隐蔽性特征,收集者与被收集者处于明显不对等的地位,用户对收集过程缺乏可感知性,加上相关法律规范存在模糊空间,都让App运营商有恃无恐
● 要压实互联网信息服务提供者的责任,尤其对于敏感个人信息,App应该在具有特定的目的和充分的必要性,且采取严格保护措施的情形下,才可以处理。同时,行业协会应加强行业自律,健全黑名单制度,对违法企业和个人进行联合惩戒
□ 本报见习记者 张守坤
□ 本报记者 韩丹东
□ 本报实习生 王意天
今年4月,辽宁沈阳居民白鸽(化名)家的单元门换了新的门禁系统,使用门禁系统需要下载一款App。然而,白鸽发现,该App会读取用户大量个人信息,包括位置信息、录音、通讯录、相机等,用户不同意就无法登录使用。
“一个门禁系统,为什么要收集这么多个人隐私?”白鸽和身边不少业主对此均很不理解。
类似的情况并不鲜见。近年来,App过度收集个人信息已经成为一大顽疾,群众反映强烈,相关部门也多次查处通报,仍屡禁不止。
App过度收集个人信息何时休?带着这一问题,《法治日报》记者展开了调查。
超范围获取信息
很多用户不知情
下载运行购物App,需要允许通讯录权限;下载运行交友App,需要允许位置权限;哪怕是借个共享充电宝,也被收集各种个人信息……App过度收集个人信息已成为用户的一大槽点。
近日,上海市消保委针对消费者在使用共享充电宝过程中遇到的个人信息安全问题开展测试显示:有些充电宝App首次运行时,在用户授权同意隐私政策前,就收集个人信息;有些App收集了用户的姓名、性别等与租借充电宝无关的个人信息;还有些App存在未经用户同意或未作匿名化处理直接向第三方提供个人信息等。
江苏消保委2021年《电商平台侵犯消费者权益相关问题报告》显示,多家主流电商平台默认收集非必要信息。平台将基于个性化展示的商品、服务的展示浏览功能与用户协议捆绑,要求消费者默认同意接受平台收集处理消费者的设备信息、服务日志信息、浏览搜索记录等信息,以便平台通过消费记录和习惯,向消费者进行有针对性的个性化商品展示。平台即使提供了个性化展示关闭功能,也未提供信息收集终止功能。
“个性化展示功能看似便利,实则限制了消费者浏览及购物自由,如消费者购买某种商品成功后,基于大数据的推荐,依然会频繁收到已购产品的推送,既不智能,更影响购物体验。”江苏省消保委宣传部工作人员徐悦告诉记者。
据了解,网上存在一些专业App,用户下载后借此可以形成“隐私报告”,查看到自己手机里的App在一周内收集了自己哪些信息、何时收集的、收集的频率、与哪些第三方共享了这些信息等。
记者下载后发现,不少App都在记者不知情的情况下,反复读取记者的各种个人信息,其中手机定位和相册是被读取最多的两项信息,有一款交友App连续6个小时、每隔几分钟就读取一次记者的手机定位。
就过度收集个人信息的问题,“黑猫投诉”相关工作人员告诉记者,在黑猫投诉平台上,2020年11月至今,相关投诉超过3万条,主要涉及网贷、网上商城、第三方支付、保险等行业。
该工作人员介绍,在金融借贷类App上,存在未经用户同意读取通讯录信息,在能够与消费者有效联系的情况下,通过短信恶意骚扰通讯录联系人;还有一些App未经消费者同意收集其搜索、购物等记录,定向推荐产品。
今年以来,工信部发布10批次《关于侵害用户权益行为的App通报》、11批次《关于App超范围索取权限、过度收集用户个人信息等问题“回头看”的通报》以及《关于下架侵害用户权益App名单的通报》。而最近一次通报显示,38款App存在超范围、高频次索取权限,非服务场景所必需收集用户个人信息等违规行为。
运营商趋之若鹜
易滋生数据黑产
个人信息保护法规定,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
“收集个人信息应当限于实现处理目的的最小范围,非必要不收集;个人信息处理者在取得个人同意的情形下,方可处理个人信息。个人信息处理的重要事项发生变更,应当重新向个人告知并取得同意。”中国传媒大学文化产业管理学院文化法治研究中心主任郑宁说。
郑宁说,个人信息处理者不得过度收集个人信息,不得以个人不同意为由拒绝提供产品或者服务,并赋予个人撤回同意的权利。也就是说,消费者有权决定自己的个人信息是否被使用和使用的范围以及停止授权使用。对于敏感个人信息,还应该在具有特定的目的和充分的必要性,且采取严格保护措施的情形下才可以处理。
过度收集个人信息,用户反感、相关部门接连查处通报,为何App运营商仍趋之若鹜?
中国传媒大学文化法治研究中心副主任程科告诉记者,最重要的原因是利益驱使,个人信息中蕴含着巨大的商业价值,特别是在数字经济的背景下,通过对个人信息的大数据分析,可以为商业决策提供较为准确的依据,同时也使得个性化信息推送、定向广告投放等商业模式成为可能,在市场竞争中可以获得巨大的优势。
在程科看来,个人信息的收集常常具有隐蔽性特征,收集者与被收集者处于明显不对等的地位,用户对收集过程缺乏可感知性;加上相关法律规范存在模糊空间,比如如何解释“过度”,如何理解个人信息收集中的“最小且必要”原则,都存在一定的模糊性,这些都让App运营商有恃无恐。
过度收集个人信息,也加剧了个人信息泄露、滥用的风险。安徽省宿州市公安局埇桥分局网安大队相关负责人介绍说,用户访问网站或App,网络服务提供者未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前,就收集用户个人信息,或非因服务过程中所必需的场景,超范围、多次收集个人信息,像人脸视频、位置信息、通讯录数据,这些都容易滋生数据黑产,引发违法犯罪。
多管齐下强治理
联合惩戒压责任
整治过度收集个人信息行为,迫在眉睫。相关部门也在积极行动。
11月1日,工业和信息化部印发《关于开展信息通信服务感知提升行动的通知》,列出了首批设立“双清单”、提升客服热线响应能力、优化隐私政策和权限调用展示方式的互联网企业名单,包括39家主要互联网企业,建立已收集个人信息清单和与第三方共享个人信息清单,并在App二级菜单中展示,方便用户查询。
11月14日,国家网信办发布的《网络数据安全管理条例(征求意见稿)》提出,数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。
在程科看来,解决过度收集个人信息行为需要立法端、司法端、执法端、用户端多管齐下。
他进一步解释说,在立法端,需要将个人信息保护的相关规则进一步具体化,通过分级分类的方式逐步建立具体可执行的标准。可以考虑对个人信息本身进行精细化分类,为身份数据、行为数据、特殊主体数据(未成年人、老年人等)确立不同的保护标准;此外,对于信息的收集方,如各类App,进行分级分类管理,对其收集权限予以明确。
“目前,个人信息的保护仍然处于多部门联合执法的状态,设立专门的信息执法部门有助于明确职责,提升执法的专业性。”程科说,用户也需要提升信息安全意识,在使用App时阅读用户协议、隐私保护协议,发现个人信息存在被过度收集的行为时积极举报、维权。
郑宁也认为,消费者应提高警惕,保护好个人信息。在下载或使用App时一定要仔细阅读相关条款,不要随意开通涉及个人信息的权限;不要随意填写个人信息或上传带有个人信息的证件及复印件。如遇个人信息泄露或被非法使用情况,应立即通过法律手段维护自身合法权益。
“要压实互联网信息服务提供者的责任。尤其对于敏感个人信息,App应该在具有特定的目的和充分的必要性,且采取严格保护措施的情形下,才可以处理。同时,行业协会应加强行业自律,健全黑名单制度,对违法企业和个人进行联合惩戒。”郑宁说。