来源:中新经纬
作者:常涛
因违规收集个人信息,张影(化名)所在公司一款App在3月12日被工信部通报。张影表示,此前该App收集信息没有得到用户授权也能正常上架,且下载量还不错,在各大应用商店的安装量合计超过5亿。
当前,违规收集用户个人信息是App侵害用户权益最常见的一种行为。中新经纬记者梳理发现,2021年以来,共有319款App因侵害用户权益被工信部通报,其中超范围收集个人信息,违规收集、使用个人信息是“重灾区”。
那么,这些App在上架应用商店环节为什么没被发现可能侵害用户权益?用户从OPPO、小米等应用商店下载App后被侵害隐私,这些应用商店需要承担责任吗?
今年319款App被通报 “偷听”等被重点整治
工信部App侵害用户权益行为专项整治工作开始于2019年10月底。同年12月,工信部公布了首批41款侵害用户权益App名单,其中不乏QQ、小米金融等知名App。最初工信部重点整治的App问题包括私自收集个人信息、私自共享给第三方、账号注销难、不给权限不让用等。
2021年以来,工信部已通报了三批侵害用户权益行为的App,总计319款,其中第一批157款,第二批26款,第三批136款。在3月12日通报的2021年第三批136款侵害用户权益App中,不乏腾讯手机管家、讯飞配音、携程租车、猎豹清理大师等知名互联网公司的产品。
中新经纬记者注意到,2021年被通报的App所涉问题包括App频繁自启动和关联启动、超范围收集个人信息、违规使用和收集个人信息,App强制、频繁、过度索取权限等,这与专项整治工作最初关注的App问题有所变化。
2021年3月初,工信部部长肖亚庆直言,就群众反映强烈的“麦克风权限滥用”“过度索取通讯录”等问题,对App开展了专项整治,坚决下架侵害用户权益拒不接受整治的App。
另据媒体2月报道,工信部正在起草《移动互联网应用程序个人信息保护管理暂行规定》,明确知情同意和最小必要两项个人信息保护基本原则,为App个人信息保护明确底线、划出红线。同时将以问题为导向,重点解决“麦克风权限滥用”“未经用户同意擅自读写相册”“过度索取通讯录”“隐藏个推关闭选项”等当前用户反映强烈的热点问题。
这意味着,今后App“偷听”等一系列侵害用户隐私的行为,如App违规调用麦克风、通讯录、相册等将被重点整治。
有些App为偷窥你的隐私可能有这个操作
对于通报App所涉侵犯用户权益的问题,尤其是违规收集个人信息、强制索取权限等,有网友表示:这些问题App为什么能顺利上架应用商店呢?应用商店审查不出来吗?
值得注意的是,工信部在历次通报中会注明侵害用户权益App的来源。比如在3月12日的通报中,来自腾讯应用宝的萌龙大乱斗、收钱吧等App因违规收集个人信息上榜;来自OPPO应用商店的P图大神、来电万能宝等App因违规收集、使用个人信息上榜;来自小米应用商店的悦跑圈、爱豆等App因违规收集个人信息等上榜。
在2021年第一批通报中,工信部表示,在其组织的十批次检测中,腾讯应用宝、小米应用商店、豌豆荚、OPPO 软件商店、华为应用市场发现问题分别占比 22.3%,12.0%,10.3%,9.9%,8.8%,平台管理主体责任落实不到位。
事实上,各大手机应用商店都有自己的审核标准。例如《华为应用市场审核指南》隐私政策显示,应用访问、收集、使用或披露任何个人数据,需经用户的同意或遵守其他适用的法律法规;应用收集和使用个人数据须遵守数据最小化原则;应用申请和使用权限须遵守权限最小化原则等。
但在实践中,应用商店未必能将审核标准落到实处。某互联网大厂一位不愿具名的安全工程师向中新经纬记者透露,目前应用商店的审查确实比较粗糙,主要原因是相关隐私标准一直在变,导致应用市场也拿不准,“有时候就睁一只眼闭一只眼上架了”。
上述安全工程师透露,开发者还可以通过某些技术操作,使App绕过应用市场的审核。“一些App在上架应用市场的时候,获取隐私的按钮是关闭的,但用户下载到手机后就自动打开了。不过这是少数行为。”
另有不愿具名的程序开发者向中新经纬记者表示,从技术上来说,应用商店可以审查出一个App可以获取用户哪些权限。一般情况下,上架应用商店的App都无法擅自获取用户的通讯、定位、麦克风权限,这些权限获取均需要经过用户同意,但不排除App强制用户开启,即不开启无法使用该App,或找借口骗用户开启,这些应用商店审查不出来。
应用商店需要承担责任吗?
中新经纬记者注意到,早在2016年6月,国家互联网信息办公室就发布了《移动互联网应用程序信息服务管理规定》,国家互联网信息办公室有关负责人就此规定答记者问时指出,“互联网应用商店服务提供者应当对应用程序提供者履行‘四项管理责任’”。其中一项责任就是“督促应用程序提供者保护用户信息,完整提供应用程序获取和使用用户信息的说明,并向用户呈现。”
中国互联网协会法治工作委员会副秘书长胡钢在接受中新经纬(微信号:jwview)采访时表示,新印发的《常见类型移动互联网应用程序必要个人信息范围规定》将于5月1日施行,明确了39种常见类型App的必要个人信息范围,其中13类App无须个人信息,即可使用基本功能服务。
总的来说,这条新规更精准、更有力也更有持久性,同时也对App开发者提出了更高的要求。
“App要获取哪些权限应主动、详尽告知应用商店,还应请第三方机构对App相关信息、权限获取功能进行检测,这些细节应在应用商店展示,应用商店做好把关者的角色。”胡钢表示,“应用商店参与了App的分发、销售环节,与开发者是利益共同体,App出现问题应用商店无法独善其身,是共同责任人,应承担连带责任。”
胡钢表示,目前对侵害用户权益App且到期未整改的处罚只停留在下架层面,未来有必要加大处罚力度。“非法、过度获取或使用个人信息达到一定量,是否可以考虑停止其运营并追究其刑事责任,这是应该积极探讨的。”