针对目前较多应用读取用户通讯录的要求,《规范》也给出了明确的范围限制。新出台的《规范》为手机应用开发者和提供者规范个人信息收集行为提供了标准和参考,也为主管部门、第三方评估机构等对于个人信息收集行为进行监督、管理和评估提供了必要的依据。
用手机下载一个应用,却被要求访问通讯录,或者不同意访问地理位置就装不了;在手机应用里浏览了某些信息后,就会收到相关产品的广告短信……相信不少朋友都遇到过类似的情况。针对这种超范围收集、强制授权、过度索权等个人信息收集安全问题,全国信息安全标准化技术委员会最近发布了《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》,这一规范的出台,能杜绝移动互联网应用强制收集个人信息的行为吗?
东南大学网络空间安全学院副教授宋宇波利用专门的检测软件,对10款常用软件读取的用户权限数量做了分析,分别为:微信63项;新浪微博89项;饿了么26项;滴滴出行44项;QQ95项;酷狗音乐 91项;爱奇艺46项;WPS office53项;美团外卖38项;百度网盘74项,这10款软件中,最多的读取了95项权限,最少的也读取了26项权限,其中不乏一些个人敏感信息。比如和个人信息有关的电话号码、出生日期、通讯录、电话簿,还有手机里的一些照片,另外就是和手机设备相关的信息,比如用户使用的是苹果手机还是安卓手机,它的操作系统、版本号以及硬件信息等。
应用软件读取个人敏感信息,一部分和自身功能相关,属于合理读取;还有一部分属于过度读取。例如有一款"图库"软件,读取了与其功能不相干的"通话记录信息",而一款"指南针"软件,则读取了4项个人敏感信息,而只有前两项用户的位置信息,属于合理读取,这就属于典型的过度申请的现象。
新发布的《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》指出,依据《中华人民共和国网络安全法》中的相关要求,以及个人信息最少够用原则,针对手机应用的基本业务功能,明确界定了保障其正常运行所需收集的个人信息,给出了地图导航、网络约车、即时通讯社交、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务、婚恋相亲、求职招聘、金融借贷、房产交易、汽车交易等16类应用软件业务功能相关的必要信息范围。
针对目前较多应用读取用户通讯录的要求,《规范》也给出了明确的范围限制。比如金融借贷类应用,《规范》要求,应允许用户手动输入两位紧急联系人信息,而不应强制读取用户的通讯录;即时通讯社交应用,应该允许用户手动添加好友,而不应强制读取用户的手机通讯录。应用软件读取个人信息,看似随机和随意,但掌握用户更多的个人信息就能为运营商带来更多的收益,比如精准推送广告等等,甚至不排除个别运营商倒卖收集到的用户个人信息。而对于通过收集浏览、点击等操作记录这些不必要获取的信息,来收集个人信息以实现广告精准推送,法律人士认为,网络运营商这种行为,实际上是在侵犯用户的隐私权。
对此《规范》指出,浏览、搜索、点击等操作记录通常是非必要信息,收集时应告知用户并征得其同意;保存和使用个人上网记录时,对个人信息进行去标识化处理;使用个人上网记录用于分析用户画像进行个性化展示和推荐时,必须告知用户使用目的,并提供用户退出定向推送模式选项。
新出台的《规范》为手机应用开发者和提供者规范个人信息收集行为提供了标准和参考,也为主管部门、第三方评估机构等对于个人信息收集行为进行监督、管理和评估提供了必要的依据。但除了有据可依之外,还应该加强对信息倒卖和过度挖掘等行为的执法,提高其违法成本,形成法律震慑效应。另外,作为普通用户,也要提高自身安全意识,选择正规的下载渠道,认真阅读手机应用在安装时的要求访问权限,及时关闭不必要的授权,这样才能保护好自己的信息。
(来源:江苏广电融媒体新闻中心/关玮玮 编辑/赵恩婕)
来源:荔枝网