1月3日,支付宝开放年度个人账单查询之后,其APP存在默认选项诱使用户授权芝麻信用使用个人信息事实在网上曝光。随后,百度、今日头条也相继因涉及用户隐私问题陷入舆论漩涡而被工信部约谈,引发了社会对使用手机APP时存储个人信息安全问题的讨论。
微信聊天、淘宝购物、百度地图导航……随着智能终端设备的普及,用户如何在享受网络产品和服务带来便利的同时,更好保护自身合法权益?针对这些问题,记者进行了调查。
过度收集、隐秘收集、诱骗收集,手机APP索取用户个人信息花样多
网上约车、购物、叫外卖……从早上一睁眼到晚上睡觉,省会市民周凯杰几乎每时每刻都享受着手机APP带来的便利。在他看来,没有手机的生活已不能想象。
但看到DCCI互联网数据中心发布的《2017年中国Android手机隐私安全报告》时,他还是吃了一惊。报告显示,非游戏类APP 2017年越界获取通话记录和越界读取彩信记录出现较大幅度增长。
“这不意味着我在使用这些APP时,个人信息已经泄露了吗?”周凯杰表示,这种感觉就好像自己成了一个“透明人”。
事实上,通过越界索权获取用户个人信息的APP不在少数。记者打开自己手机中的应用商店,随机搜索安装了7款软件,绝大部分软件都要求用户开放存储、位置信息、电话等权限,还有1款要求开通访问通讯录的权限。
和周凯杰一样,很多“手机控”在下载APP时,或许并没有阅读或者读懂这些软件中的隐私条款,也不清楚软件是如何收集、使用、转让用户个人信息的,便直接同意安装。然而就是这么一个简单的动作,APP便会完成访问通讯录、读取通话记录、读取短信记录、读取位置信息、监听手机通话等一系列行为,一不留神用户的个人信息和隐私就泄露了。
“对手机APP用户来说,个人隐私条款是用户了解企业如何收集个人信息的一个主要窗口,同时也是用户行使个人信息控制权的一个主渠道。”河北世纪方舟律师事务所律师闫博称,近年来,网络运营者对个人信息的过度收集、隐秘收集、诱骗收集以及“一揽子协议”强迫用户同意霸王条款等,时常导致个人信息泄露、滥用以及非法交易等事件发生,对公民合法权益造成侵害。
对此,闫博建议,公众在下载和使用应用软件时应提高警惕,应选择正规大型电子应用商店下载,在安装时尽量关闭重要的隐私权限,待后续使用过程中再根据需要开启,当使用中涉及财产操作时尤其要小心谨慎,防范可能出现的网络诈骗。
追求商业利益较大化,导致APP运营者越界索权
“我把手机里的APP全都卸载了。”提起个人信息泄露,家住省会阳光新城小区的陈女士至今心有余悸。
前段时间,陈女士在使用一款手机游戏APP时手机号码被盗取,险些损失惨重。“当时我只是在下载后随便勾选了几个权限授予选项,谁知道过了一会儿便收到短信提示,显示我的手机被设置了呼叫转移。”
意识到有人正在盗用自己的手机号码,陈女士马上修改了密码。然而即便只有短短几分钟,陈女士还是收到了短信消费提示,显示她在某网上商城购买了商品。
为了弄明白自己到底买了些什么,她马上联系了该网上商城客服电话,工作人员在查询后告诉陈女士,在电话被呼叫转移期间,她购买了一件价值500元的商品。
考虑到自己的手机号码、支付密码等相关信息可能已经泄露,陈女士赶紧解除了所有与手机绑定的银行卡,还办理了停机业务。
“陈女士的遭遇并非个例。”闫博表示,调取手机的某些权限是手机APP运行的必经步骤,然而并非所有的APP都能做到“安分守己”,很多山寨和盗版APP会通过调用大量权限的方式,侵害用户的个人隐私和财产安全。
网络运营者为何热衷于索取用户个人信息?
“大数据时代,用户的每一次点击鼠标,每一次拨打电话……都会有海量数据生成,这些数据代表了一个人的某些特征,数据越多也就会越精准,其营销价值就越大。”1月11日,在省会某写字楼内,一位不愿意透露姓名的某搜索引擎公司工作人员告诉记者。
随后,这位工作人员在工位上为记者现场演示了如何用后台系统将一款体育产品广告通过添加关键词、投放设备范围、投放地域等操作,推送到全省范围根据日常网页浏览痕迹推测可能是篮球爱好者的用户智能终端设备上。“无论是使用电脑还是手机,只要这位用户再浏览与篮球相关的任何媒介页面,这则广告便会以自动弹窗的形式呈现,而只要用户点击,广告投放商就要向我们支付一定费用。”
“在个人信息的利用上,互联网企业与用户之间存在着一定的矛盾:企业希望尽可能多地获取用户个人信息来进行商业利用,而个人用户希望其信息不被或者尽量少地被企业使用或者商业利用。”闫博称,正是为了获取用户个人信息中隐藏的巨大商业利益,许多企业和不法分子才会铤而走险,偷偷在APP上做手脚。
完善法律、加强监管,营造安全有序的网络社会环境
“事实上,对于手机APP过度索取用户个人信息的行为,相关部门早有规定。《移动互联网应用程序信息服务管理规定》就指出,未向用户明示并经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能。”闫博称,去年6月1日起施行的《中华人民共和国网络安全法》,在总则、附则外有10余处内容直接涉及用户个人信息保护的条款,对严防个人信息泄露、滥用以及层出不穷的新型网络诈骗犯罪作出规定。
“但与目前数据产业蓬勃发展的状况相比,相关法律和监管存在一定滞后性。”闫博认为,目前法律在保护公民个人信息方面存在诸多不足,一方面缺少有关个人信息保护统一的专项立法,另一方面保护个人信息的立法规定分散、不全面,没有形成独立、统一的原则、目标和措施,难以为个人信息保护提供切实有效的法律保障。
“目前法律对于不守法者的惩罚缺乏明确规定,缺少知名判例或罚则,因此也让一些互联网企业有了侥幸心理。”闫博建议,应尽快明确个人信息安全保护标准和操作程序,在必要的时候出台个人信息保护法。“在将来的立法中,不但要完善个人信息主体范围、个人信息管理者范围以及调整范围,还要重视行政责任、刑事责任的规定,也要补充民事责任的内容,三者相辅相成,共同营造安全有序的网络社会环境。”
此外,闫博认为,虽然管理诸多应用程序不太现实,但监管部门可以从应用商店入手,通过管理平台间接管理应用,加强应用商店的审核标准,不断改善APP过度索取用户个人信息的局面。
