當當、e代駕等16款A(yù)pp侵害用戶權(quán)益被通報 不合理索取用戶權(quán)限等

手機App越界索權(quán)的問題再次引發(fā)關(guān)注。

近日，工業(yè)和信息化部信息通信管理局網(wǎng)站發(fā)布了《關(guān)于侵害用戶權(quán)益行為的App通報(2020年第一批)》(以下簡稱《通報》)，當當、大街、WiFi管家、e代駕、知乎日報等16款A(yù)pp被點名。此前，工業(yè)和信息化部曾于2019年12月和2020年1月分別公開了兩批存在侵害用戶權(quán)益的App(共56款)，并下架3款逾期未整改App。

《通報》顯示，侵權(quán)行為包括違規(guī)收集用戶個人信息、違規(guī)使用用戶個人信息、不合理索取用戶權(quán)限和為用戶賬號注銷設(shè)置障礙等。其中，不合理索取用戶權(quán)限是主要形式，包括過度索取權(quán)限、不給權(quán)限不讓用和頻繁申請權(quán)限。

權(quán)限內(nèi)容五花八門 越界索權(quán)相當普遍

《法制日報》記者從網(wǎng)信辦網(wǎng)站獲悉，截至2019年12月末，國內(nèi)市場上監(jiān)測到的App數(shù)量為367萬款，我國第三方應(yīng)用商店在架應(yīng)用分發(fā)總量達到9502億次。

“應(yīng)用想要獲取您的位置、聯(lián)系人、相機權(quán)限……”下載一款新App后，打開軟件時通常都會出現(xiàn)請求獲取權(quán)限的相關(guān)內(nèi)容。常見的應(yīng)用權(quán)限包括存儲權(quán)限、位置權(quán)限、通訊錄權(quán)限、短信權(quán)限、相機權(quán)限、麥克風權(quán)限、日歷權(quán)限等。

一些用戶權(quán)限的獲取能夠保障App的正常使用。例如，導(dǎo)航軟件需要獲取位置權(quán)限來定位幫助導(dǎo)航，修圖軟件需要獲取相機權(quán)限來使用特定照片，語音通訊軟件需要獲取麥克風權(quán)限和相機權(quán)限支持語音和視頻通話。

部分用戶權(quán)限的獲取能夠幫助App使用更加便利。例如，社交軟件可以通過獲取通訊錄權(quán)限發(fā)現(xiàn)更多聯(lián)系人，需要通過短信驗證的App獲取短信權(quán)限能夠自動填寫驗證碼等。但是，還有部分用戶權(quán)限的獲取并不合理。

手機用戶張先生告訴《法制日報》記者，他下載一款社交App后，被要求獲取包括位置、通訊錄、短信、相機、相冊、視頻、麥克風等10多項權(quán)限，很多都涉及隱私，但若不授權(quán)則無法使用該軟件，讓他感到困惑。

手機用戶趙女士說，在使用一款視頻App時，雖然用不到通訊和定位，但該軟件還是要求獲得撥打電話的權(quán)限和位置權(quán)限。

以“索取用戶權(quán)限”為關(guān)鍵詞在百度首頁搜索，各大網(wǎng)站和論壇都有大量相關(guān)討論。

5月15日，信息通信管理局網(wǎng)站發(fā)布了《通報》，16款A(yù)pp被點名。其中，當當、e代駕、千千音樂、惠租車、電視家、彩視、七貓免費小說、WiFi管家、大街和哎呦有型存在不合理索取用戶權(quán)限行為。

《法制日報》記者下載“惠租車”App進行試驗，發(fā)現(xiàn)彈出了“‘惠租車’想給您發(fā)送通知”彈窗，之后是“允許‘惠租車’使用無線數(shù)據(jù)”彈窗，再之后是在使用前提醒閱讀《使用條款》和《隱私政策》彈窗，此處只能選擇“同意，繼續(xù)使用”和“不同意，退出”。

中國傳媒大學(xué)文法學(xué)部法律系副主任鄭寧告訴《法制日報》記者，一般來說，App安裝和使用過程中，只能對一些必要的權(quán)限征求使用人的同意。在使用安卓系統(tǒng)的手機中，有以下幾個權(quán)限最常被調(diào)取，其一是“讀取已安裝應(yīng)用列表”，借此可以了解和分析用戶的使用習(xí)慣;其二是“讀取本機識別碼”，主要用來確定用戶的身份;其三是“讀取位置信息”，通過獲取位置，搜集用戶的活動范圍，例如導(dǎo)航類軟件就必須調(diào)取這一權(quán)限。

“手機App收集的信息若與其提供的服務(wù)無關(guān)，則構(gòu)成越界索權(quán)。”鄭寧說。

若不授權(quán)無法使用 用戶只能被迫接受

應(yīng)用權(quán)限作為收集手機用戶個人信息的最直接方式，一旦同意特定用戶權(quán)限的使用，那么個人信息將隨時可能被獲取，不利于個人隱私的保護。

中國人民大學(xué)網(wǎng)絡(luò)與移動數(shù)據(jù)管理實驗室孟小峰教授團隊發(fā)布的《2019年度中國隱私風險指數(shù)分析報告》顯示，2019年度App平均安裝量同比增長14.81%，用戶平均權(quán)限數(shù)據(jù)泄露量同比增長15.46%。當前中國用戶的個人隱私泄露風險并沒有得到有效控制，仍在大幅提升，而總體的隱私增長率與用戶平均App安裝量和用戶平均權(quán)限數(shù)據(jù)泄露量呈正相關(guān)。

該團隊在2018年發(fā)布的《中國隱私風險指數(shù)分析報告》曾指出，目前App的各類權(quán)限接近40個，但大部分權(quán)限跟App實現(xiàn)功能的正常需求并不匹配。

在《通報》中可以看到，對于用戶權(quán)限的不合理索取包括不給權(quán)限不讓使用、過度索取權(quán)限。此外，頻繁申請權(quán)限也屬于對用戶權(quán)限的不合理索取。

從App開發(fā)者角度而言，獲取用戶權(quán)限能夠在大數(shù)據(jù)的支撐下為用戶提供更精準的“定制”服務(wù)。因此，為吸引用戶和挖掘用戶需求，申請和使用系統(tǒng)權(quán)限收集個人信息來對用戶信息進行分析，成為大數(shù)據(jù)和互聯(lián)網(wǎng)時代的一種常態(tài)。

然而，部分開發(fā)者和商家受商業(yè)利益的驅(qū)使，會不合理索取用戶權(quán)限，侵犯用戶的隱私權(quán)。

一位App服務(wù)提供者告訴《法制日報》記者：“大數(shù)據(jù)時代，當然是獲取的權(quán)限越多，搜集到的個人信息就越多。”他以手機聽筒權(quán)限為例，用戶在聊天時談及最近想購買的物品后，App通過聽筒獲取該信息后，可以在用戶使用時推送相應(yīng)的廣告。

手機中存放的用戶的賬號密碼、聯(lián)系人名單、照片視頻等，如果被App不合理獲取用戶權(quán)限，將面臨被“數(shù)據(jù)劫持”的風險。以獲取聯(lián)系人為例，在聯(lián)系人信息泄露的同時，用戶和相關(guān)聯(lián)系人都可能會收到騷擾電話、垃圾短信，甚至可能在數(shù)據(jù)被惡意泄露后面臨詐騙和勒索。

值得注意的是，北京市消協(xié)的調(diào)查問卷顯示，有41.16%的人在安裝或使用手機App前從來不看授權(quán)須知。中消協(xié)發(fā)布的《App個人信息泄露情況調(diào)查報告》也顯示，“不授權(quán)就沒法用”是受訪者“從不閱讀”的最主要原因。

根據(jù)調(diào)查結(jié)果，在占比26.2%從不閱讀應(yīng)用權(quán)限和用戶協(xié)議或隱私政策的受訪者中，選擇從不閱讀的原因，主要是因為不授權(quán)就沒法用，只能被迫接受(占比61.2%)。

對此，北京大學(xué)信息科學(xué)技術(shù)學(xué)院副教授陳江認為，這一方面是因為部分用戶不了解應(yīng)用權(quán)限對于個人隱私權(quán)利的重要性;另一方面，在很多情況下，如果用戶不提供權(quán)限，App就直接退出或自動停止服務(wù)。

亟須完善法律規(guī)范 保護公民信息安全

網(wǎng)絡(luò)安全法明確規(guī)定，要加強對個人信息保護，規(guī)定網(wǎng)絡(luò)運營者收集、使用個人信息，應(yīng)當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。不能收集與其提供的服務(wù)無關(guān)的個人信息，也不能違反法律規(guī)定或與用戶的約定收集、使用個人信息。

2019年1月25日，《關(guān)于開展App違法違規(guī)收集使用個人信息專項治理的公告》發(fā)布，決定自2019年1月至12月，在全國范圍組織開展App違法違規(guī)收集使用個人信息專項治理。此后，為落實該公告的部署，相關(guān)部門成立了App專項治理工作組。

此后，《互聯(lián)網(wǎng)個人信息安全保護指南》《App違法違規(guī)收集使用個人信息行為認定方法》《信息安全技術(shù)個人信息安全規(guī)范》《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護能力專項行動方案》等陸續(xù)印發(fā)，對App違法收集個人信息行為進行了認定和治理。

《法制日報》記者梳理發(fā)現(xiàn)，為了加強個人信息保護，2019年至今，《移動互聯(lián)網(wǎng)應(yīng)用程序(App)收集個人信息基本規(guī)范(草案)》《數(shù)據(jù)安全管理辦法(征求意見稿)》《個人信息告知同意指南(征求意見稿)》《網(wǎng)絡(luò)安全標準實踐指南—移動互聯(lián)網(wǎng)應(yīng)用程序(App)收集使用個人信息自評估指南(征求意見稿)》《網(wǎng)絡(luò)安全標準實踐指南—移動互聯(lián)網(wǎng)應(yīng)用程序(App)個人信息安全防范指引(征求意見稿)》等也相繼發(fā)布。

中國人民大學(xué)法學(xué)院教授楊立新認為，目前，侵害公民個人信息構(gòu)成犯罪的才能夠追究其刑事責任，但對于一般侵權(quán)行為仍然制裁不力，應(yīng)該采取更具體的立法措施，對侵害個人信息的行為認定為侵權(quán)行為，追究其損害賠償責任。

北京師范大學(xué)網(wǎng)絡(luò)法治國際中心執(zhí)行主任、中國互聯(lián)網(wǎng)協(xié)會研究中心秘書長吳沈括同樣認為須加強和完善立法，“雖然刑法對個人信息保護力度較強，但相關(guān)前位法立法缺失，關(guān)于個人信息保護的法規(guī)較為零散，因此個人信息保護法、數(shù)據(jù)安全法的出臺刻不容緩”。

吳沈括說，不良網(wǎng)絡(luò)運營者是用戶信息安全的重大威脅，應(yīng)針對這些運營者制定、實行有效的監(jiān)管措施，并提高威懾網(wǎng)絡(luò)運營者的懲處力度，才能從源頭上遏制危害公民信息安全的行為。此外，用戶也應(yīng)重視個人信息安全，提高信息安全意識，增強個人信息保護能力。