你是否有这样的经历:在使用某款APP时,要提供通话记录、手机号码、地理位置等等的隐私信息,而用户不同意开启,则APP无法安装或运行。这种“被动同意”的情况将有望被整改。
近日,全国信息安全标准化技术委员会发布关于开展国家标准《信息安全技术移动互联网应用(APP)收集个人信息基本规范(草案)》(以下简称《草案》)征求意见工作的通知。这意味着,APP收集个人信息将面临“国标”约束。
《草案》提到,APP不得收集与所提供的服务无关的个人信息。对外共享、转让个人信息前,APP应事先征得用户明示同意。APP应对其使用的第三方代码、插件的个人信息收集行为负责。
平均每个APP申请收集个人信息相关权限数有10项
前不久,四川成都市民李先生计划停用摩拜单车,注销手机号。李先生回忆称:“因当初注册摩拜使用了身份证号,担心手机号注销后运营商二次销售直接登陆我的摩拜账户,特申请注销摩拜用户并解绑身份证。”
摩拜客服受理后,要求李先生提供身份证照片及手持身份证的照片。李先生认为摩拜此行为具有强行获取个人敏感信息的嫌疑。
“注销账号的目的是减少个人信息泄露,而摩拜却要求我先透露更多个人信息才销户,我无法接受。”李先生说。
像这样在使用或注销过程中,被强制性要求公开或提供个人信息的事例不在少数。
近年来,APP过度索要授权是个人信息泄露的导火索之一,主要问题表现为过度收集、非法收集、泄露隐私、非法售卖、无法注销等。APP忽视保护用户隐私问题频发,令人担忧,也凸显了管理方面存在标准缺失问题。
为什么要收集这么多无关紧要的信息?这是很多人的疑问。
形成精准用户“画像”、建立一个数据化的“你”,这成为了很多APP开发商给出的解释。
今年5月,在中央网信办、工信部、公安部、市场监管总局指导下,APP专项治理工作组开通了违法违规收集使用个人信息举报渠道,受理网民举报。期间,工作组收到大量关于APP强制、超范围索要权限等举报信息。
统计结果显示,相当部分APP都有存在强制超范围索要权限情况,平均每个APP申请收集个人信息相关权限数有10项,而用户不同意开启则APP无法安装或运行的权限数平均仅为3项。
《草案》提出“最少信息”概念 体现比例原则
根据《草案》,当用户同意APP收集某服务类型的最少信息时,APP不得因用户拒绝提供最少信息之外的个人信息而拒绝提供该类型服务。当收集个人信息超出服务类型的最少信息时,超出部分的个人信息,APP应逐项征得用户明示同意。
记者注意到,本次公布的《草案》,规定了21种常用APP类型可收集的最少信息。
其中,明确可收集的最少信息中包含个人身份信息的APP类型为网络约车、网络支付、交通票务、金融借贷、房屋租售、二手车交易等;即时通讯、博客论坛、新闻资讯、短视频等类别仅对公众账号信息发布服务使用者收集个人身份信息,求职招聘类仅对招聘者用户收集个人身份信息,问诊挂号类则仅对患者收集身份信息。
根据《草案》,地图导航、网上购物、快递配送、餐饮外卖、婚恋相亲、运动健身类等APP如要收集个人身份信息,需要征得用户明确同意。浏览器、输入法、安全管理这三类APP可收集的最少信息只有网络日志一项。
对此,电子商务研究中心特约研究员黎智鹏向记者表示,“最少信息”即“保障某一服务类型正常运行所必需的个人信息”。
“具体表现为:第一,用户提供了最少信息,APP不能因用户拒绝提供最少信息之外的个人信息而拒绝提供服务;第二,APP不得收集不可变更的设备唯一识别(如IMEI号、MAC地址),可见,设备唯一识别不属于‘最少信息’;第三,APP不得收集与所提供服务无关的个人信息;第四,APP还要防止其使用的第三方代码、插件收集无关的个人信息。”黎智鹏说。
黎智鹏还提到,从适用范围来看,《草案》不但可以作为APP收集个人信息的合规指南,还可作为政府监管部门评估、检查APP的执法指南。
领取专属 10元无门槛券
私享最新 技术干货