微信截图_20240920153326.jpg
个人信息保护法为用户筑起个人信息“安全网” 管好手机APP,杜绝“过度索权”
2021-11-05 07:25:00  来源:新江苏·中国江苏网  作者:徐冠英  
1
听新闻

记者 徐冠英

11月3日,工信部通报关于APP超范围索取权限、过度收集用户个人信息等问题“回头看”的情况。在个人信息保护法开始施行之后两天,工信部点名第20批“问题APP”,格外引人注意。

如今,绝大部分人的手机里,安装着数个甚至数十个APP,使用APP时的个人信息保护问题日益成为人们关注的焦点。对于个人信息保护法如何筑起个人信息的“安全网”,APP的运营、监管是一个重要的观察窗口。

直击“过度索权”等痛点

“我安装APP的时候,经常发现需要读取手机通讯录、存储照片等权限,有时觉得匪夷所思,但一些APP有专用性,可替代性不高,我要使用就不得不授权。”南京邮电大学数字经济研究所所长、管理学院教授姚国章说,“如果没有法律约束,个人信息势必被滥用,个人信息保护法可谓生逢其时。”

今年下半年,在个人信息保护法经全国人大常委会审议通过前,省律师协会电子商务与信息网络业务委员会副主任、北京大成(南京)律师事务所高级合伙人邹毅,接待了一次特别的上门咨询。对方并非针对某个特定纠纷或案件寻求帮助,而是对即将审议的个人信息保护法涉及的个人信息保护范围、个人信息数据权利归属等内容进行咨询了解。邹毅切实感受到,个人信息保护法吸引了社会广泛关注。

阅读个人信息保护法,记者发现,APP过度索要权限、强制同意、“大数据杀熟”等痛点,是这部法律的精准打击对象。电子商务研究中心特约研究员、律师方超强认为:“个人信息保护法与实际需求衔接非常及时。它的施行,使大部分个人信息采集、处理等乱象的治理都有法可依。”方超强正给互联网企业做个人信息合规法律服务,即规范企业的个人信息处理机制,使企业的个人信息处理符合法律规定。他发现个人信息保护法具有很强的指导性、操作性,“我对这一法律落地、发挥作用,持乐观态度”。

邹毅则表示,个人信息保护法所规定的法律责任有足够的威慑力,例如对于违反个人信息保护义务的行政罚款,其罚款标准参照了欧盟《一般数据保护条例》。但客观地说,个人信息处理者与行政监管者之间、个人信息处理者与社会公众之间的利益博弈与权利义务平衡,会是一个长期的、动态的过程,不能简单期望个人信息保护法立刻起效。而且随着技术的进步、新型商业模式的出现,会有更多新情况。个人信息保护法的实施效果还有待观察,可以“让子弹飞一会儿”。

监管部门频频“出拳”

在个人信息保护法出台之前,国家已经对APP加强监管:2019年12月发布《APP违法违规收集使用个人信息行为认定方法》,2020年10月起实施国家标准《信息安全技术个人信息安全规范》,今年5月出台《常见类型移动互联网应用程序必要个人信息范围规定》。

10月19日,工信部有关负责人表示,加快发布实施《移动互联网应用程序个人信息保护管理规定》,为APP治理提供更加坚实的政策和标准保障。10月29日,国家网信办发布《数据出境安全评估办法(征求意见稿)》,向社会征求意见。

四部委联合开展的APP违法违规收集使用个人信息专项治理,自2019年1月启动后常态化进行,接连“出拳”“亮剑”。省通信管理局去年4月上线“江苏省移动应用(APP)管理平台”,目前已收录15.65万款省内运营的APP,涉及9772个运营者。该平台能够进行APP技术检测,及时发现、处置问题。今年以来,该局已经通报5批、185款“违规APP”,要求这些APP的运营单位限期整改,并且落实对其运营的所有APP进行自查整改。其中,25款“违规APP”因未能完成整改,被责令下架。

国家互联网应急中心江苏分中心也对省内部分重点APP的个人信息收集使用情况进行检测,今年上半年发现43款APP存在问题,其中“收集个人敏感信息未同步告知目的”“超范围收集个人信息”“因用户不同意提供非必要个人信息而拒绝提供服务”情况最为严重。

省通信管理局副局长耿力扬表示,他们将加强APP技术检测能力建设,严格履行属地监督检查职责,加强部门间协同共治,进一步强化对APP的监管,坚持原则、动真碰硬,力争取得让人民满意的整治成果。邹毅说:“一系列的立法与执法行为,与个人信息保护法的落地实施无缝衔接。”

把信息收集主动权交给用户

姚国章提出,作为个人信息保护的第一责任人,个人信息处理者必须严格遵循法律规定,自觉接受政府监管和社会监督,对个人信息不当使用所产生的后果承担相应责任。

两年来,行业自律不断被强化。随着个人信息保护法施行,APP运营企业对承担个人信息保护的责任更加重视。

“守法是运营APP的底线。”“苏宁易购”APP安全中心总监魏涛涛告诉记者,“企业的观念在变——过去,为了更了解用户,充分挖掘用户的喜好,部分企业可能存在一些超范围收集用户个人信息的情况。如今,依据‘最小必要’原则,能不收集的信息就不收集,而且要把信息收集的主动权交给用户,让用户清晰知道哪些信息被收集,也能很方便地拒绝。”

一家APP开发企业的负责人坦言:“目前APP或多或少存在个人信息保护方面的问题。”他所在的企业会尽快采取优化措施,包括根据具体功能需要,解除非必要的个人信息收集;严格规避授权才能使用、不授权展示内容不全等限制;在数据传输、信息展示等方面提升用户信息保护能力。

就在11月1日,工信部启动了“信息通信服务感知提升行动”,其重点任务包括今年12月底前相关企业建立“已收集个人信息清单”和“与第三方共享个人信息清单”,并在APP二级菜单中展示“双清单”,以及优化隐私政策等。作为该行动首批39家互联网企业之一,“苏宁易购”APP的运营公司已在该APP的二级菜单中设立“双清单”,并增加“系统权限申请与使用清单”、“简版”隐私政策,方便用户了解APP对其个人信息的使用情况。

充分发挥社会监督作用

省通信管理局提醒,使用摄像头,尤其是摄像头联网时可能发生个人信息泄露的问题,还未引起足够重视。8月,该局开展摄像头网络安全集中整治专项行动,发现2000多个联网摄像头存在网络安全漏洞。“摄像头存在的安全漏洞主要是弱口令,即密码过于简单、容易破解,有的用户甚至保留摄像头出厂时的初始密码。当使用弱口令的摄像头联网,摄像头很容易被远程连接,造成隐私信息泄露。”该局网络安全管理处工作人员介绍,“还有一些摄像头由装维公司代理销售,厂家发现摄像头存在问题,却难以找到最终用户及时加固升级。建议用户购置正规厂家的摄像头,对联网摄像头做好安全管理。”

国家互联网应急中心江苏分中心网络安全处副处长尹魏昕建议,用户既要学习个人信息保护法等法律法规,也要提高个人信息安全保护意识。用户可以采取如下保护措施:避免将身份证号、手机号码、银行卡号、家庭住址等重要的个人信息提供给无关人员;及时处理、销毁公共场所用到的个人信息记录,防范信息泄露和诈骗犯罪;安装APP要从正规渠道下载,仔细阅读用户协议和隐私政策,收集个人信息弹框谨慎授权。如果发现违法违规收集个人信息行为,用户可向微信公众号“App个人信息举报”举报。

方超强说,过度收集用户个人信息,利用所掌握的信息进行“大数据杀熟”等行为较为隐蔽,使用网络产品和服务的广大用户,是发现违法违规线索的重要力量,建议用户发现违法行为后及时举报,通过社会监督节省行政监管成本,让个人信息保护法更好地发挥效力。

标签:
责编:戴凌 崔欣
下一篇