江苏省消协通报手机应用程序侵犯个人信息安全情况
图:一个手电筒APP在安装时需要获取用户诸多权限。(图片为网络截图)
■葛绍刚 本报记者 薛庆元
由于使用的便捷性,越来越多的手机用户习惯通过手机应用程序(以下简称APP)来获取日常生活所需的各项服务,但APP在安装和使用过程中过度获取了大量的个人隐私信息,已经成为消费者个人信息安全的最大隐患。8月23日,记者从江苏省消费者协会召开的新闻发布会上了解到,目前软件市场上的APP普遍存在涉及侵犯消费者个人信息安全的情况。
过度获取权限
此前,江苏省消协对涉及购买类、阅读类、支付类、旅游类等服务领域,用户较多且具有一定行业代表性的27家APP的开发企业发出约谈函,要求针对侵犯消费者个人信息问题进行情况说明。截至8月16日,百度阅读、百度输入法、百度浏览器、手机百度、平安壹钱包、蜻蜓FM、爱奇艺、网易支付等8家手机APP开发企业未作任何书面意见反馈及情况说明。江苏省消协的调查显示,这8款APP普遍存在侵犯消费者个人信息安全的问题。
江苏省消协投诉部主任张昊舒介绍说,绝大部分手机APP在开发时就通过设置权限获取列表的方式,在安装时申请了大量的手机权限,远远超出手机APP正常为消费者服务所必须获取的权限,例如“读取或增删联系人”“读取或增删通话记录”“精确定位并获取行动轨迹”等。然而,是否获取这些涉及消费者个人隐私的权限并不会影响软件的正常运行,而且除非消费者自己主动取消,否则这些个人隐私将一直处于允许软件获取的状态。
以目前市场上的一款手电筒APP为例,主要功能是开启手机摄像头闪光灯起到照明的作用,这款APP却要求获取用户的短信读取/修改、通话记录读取/修改、获取行动轨迹(精确GPS)等诸多涉及消费者隐私且与照明功能无关的授权。取消这些授权后,手电筒的功能并没有受到实际影响。
除了过度获取消费者个人信息外,APP开发企业对个人信息的保护规则和措施并不完善。江苏省消协的调查显示,大部分手机APP开发企业对于安装后获取的消费者个人信息、非注册浏览用户的个人信息、用户放弃使用后的个人信息删除与销毁均未有明确的措施和完善的保护制度。
侵犯自主选择权
根据《消费者权益保护法》《网络安全法》等相关法律规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则以及公开收集、使用规则,同时明示收集、使用信息的目的、方式和范围,并经被收集者同意。
然而,绝大多数手机APP在安装前后均无明示告知消费者会获取哪些权限及获取权限后收集、使用个人信息的目的、方式、范围及风险。目前消费者所见的权限告知均来自下载前的软件应用市场或是安装前的手机操作系统,但此种告知既不全面又未以显著方式提醒注意,更不能代替APP开发企业自身的告知义务。很多消费者是在完全不知情的情况下给这些APP开通了诸多的手机权限。
《中国消费者报》记者随机选取了一款“百度阅读”APP,在手机应用商城的软件介绍页面,只看到软件详情的截图和功能、内容以及APP开发方的联系方式等信息。在跳过3个软件推荐模块后,记者看到最下方有一栏“应用信息”,应用信息的最后一项则显示了该软件所需要的使用权限。令记者不解的是,这款以阅读为主要功能的软件竟然需要41项权限,点开权限详细列表发现,涉及位置信息、电话、相机、通讯录、存储空间、短信、麦克风、其他等8个主要方面的权限。通过仔细阅读这些权限内容,记者发现“精确位置”“直接拨打电话号码”“读取手机状态和身份”“拍摄照片和视频”“读取您的通讯录”等涉及消费者隐私且与阅读功能并无直接关系的权限赫然在列。
记者下载安装该APP,没多久手机就弹出了“安装成功”的信息,在此过程中,并没有出现任何的权限提醒。安装完成后进入APP,出现“需获取位置信息”的弹窗,在选择拒绝后,软件的阅读功能并没有受到影响。除了这个位置信息外,记者没有发现其他任何一项权限的申请提示,也没有发现关于这款APP收集消费者个人信息的使用规则及使用信息的目的、方式和范围等方面的内容。
记者查看了其他几款手机APP,“平安壹钱包”需使用权限32项,“百度浏览器”49项,“蜻蜓FM”25项,“爱奇艺”35项,“网易支付”28项,这些权限涉及到用户日常生活中的各类隐私信息。
“手机APP以默认选择的方式侵犯消费者的自主选择权。”张昊舒说,绝大多数手机APP下载安装完成前均未向消费者提供选择权限的机会,只有极少数品牌部分机型会在手机APP安装前有明确提示并选择,且存在默认开通所有权限的情况。
合法、正当采集信息
个人信息保护涉及到每个消费者的切身利益,信息泄露导致的各类广告推销电话骚扰不胜其烦,也为各类诈骗埋下了隐患。张昊舒在接受记者采访时表示,消费者需提高自身安全防范意识,在下载使用手机APP时一定要清楚所需要开通的权限,通过手机应用程序管理等功能关闭涉及个人隐私的权限。张昊舒提醒消费者,对于来源不明、申请权限过多的APP要谨慎下载使用。
“手机软件对个人信息的采集应当合法、正当、必要。”江苏省通信管理局华仁方处长表示,对于采集的个人信息的用途应征得消费者同意。此外,APP开发企业对收集到的个人信息有责任采取保护措施,防止泄露。
江苏省消协对市场上存在侵犯消费者权益的APP开发企业提出三项整改要求:自查获取相关权限的必要性,取消不必要的权限;收集使用消费者个人信息前,应当明示收集、使用信息的目的、方式、范围,并征得消费者同意,且手机APP本身应当提供便于消费者查看、修改权限的途径;以方便消费者查阅的方式公开个人信息收集、使用规则,包括APP卸载后个人信息的处理规则。“我们将会联合行业主管部门,合法收集证据,对于拒不配合消费者协会约谈工作以及整改不到位的手机APP开发企业采取进一步的法律措施,多重举措维护消费者的合法权益。”张昊舒说。“APP收集用户信息,应当向用户明示并取得明确同意而非默认同意。”江苏致邦律师事务所陶若晨律师说,消费者有权知悉手机APP是否收集其个人信息,收集信息的具体范围或是该信息在何时何地被何人为某种目的所使用,并有权拒绝提供或要求经营者禁止将个人信息用于相应目的的权利。因消费者个人信息泄露,不合理使用造成损失,可以要求APP开发企业停止收集并请求损害赔偿。