首页 > 安全资讯 > 正文

拒绝App再“偷窥”! 《App违法违规收集使用个人信息行为认定方法》今日发布

大家好,我是零日情报局。




12 月 30 日,国家互联网信息办公室、工信部、公安部办公厅和国家市场监督管理总局四部门联合印发《 App违法违规收集使用个人信息行为认定方法》(下称《方法》)。

   不由我说,App“越界”收集用户信息早已乱象丛生,App违规收集用户信息所引发的风险事件相继冒头。

   而如今《方法》正式发布,终于为此前一直在信息世界“裸奔”的人们穿上了一层防护衣。至于哪些App属于违法违规,也有了权威的认定。


【1】《方法》详细解读

   无规矩不成方圆,四部门联合制定的《App违法违规收集使用个人信息行为认定方法》划分了31种场景,界定了App违法违规收集使用个人信息行为的六大类方法。

以下为解读内容:

一、“未公开收集使用规则”,即“公开请示”。

   此内容要求App必须公开隐私政策及隐私政策中的个人信息收集规则,而没有隐私政策、政策内容缺失、操作过于复杂繁琐,或是政策规则字体模糊、未提供简体中文等行为都属于“未公开收集使用规则”。

二、“未明示收集使用个人信息的目的、方式和范围”,即“权限清晰”。

   此内容严格表示了App(包括第三方)有责任、有义务明确告知用户关于信息收集的目的、方式和范围。当收集信息的目的等发生变化时,应遵守第一条内容及时告知用户。

  上述两版块判定规则聚焦在App收集数据前,其隐私政策是否公开透明这一原则问题。举例来说,如果用户遇到App隐私政策或手机信息规则部分内容充斥大量专业词汇,感到晦涩难懂。毫无疑问,该App可被认定为“未明示收集使用个人信息的目的、方式和范围”。

三、“未经用户同意收集使用个人信息”,即“经得同意”。

   此条《方法》内容可以概括为,App任何收集个人信息的行为都必须在获取用户“主动同意”的前提下,且应以正当方式,不得误导用户。比如常见的默认选择同意,就是“被动同意”,属于“未经用户同意收集使用个人信息”。

四、“违反必要原则,收集与其提供的服务无关的个人信息”,即“业务相关”。

   此部分内容明确了“违反必要原则“的界限。值得注意的是,这里提到,App不得因用户拒绝授权无关或过度信息收集权限,而拒绝服务。

   这两个版块内容主要表达了在App收集用户信息过程中,个人信息收集应以遵循“用户意愿”和“业务范围”为原则的核心观点。所有收集用户个人信息的行为或变更,都必须获得用户同意,不允许“霸王条款”影响用户正常使用,尊重用户的意愿与使用体验。

五、“未经同意向他人提供个人信息”,即“禁止外泄”。

   此版块内容十分清晰,也就是说App不得在未经用户同意、未作匿名处理的情况下,向第三方提供个人信息或接入第三方应用,都属于违规操作。

六、“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”,即支持删改、接受批判。

   此版块内容规范了App的相关功能,严格规定必须提供有效且合理的删除、注销个人信息和账号设置,以及投诉、举报的方式。

   该《方法》的最后两条内容可以理解为,尽管App已经获取了用户个人信息,但无权向第三方外传,也无权干涉用户删除、清空操作。换言之,就算App获取信息的过程是合法的,但也要做到保存信息的过程同样合法。

   总体来说,《方法》中的六类行为判定遵循着“隐私政策公开透明、收集权限尊重用户、获取并不等于所有”三项原则,明确了各类场景下App是否涉及违法违规收集信息,为App戴上了一顶“紧箍咒”

【2】App信息“偷窥”就在身边

《方法》详细写明了App违规收集使用个人信息具体行为,为今后判定立下准绳。而《方法》中,提及的违规收集个人信息、强行收集个人信息,甚至是贩卖交易个人信息的例子,就发生在身边。

App擅自截获社保信息

   2019年央视3·15晚会上,专家现场演示非官方应用“社保掌上通”App,该App在未获得社保部门及用户任何相关授权下,截取用户社保信息数据。而社保信息的泄露,不仅意味着个人隐私全无,还存在篡改或利用信息从事非法活动,进行刑事犯罪、经济犯罪的风险。

霸王协议强行收集隐私

   ZAO”AI换脸App刷屏朋友圈,但App用户协议以霸王条款,强制要求用户使用App,既无条件同意App开发商使用用户肖像等信息,严重侵犯用户权益,上线四天即遭工信部约谈整改。“ZAO”过度攫取用户肖像授权,绝非简单的侵权问题,而是为刷脸支付等新技术的发展与普及,埋下祸根。

违规泄露用户信息

   今年10月,社交电商云集App在用户不知情的情况下,未经同意违规泄露大批用户“私人信息”,致使上千用户遭遇“退款诈骗”,累计损失金额或达数百万元。平台信息泄露,导致多针对个体的诈骗行为,直接扩散成群体事件,安全威胁飙升。

 日前,江苏警方依法查处7家侵犯公民个人信息犯罪。其中,拉卡拉支付旗下考拉征信,自2015年3月以来,非法获取、存储公民姓名、身份证号、相片近1亿条。

   同时,考拉征信通过非法提供查询返照的方式,为小贷公司实施“套路贷”犯罪、暴力催收等黑色产业链提供支持,贩卖个人信息9800余万次,获利3800余万元。信息泄露成为“套路贷”等犯罪行为的帮手,无疑将导致更大范围普通人,遭受财产及生命安全威胁以上,还只是手机App非法收集泄露用户信息个案,收集滥用个人信息的危害,绝非危言耸听。

【3】   App“越界”气焰高涨

   一直以来,强制授权、过度索权、超范围收集个人信息、利用个人信息非法牟利等问题都是各类App屡禁不止的安全隐患。

   零日查阅中国消费者协会发布的《100款App个人信息收集与隐私政策测评报告》数据发现,在大家常用的100款APP中,多达91款App存在过度收集用户个人信息行为,金融借贷类App首当其冲,当然也不乏常用的工具软件、挂牌的银行软件涉嫌“越权”。

  “位置信息”、“通讯录信息”和“手机号码”无疑是最常见的过度收集或使用的数据内容。

   再详细一点来看,仅是针对“读取联系人”权限的申请占比就从2017年的3.5%飙升至2018年的29.3%,还有占比越来越高的申请读取录音权限等,这里不一一赘述了。从上面的数据可以看出,App过度收集或使用个人信息现象非一日之寒,且有逐渐猖獗的趋势。为何手机App会屡屡犯“界”,且有愈演愈烈之势呢?

谁都知道,有钱能使鬼推磨。

   App之所以屡次在违规违法的边缘疯狂试探,正是因为以个人信息窃取以及非法使用为主的黑灰产让其有利可图。再就是“牛栏关不住猫”——国内外都缺少针对App信息采集权限的明确标准或规定,而且有部分App开发者对陆续出台的新近法律法规还心怀侥幸。正因为如此,此前工信部等相关部门屡次整改但仍然难以起到根本作用。

零日反思

   伴随移动互联网的深入,用户在线数据行为逐渐成为一个庞大的数据量,背后的隐私、信息安全问题日益尖锐,而国内外都没有专门制定App个人信息保护的法律法规,要求网络运营者承担起用户个人信息安全的责任和义务。

   从四部委近两年的严格整改,到成立App专项小组,再到今日《App违法违规收集使用个人信息行为认定方法》的制定,足以证明相关部门肃清APP过度收集个人信息之风的决心和行动力。法律法规是治理违规App的根本依靠和有力抓手,事实上也只有如此,才能有效斩断黑灰产越界的触手,保护个人信息安全不受侵犯。

 


360安全卫士

热点排行

用户
反馈
返回
顶部