來源:法治日報——法制網
漫畫/李曉軍
● 個人資訊的收集具有隱蔽性特征,收集者與被收集者處於明顯不對等的地位,用戶對收集過程缺乏可感知性,加上相關法律規范存在模糊空間,都讓App運營商有恃無恐
● 要壓實互聯網資訊服務提供者的責任,尤其對於敏感個人資訊,App應該在具有特定的目的和充分的必要性,且採取嚴格保護措施的情形下,才可以處理。同時,行業協會應加強行業自律,健全黑名單制度,對違法企業和個人進行聯合懲戒
□ 法治日報全媒體記者 韓丹東
□ 見習記者 張守坤
□ 實習生 王意天
今年4月,遼寧瀋陽居民白鴿(化名)家的單元門換了新的門禁系統,使用門禁系統需要下載一款App。然而,白鴿發現,該App會讀取用戶大量個人資訊,包括位置資訊、錄音、通訊錄、相機等,用戶不同意就無法登錄使用。
「一個門禁系統,為什麼要收集這麼多個人隱私?」白鴿和身邊不少業主對此均很不理解。
類似的情況並不鮮見。近年來,App過度收集個人資訊已經成為一大頑疾,大眾反映強烈,相關部門也多次查處通報,仍屢禁不止。
App過度收集個人資訊何時休?帶著這一問題,《法治日報》記者展開了調查。
超範圍獲取資訊
很多用戶不知情
下載運行購物App,需要允許通訊錄權限;下載運行交友App,需要允許位置權限;哪怕是借個共享充電寶,也被收集各種個人資訊……App過度收集個人資訊已成為用戶的一大槽點。
最近,上海市消保委針對消費者在使用共享充電寶過程中遇到的個人資訊安全問題開展測試顯示:有些充電寶App首次運行時,在用戶授權同意隱私政策前,就收集個人資訊;有些App收集了用戶的姓名、性別等與租借充電寶無關的個人資訊;還有些App存在未經用戶同意或未作匿名化處理直接向第三方提供個人資訊等。
江蘇消保委2021年《電商平臺侵犯消費者權益相關問題報告》顯示,多家主流電商平臺默認收集非必要資訊。平臺將基於個性化展示的商品、服務的展示瀏覽功能與用戶協議捆綁,要求消費者默認同意接受平臺收集處理消費者的設備資訊、服務日志資訊、瀏覽搜索記錄等資訊,以便平臺通過消費記錄和習慣,向消費者進行有針對性的個性化商品展示。平臺即使提供了個性化展示關閉功能,也未提供資訊收集終止功能。
「個性化展示功能看似便利,實則限制了消費者瀏覽及購物自由,如消費者購買某種商品成功後,基於大數據的推薦,依然會頻繁收到已購產品的推送,既不智能,更影響購物體驗。」江蘇省消保委宣傳部工作人員徐悅告訴記者。
據了解,網上存在一些專業App,用戶下載後借此可以形成「隱私報告」,查看到自己手機裡的App在一周內收集了自己哪些資訊、何時收集的、收集的頻率、與哪些第三方共享了這些資訊等。
記者下載後發現,不少App都在記者不知情的情況下,反覆讀取記者的各種個人資訊,其中手機定位和相冊是被讀取最多的兩項資訊,有一款交友App延續6個小時、每隔幾分鐘就讀取一次記者的手機定位。
就過度收集個人資訊的問題,「黑貓投訴」相關工作人員告訴記者,在黑貓投訴平臺上,2020年11月至今,相關投訴超過3萬條,主要涉及網貸、網上商城、第三方支付、保險等行業。
該工作人員介紹,在金融借貸類App上,存在未經用戶同意讀取通訊錄資訊,在能夠與消費者有效聯絡的情況下,通過簡訊惡意騷擾通訊錄聯絡人;還有一些App未經消費者同意收集其搜索、購物等記錄,定向推薦產品。
今年以來,工信部發布10批次《關於侵害用戶權益行為的App通報》、11批次《關於App超範圍索取權限、過度收集用戶個人資訊等問題「回頭看」的通報》以及《關於下架侵害用戶權益App名單的通報》。而最近一次通報顯示,38款App存在超範圍、高頻次索取權限,非服務場景所必需收集用戶個人資訊等違規行為。
運營商趨之若鶩
易滋生數據黑產
個人資訊保護法規定,個人資訊處理者不得以個人不同意處理其個人資訊或者撤回同意為由,拒絕提供產品或者服務;處理個人資訊屬於提供產品或者服務所必需的除外。
「收集個人資訊應當限於實現處理目的的最小範圍,非必要不收集;個人資訊處理者在取得個人同意的情形下,方可處理個人資訊。個人資訊處理的重要事項發生變更,應當重新向個人告知並取得同意。」大陸傳媒大學文化產業管理學院文化法治研究中心主任鄭寧說。
鄭寧說,個人資訊處理者不得過度收集個人資訊,不得以個人不同意為由拒絕提供產品或者服務,並賦予個人撤回同意的權利。也就是說,消費者有權決定自己的個人資訊是否被使用和使用的範圍以及停止授權使用。對於敏感個人資訊,還應該在具有特定的目的和充分的必要性,且採取嚴格保護措施的情形下才可以處理。
過度收集個人資訊,用戶反感、相關部門接連查處通報,為何App運營商仍趨之若鶩?
大陸傳媒大學文化法治研究中心副主任程科告訴記者,最重要的原因是利益驅使,個人資訊中蘊含著巨大的商業價值,特別是在數字經濟的背景下,通過對個人資訊的大數據分析,可以為商業決策提供較為準確的依據,同時也使得個性化資訊推送、定向廣告投放等商業模式成為可能,在市場競爭中可以獲得巨大的優勢。
在程科看來,個人資訊的收集常常具有隱蔽性特征,收集者與被收集者處於明顯不對等的地位,用戶對收集過程缺乏可感知性;加上相關法律規范存在模糊空間,例如如何解釋「過度」,如何理解個人資訊收集中的「最小且必要」原則,都存在一定的模糊性,這些都讓App運營商有恃無恐。
過度收集個人資訊,也加劇了個人資訊泄露、濫用的風險。安徽省宿州市警察局埇橋分局網安大隊相關負責人介紹說,用戶拜訪網站或App,網路服務提供者未明確告知收集使用個人資訊的目的、方式和範圍並獲得用戶同意前,就收集用戶個人資訊,或非因服務過程中所必需的場景,超範圍、多次收集個人資訊,像人臉視訊、位置資訊、通訊錄數據,這些都容易滋生數據黑產,引發違法犯罪。
多管齊下強治理
聯合懲戒壓責任
整治過度收集個人資訊行為,迫在眉睫。相關部門也在積極行動。
11月1日,工業和資訊化部印發《關於開展資訊通訊服務感知提升行動的通知》,列出了首批設立「雙清單」、提升客服熱線響應能力、優化隱私政策和權限調用展示方式的互聯網企業名單,包括39家主要互聯網企業,建立已收集個人資訊清單和與第三方共享個人資訊清單,並在App二級菜單中展示,方便用戶查詢。
11月14日,國家網信辦發布的《網路數據安全管理條例(征求意見稿)》提出,數據處理者利用生物特征進行個人身份認證的,應當對必要性、安全性進行風險評估,不得將人臉、步態、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式,以強制個人同意收集其個人生物特徵信息。
在程科看來,解決過度收集個人資訊行為需要立法端、司法端、執法端、用戶端多管齊下。
他進一步解釋說,在立法端,需要將個人資訊保護的相關規則進一步具體化,通過分級分類的方式逐步建立具體可執行的標準。可以考慮對個人資訊本身進行精細化分類,為身份數據、行為數據、特殊主體數據(未成年人、老年人等)確立不同的保護標準;此外,對於資訊的收集方,如各類App,進行分級分類管理,對其收集權限予以明確。
「目前,個人資訊的保護仍然處於多部門聯合執法的狀態,設立專門的資訊執法部門有助於明確職責,提升執法的專業性。」程科說,用戶也需要提升資訊安全意識,在使用App時閱讀用戶協議、隱私保護協議,發現個人資訊存在被過度收集的行為時積極舉報、維權。
鄭寧也認為,消費者應提高警惕,保護好個人資訊。在下載或使用App時一定要仔細閱讀相關條款,不要隨意開通涉及個人資訊的權限;不要隨意填寫個人資訊或上傳帶有個人資訊的證件及復印件。如遇個人資訊泄露或被非法使用情況,應立即通過法律手段維護自身合法權益。
「要壓實互聯網資訊服務提供者的責任。尤其對於敏感個人資訊,App應該在具有特定的目的和充分的必要性,且採取嚴格保護措施的情形下,才可以處理。同時,行業協會應加強行業自律,健全黑名單制度,對違法企業和個人進行聯合懲戒。」鄭寧說。