工信部官网8月25日发布通报,67款侵害用户权益App被要求下架,涉及问题包括违规收集个人信息,强制、频繁、过度索取权限等。你知道App是怎么监听我们手机里的隐私?你知道手机“被偷听”是自己同意的吗?除了维权整治过度索权的App,我们还能如何更好保护隐私?这些App背后的企业,他们的边界应该在哪里……9月1日实施的《数据安全法》,已经对App等非法采集、滥用用户数据进一步约束,强化对公众隐私保护。
与此同时,从系统开发者、到手机厂商,也在积极给出解决方案,共建“保护用户隐私”网络生态。“在隐私安全保护方面设立一个边界”,荣耀终端有限公司CEO赵明接受南都采访时说,用户隐私、数据安全一定要被妥善、合理严格保护。只有这样,这项业务或者科技的发展才能具有可持续性,否则就会有无形的墙和限制,这也是荣耀为什么设定非常严格的用户数据及隐私安全保护方案,“这个原则,我们在任何时候都不会打破”。
荣耀终端有限公司CEO赵明接受南都采访。
生活服务类应用,很多权限是非必需的。
未经同意监听收集用户信息是违法行为
如今,手机承载着人们的娱乐、生活,是人们生活必不可少的设备,最贴近人的终端。它是一种安全感,也是一只藏在深渊中看记录人的眼睛。
全球市场对隐私安全立法高度重视,安全漏洞被逐渐关注。工信部刚要求下架的数十款应用,足见当下数据安全管理的紧迫性。而过度释放权限正是诱发隐私信息泄露原因之一,我们日常所用的App设备访问权限简直是毫无保留,一个日历、一个天气预报的软件甚至都要获取你的个人信息,包括通信录、位置信息等。
《2019全国网民网络安全感满意度调查统计报告》显示,37.4%的网友认为个人信息泄露非常多或比较多,58.75%的网友曾经遇到个人信息被侵犯。之前,国家信息中心国信卫士网络空间安全研究院技术发展研究室副主任邓子健提到:他在网络电商平台购买了一款耳麦,后来他打开电脑的网页,基本上都在推送某品牌的耳机广告。因数据泄露带来的问题,在知乎、新浪微博等社交平台上,经常可见网友大肆吐槽。
随着移动互联网快速发展,各式各样的App应用程序深入人们日常生活,用户只需通过手机号或者邮箱注册就能享受App带来的便利。但是,这些App也在变相收集着海量的用户个人信息、使用信息。2021年上半年,全国公安机关加强App非法收集使用个人信息监管,会同有关部门联合开展APP违法违规收集个人信息专项治理工作,累计下架1100余款违法违规收集使用个人信息App。
App在用户不知情情况下监听是不是违法?浙江垦丁律师事务所合伙人、广东省信息法学会理事王捷律师说,App在未经用户同意下通过监听收集用户个人信息,是典型违法行为。不管是《民法典》,还是最新颁布的《个人信息保护法》,明确规定“获得数据主体的同意”是处理个人信息的合法性基础之一。国家网信办出台的《App违法违规收集使用个人信息行为认定方法》也特别强调用户的知情权、决定权,明确“征得用户同意前就开始收集个人信息或打开可收集个人信息的权限”的行为属于未经用户同意使用个人信息的行为。
建议针对不同应用给它赋予不同的权限
“为什么很多软件特别关注手机,一是因为手机是我们随身带的,天生就有大量隐私信息;二是因为现在有大量应用服务通过手机使用,比如上网买东西,拍的照片,通讯录,在社交软件发的信息,存的文档等等。”
华南师范大学计算机学院教授、副院长赵淦森表示,要保护手机里的隐私数据有两种途径:第一种途径是让它少产生隐私数据,比如把位置信息关掉,不让一直定位,最简单直接方法就是要把产生隐私的源头关闭;第二种途径是很多手机可以针对不同软件、App赋予不同权限,访问不同数据,用户一定要细看App权限,涉及隐私数据,包括通讯录、位置信息、通话状态等,用户可以稍微坚持一下,大家都不用,对方就会一定程度上让步,未来对隐私数据保护会更好。否则,大家都默许,隐私保护状态只会越来越差。
众所周知,数据安全关系个人安全,一旦大量涉及身份、家庭、经济状况、兴趣爱好等公民个人隐私,以及人脸、指纹、DNA等不可逆转的生物特征信息被恶意泄露,安全隐患不容小觑。基于此,我国已经先后制定《网络安全法》、《电子商务法》、《民法典》等,都对个人隐私、信息安全等方面做了严格有效规定,一个共通原则就是对数据使用、收集进行管控。
9月1日起实施的《数据安全法》给用户隐私安全带来更多保障。
《个人信息保护法》11月1日起施行,进一步规范个人信息数据处理行为。
9月1日开始实施的《数据安全法》同样给隐私安全带来更多保障。例如,规定“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。”互联网企业收集数据应符合此条规定。
也就是说,企业在收集和使用数据方面需要有合法基础,在不涉及公共利益的绝大多数情况下需要获得用户(个人信息主体)的授权同意。
8月20日颁布的《个人信息保护法》,是我国首部针对个人信息保护的专门立法,将于今年11月1日起施行。专家坦言,该立法给个人信息上了一道“安全锁”。 对个人信息处理规则进行了细化、完善,明确其中的权利义务边界,划定行为红线,进一步规范个人信息数据处理行为。
“大家也要有维权意识,如果发现App或怀疑哪个应用,过度收集信息,或者过度索取信息,可以向有关部门投诉。”赵淦森教授说,现在《数据安全法》、《个人信息保护法》等有关法律法规都出台了,用户是有法律依据可以去维权的,监管部门对这些特别重视,通过不断维权来规范App这些行为。
手机厂商根治App侵害用户权益等问题
在王捷律师看来,解决App强制、过度索权,超范围收集用户个人信息等问题,需要法律监管、行业自律、企业加强对用户个人信息与隐私的保护,以及用户自我提升个人信息保护意识等各方面的配合共同完成。
保护用户数据是大势所趋,也是国家对企业履行社会责任的更高要求。除了国家监管部门持续加码,一些头部手机厂商已经着手根治App侵害用户权益问题。荣耀终端有限公司CEO赵明告诉南都记者,保护用户隐私是我们提供产品和服务最基本的前提条件。从最初产品设计到最终的服务提供,每一环节都会考虑如何更好保护用户隐私,如何让用户对个人数据拥有自主控制,绝不会牺牲用户隐私获取商业利益。
据其介绍,荣耀秉承“科技有道,隐私至上”的理念,提出“最小化”、“透明可控”、“端侧处理”、“身份匿名”和“安全保护”五大设计原则,构建起五道隐私保护防线。例如,荣耀Magic3系列在保护隐私就推出了特色化功能:设备投屏隐私保护功能、维修模式功能、权限最小化推荐等,在支付场景、App权限使用、位置跟踪、手机维修、手机投屏等场景为消费者解决隐私痛点,带来更安全的使用体验。
具体而言,当用户使用手机跨设备投屏时,手机默认不在投射屏幕上显示App的登录操作界面;投屏到智慧屏设备时不会在投屏显示微信、短信等信息。当用户手机出现故障送修时,只需在手机上开启维修模式,维修人员将无法看到手机中的照片、视频、短信、即时聊天工具、通讯录、录音,支付应用和手机银行等数据。
特别值得一提的是“权限最小化推荐”,可以帮助用户解决权限被私自获取的问题。在首次使用即向消费者推荐仅开启App必要权限,越界权限自动关闭,避免给App提供不必要的数据,使消费者对于自身的隐私做到透明、可控。另外,考虑到用户分享照片时会无意间泄露自己的行踪信息,荣耀Magic3系列还加入照片分享最小化功能,选择分享时,开启隐私保护模式,手机发送照片前可抹掉照片信息,保护个人信息安全。
荣耀Magic3手机推出维修模式功能,维修人员无法查看用户隐私数据。
荣耀Magic3手机实现权限最小化推荐,帮用户解决权限被私自获取问题。
专家称利用好手机的功能设置保护隐私
其实,今年5月1日起施行的《常见类型移动互联网应用程序必要个人信息范围规定》,明确了39类基本覆盖大众衣食住行、学习工作等日常生活的主要方面的App,规定App的基本功能服务和必要个人信息范围,明确要求App运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用其基本功能服务。
荣耀终端有限公司CEO赵明告诉南都记者,区别于其他厂商,荣耀首创双TEE系统开启隐私防护双保险,持续打造可信的系统安全能力和友好的安全生态。其中,自主研发HTEE,内嵌形式化验证的微内核,保障高安业务场景的显示、输入的安全可信,实现内容、移动支付等方面的保护;自研HTEE +高通TEE的结合,构建高安业务隔离生态环境, 支持国内金融支付业务和身份识别业务快速拓展。在“应用安全”“数据安全”“系统安全”“隐私保护”“硬件安全”等全维度构建业界领先的终端安全基础能力和用户体验。
荣耀手机应用全生命周期中贯彻“最小化”原则。
同时,坚持在应用全生命周期中贯彻“最小化”原则。下载App即可自动匹配最小化授权;打开隐私功能,即可直观看到7天内App权限使用记录;根据不同权限(定位、摄像头、麦克风等)的使用情况排名,自动生成隐私风险报告;用户可以一键优化,制止风险App持续获取隐私,真正做到“可管理”“可视化”“可信赖”的全链路隐私保护。
王捷律师也建议,企业在App发版时就应该自行针对应用中收集个人信息行为是否存在违法违规进行自我检测、评估与认定。应用商店等分发平台应该按照相关规定,对申请上架App进行必要的审核,不符合规定要求的不能上架,对上架App需要复核,发现不符合规定要求的应及时下架,更好保护用户信息。最重要的是,用户自身也要有意识提高隐私安全保护理念,例如从正规应用商店渠道、官方网站等途径下载App,学习和利用手机厂商提供的功能设置实现对自我隐私的控制,进一步保护隐私安全,通过手机系统“隐私设置”关闭“要求应用不跟踪”的选项,关闭不必要的App权限,降低隐私泄露的风险。
关键词:
数据安全法
隐私信息
过度索权
维权
