2021 年剛進入第二個月份,工信部已通報了第 2 批存在問題的應用軟件名單,問題在于存在違規調用麥克風、通訊錄、相冊等權限侵害用戶權益行為。
值得說明的是,這也是工信部首次針對違規調用麥克風、通訊錄、相冊等權限侵害用戶權益行為的 App 進行通報。
工信部指出,在督促整改過程中,仍有 26 款 App 未完成整改,QQ 輸入法、UC 瀏覽器、墨跡天氣等 App 均在列。
其中,包括 QQ 輸入法(8.2.2)、快輸入(1.5.6)、手心輸入法(3.1.0)、微商輸入法(2.4.2)在內四款輸入法應用涉及“違規收集個人信息”。此外,后三者還涉及“違規使用個人信息”。
值得一提的是,第 2 批的問題名單的發布時間距離 2021 年第 1 批問題名單的發布,僅相差了 13 天;不難看出,其監管舉措之密集。
在 1 月 23 日通報的 2021 第 1 批名單侵害用戶權益行為的 APP 中,共有 157 款 APP 未在督促下完成整改。
不僅如此,工信部公告還指出,本次檢測還涉及平臺管理主體責任落實不到位的問題。其中,騰訊應用寶、小米應用商店、豌豆莢、OPPO 軟件商店、華為應用市場發現問題分別占比 22.3%,12.0%,10.3%,9.9%,8.8%。
事實上,自 2019 年 11 月工信部啟動了 App 侵害用戶權益專項整治工作以來,工信部已進行了 11 批次的專項整改,對手機應用軟件進行檢查,并督促存在問題的企業進行整改。
并且,從近期工信部的整改通報來看,其整改范圍也變得逐步聚焦——2 月 5 日的整改通報則聚焦于違規調用麥克風、通訊錄、相冊等權限侵害用戶權益的行為。
不僅如此,這些 App 亂象,還遭到了工信部副部長直接點名批評。
盯上 App 亂象
在 2 月 5 日工信部召開的 App 個人信息保護監管座談會上,工信部副部長劉烈宏在談話中列舉了多種 App 亂象,其中包括:
App 濫用麥克風權限:一些即時通訊工具,輸入法和地圖導航等 App,在使用麥克風權限、讀取文字輸入內容后,超出用戶許可范圍用于其他途徑,帶來了風險隱患。
App 讀寫相冊:在目前的操作系統授權管理機制下,用戶對 App 無法就讀取和寫入功能進行分別授權,只能一次性授權允許或者禁止。有些 App 在獲取用戶一次性授權后,過度使用甚至濫用儲存權限。
App 索要用戶通訊權限:在未經用戶允許、未充分告知用戶的前提下,有些App擅自上傳并保存用戶的通訊錄,甚至在用戶明確拒絕授權讀取通訊錄后,依然向用戶推薦手機通訊錄的聯系人。
App 難以關閉廣告彈窗:部分 App 在打開或使用過程中,會彈出各式各樣的廣告,并人為設置多重障礙,使得廣告彈窗難以關閉。
需要指出的是,App 存在的亂象遠不止于,以上的列舉僅是用戶近期較為關切的部分問題。
而無論是麥克風權限被濫用,亦或是在不知情的情況下被讀寫相冊、索要用戶通訊權限等,其背后都指向了同一個不可侵犯的領域——用戶隱私。
以索要用戶通訊權限為例,劉烈宏指出,對用戶而言,通訊錄存儲了用戶的主要社交關系,是隱私的重要組成部分。對企業而言,通訊錄是他們豐富用戶精準畫像的重要信息來源,可以對用戶社交關系進行分析,這是擴充客戶范圍的重要途徑。
因此,很多 App 在沒有合理場景的情況下,依然頻繁索要用戶的通訊錄權限,目的不單是為用戶提供有意義的服務,而是瞄準了用戶背后的社交關系。
對于這些 App 亂象,劉烈宏表示,工信部將針對熱點問題,分階段、分批次組織中國信息通信研究院和網絡安全廠商,重點對違規調取權限等問題進行技術攻關,深挖根源。
另外,為了加強 App 亂象治理,劉烈宏提出,將向社會公開征求意見,完善有關 App 的管理規定,并在規定正式出臺后不折不扣地推動實施和落實。
法律法規監管加強
目前,工信部正在起草《移動互聯網應用程序個人信息保護管理暫行規定》,共計 22 條,以知情同意和最小必要兩項個人信息保護的基本原則為綱。
其中,最小必要規定則要求從事 App 個人信息處理活動,應當具有明確合理的控制,并遵循最小必要的原則,不得從事超出用戶同意范圍或者與服務場景無關的個人信息處理活動。
值得一提的是,這一規定與電信終端產業協會官網在 2020 年 11 月 26 日公布的《APP 收集使用個人信息最小必要評估規范總則》(下稱《總則》)有所類似。
《總則》指出,APP 收集使用個人信息最小必要評估旨在對移動互聯網行業收集使用用戶人臉、通訊錄、短信、位置、圖片等個人敏感信息進行規范,落實最小必要的原則。
另外,《暫行規定》還以 App 開發運營者、App 分發平臺、App 第三方服務提供者、移動終端電信設備生產者和網絡技術服務提供者作為重點監管服務的對象,規定了五類主體應當遵循的個人信息保護總體要求和應承擔的義務。
從治理力度來看,對 App 亂象的治理,不僅局限于 App 本身,而且擴大至渠道中的各個對象,在深度之外,也具備了廣度。
目前來看,除了即將出臺的《移動互聯網應用程序個人信息保護管理暫行規定》以及近期出臺的《APP 收集使用個人信息最小必要評估規范總則》,關于侵犯用戶權益 App 的治理還有《網絡安全法》、《電信條例》、《電信和互聯網用戶個人信息保護規定》等法律法規支撐。
隨著更具針對性且更為全面的法律性文件陸續出臺,可以想見,未來關于 App 亂象的治理將更為嚴峻且全面。
另外,從工信部的頻頻治理舉措以及法律層面的強化升級也不難得知——App 肆意侵犯用戶隱私的時代,將走向終結。
