隐私政策字太小也算未公开收集使用规则!App违法违规收集使用个人信息行为认定方法出炉
△图片来源于网络 图文无关
本报长沙讯 12月30日,国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅四部门联合印发了《APP违法违规收集使用个人信息行为认定方法》(以下简称《方法》)。
《方法》界定了APP违法违规收集使用个人信息行为的六大类方法,并提出,征得用户同意前就开始收集个人信息或打开可收集个人信息的权限、实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围等行为可被认定为“未经用户同意收集使用个人信息”。
根据《方法》,“未公开收集使用规则”的行为包括:在APP中没有隐私政策,或者隐私政策中没有收集使用个人信息规则,首次运行时未通过弹窗等明显方式提示用户阅读隐私政策,隐私政策等收集使用规则难以访问,隐私政策等收集使用规则难以阅读,如文字过小等。
《方法》还规定了“未明示收集使用个人信息的目的、方式和范围”、“违反必要原则,收集与其提供的服务无关的个人信息”、“未经同意向他人提供个人信息”、“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”等行为。
在此之前,潇湘晨报多次关注APP过度获取用户个人信息问题。今年3月21日,潇湘晨报《隔屏有耳》,对网传的手机应用是否存在窃听行为进行调查;11月21日,潇湘晨报《山寨APP除了骗钱还骗信息》,聚焦高仿APP的信息泄露风险等问题;11月26日,潇湘晨报《APP无权“太懂你”》,对众多APP进行体验,发现第三方信息共享是突出问题。
说法
隐私问题甩锅用户也违法?
中南大学计算机学院网络空间安全系教授张健告诉潇湘晨报记者,行业里有个词叫作“最小授权”,也就是针对应用程序的授权是正好符合这个应用的合理需求的。目前,对操作系统获取权限的管理还没那么细,因此很多应用程序要求获得的权限已经到了系统管理员的权限级别,有的甚至连通讯录都可以访问,这意味着可以在用户的手机上植入间谍软件,窃听用户的通讯。张健表示,手机的应用商店在审核过程中没有严谨的信息安全审核机制,应用得到手机应用商店的授权很容易,这导致很多APP实际上是很不安全的。目前,个人隐私泄露非常普遍,个人信息可以说是随处可以获得的。张健坦言,隐私泄露的取证调查审核难度、技术复杂性很高,管理层的技术认知有限,这些都造成了监管难题。
如今,用户的个人隐私安全已经受到越来越广泛的关注。随着《办法》的出台,也意味着个人隐私泄露的监管难问题,相关部门正在寻求解决。另外,用户在个人隐私方面,并非没有法律可以保护自己。湖南金州律师事务所律师易旭表示,网络隐私属于隐私的一种,同时也是网络运营存在的一类问题,相关的立法散落在不同的法律规范中,目前有近40部法律、30余部法规涉及个人信息保护。在个人隐私这块,消费者可以依据《消费者权益保护法》第二十九条“经营者收集或使用消费者个人信息应当遵循合法、正当、必要的原则。”《移动互联网应用程序信息服务管理规定》第七条规定,“移动互联网应用程序提供者应当建立健全用户信息安全保护机制,收集、使用用户个人信息应当遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并经用户同意”。也就是说,在使用APP时常见的过分索取信息,推送广告,隐私问题直接甩锅用户或黑客,都违反了相关法律规定。
潇湘晨报记者李姝