用手機下載一個應用,卻被要求訪問通訊錄,或者不同意訪問地理位置就裝不了;在手機應用裡浏覽了某些信息後,就會收到相關産品的廣告短信……相信不少朋友都遇到過類似的情況。針對這種超範圍收集、強制授權、過度索權等個人信息收集安全問題,全國信息安全标準化技術委員會最近發布了《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規範》,這一規範的出台,能杜絕移動互聯網應用強制收集個人信息的行為嗎?
東南大學網絡空間安全學院副教授宋宇波利用專門的檢測軟件,對10款常用軟件讀取的用戶權限數量做了分析,分别為:微信63項;新浪微博89項;餓了麼26項;滴滴出行44項;QQ95項;酷狗音樂 91項;愛奇藝46項;WPS office53項;美團外賣38項;百度網盤74項,這10款軟件中,最多的讀取了95項權限,最少的也讀取了26項權限,其中不乏一些個人敏感信息。比如和個人信息有關的電話号碼、出生日期、通訊錄、電話簿,還有手機裡的一些照片,另外就是和手機設備相關的信息,比如用戶使用的是蘋果手機還是安卓手機,它的操作系統、版本号以及硬件信息等。
應用軟件讀取個人敏感信息,一部分和自身功能相關,屬于合理讀取;還有一部分屬于過度讀取。例如有一款"圖庫"軟件,讀取了與其功能不相幹的"通話記錄信息",而一款"指南針"軟件,則讀取了4項個人敏感信息,而隻有前兩項用戶的位置信息,屬于合理讀取,這就屬于典型的過度申請的現象。
新發布的《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規範》指出,依據《中華人民共和國網絡安全法》中的相關要求,以及個人信息最少夠用原則,針對手機應用的基本業務功能,明确界定了保障其正常運行所需收集的個人信息,給出了地圖導航、網絡約車、即時通訊社交、社區社交、網絡支付、新聞資訊、網上購物、短視頻、快遞配送、餐飲外賣、交通票務、婚戀相親、求職招聘、金融借貸、房産交易、汽車交易等16類應用軟件業務功能相關的必要信息範圍。
針對目前較多應用讀取用戶通訊錄的要求,《規範》也給出了明确的範圍限制。比如金融借貸類應用,《規範》要求,應允許用戶手動輸入兩位緊急聯系人信息,而不應強制讀取用戶的通訊錄;即時通訊社交應用,應該允許用戶手動添加好友,而不應強制讀取用戶的手機通訊錄。應用軟件讀取個人信息,看似随機和随意,但掌握用戶更多的個人信息就能為運營商帶來更多的收益,比如精準推送廣告等等,甚至不排除個别運營商倒賣收集到的用戶個人信息。而對于通過收集浏覽、點擊等操作記錄這些不必要獲取的信息,來收集個人信息以實現廣告精準推送,法律人士認為,網絡運營商這種行為,實際上是在侵犯用戶的隐私權。
對此《規範》指出,浏覽、搜索、點擊等操作記錄通常是非必要信息,收集時應告知用戶并征得其同意;保存和使用個人上網記錄時,對個人信息進行去标識化處理;使用個人上網記錄用于分析用戶畫像進行個性化展示和推薦時,必須告知用戶使用目的,并提供用戶退出定向推送模式選項。
新出台的《規範》為手機應用開發者和提供者規範個人信息收集行為提供了标準和參考,也為主管部門、第三方評估機構等對于個人信息收集行為進行監督、管理和評估提供了必要的依據。但除了有據可依之外,還應該加強對信息倒賣和過度挖掘等行為的執法,提高其違法成本,形成法律震懾效應。另外,作為普通用戶,也要提高自身安全意識,選擇正規的下載渠道,認真閱讀手機應用在安裝時的要求訪問權限,及時關閉不必要的授權,這樣才能保護好自己的信息。
(來源:江蘇廣電融媒體新聞中心/關玮玮 編輯/趙恩婕)
來源:荔枝網
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!