千餘款APP每款平均申請25項權限 個人隱私如何保護?

　　一款金融類APP要獲取14項個人信息，涉及多項敏感內容，人們不禁質疑APP刺探隱私的「手」伸得太長

　　【焦點】使用銀行APP，為何要告知性取向

　　光大銀行APP用戶隱私政策條款

　　使用銀行APP還需要獲取性取向、婚史、好友列表、精準定位信息？

　　近日，據國家網絡安全通報中心透露，又有100款違法違規採集個人信息的APP被查處整改，光大銀行、更美、考拉海購、微店等知名APP在列。通告指出，此次集中整治，重點針對無隱私協議、收集使用個人信息範圍描述不清、超範圍採集個人信息和非必要採集個人信息等情形。

　　其中，在發布日期為2019年10月30日的《中國光大銀行手機銀行隱私政策》羅列的可能收集的個人信息及收集信息範圍一項內容備受爭議，引發人們再度質疑：APP刺探用戶隱私的「手」，究竟能伸到哪兒？

　　　千餘款APP每款平均申請25項權限

　　《中國光大銀行手機銀行隱私政策》在個人信息範圍描述的相關條款中，「個人敏感信息」一項中列出的「其他信息」，包括個人電話號碼、性取向、婚史、宗教信仰、未公開的違法犯罪記錄、通信記錄和內容、通訊錄、好友列表、群組列表、精準定位信息、網頁瀏覽信息等14項內容。

　　一款金融類APP為何要獲取這麼多用戶個人敏感信息？記者下載使用後發現，如果選擇暫不同意該隱私政策，則無法使用光大銀行手機銀行的相關服務。

　　針對此事，光大銀行在其官網發布說明稱：「光大銀行高度重視提升客戶體驗與客戶隱私信息保護工作，切實保證用戶個人信息安全，目前提示的用戶隱私政策條款符合相關要求。光大銀行手機銀行APP一直正常運行，從未停止過服務。」

　　有業內人士認為，銀行APP在隱私政策中列出此類條款，違反了監管部門對信息獲取最少夠用原則。根據2018年5月1日實施的《信息安全技術個人信息安全規範》，網絡運營者或者其他個人信息收集者，除與個人信息主體另有約定外，只處理滿足個人信息主體授權同意的所需最少個人信息類型和數量。目的達成後，應及時根據約定刪除個人信息。

　　邁入移動互聯時代，大數據的價值日益凸顯，但稍加梳理即可發現，許多APP也在借收集數據之名，不斷刺探獲取用戶隱私的邊界。

　　「大眾點評」APP曾出現用微信登錄後，酒店、餐廳等地方的籤到點評信息就全部出現在好友面前；航旅縱橫APP開通的「虛擬客艙」功能，乘客可以查看同一航班其他乘客的歷史飛行地點及頻率等信息，還有用戶在使用後收到騷擾信息；此前曾引起軒然大波的滴滴順風車的車主乘客互評功能，人未上車司機就已知曉你「顏值幾何」……

　　來自國家網際網路應急中心監測分析發現，在目前下載量較大的千餘款移動APP中，每款應用平均申請25項權限，平均收集20項個人信息和設備信息。通常與主業無關的通話權限，就有30%以上的APP申請。

　　註冊充值後就可定位或查詢動態軌跡

　　「我每天都要接到好幾個陌生電話，不接怕遺漏重要電話，接來一聽全是問要不要買房、貸款，要不要給孩子報補習班。」面對騷擾電話，北京的陳女士苦不堪言。

　　有業內人士表示，大多數APP都會要求獲取訪問用戶應用程式列表的權限，他們就可以在用戶不知情的情況下，分析用戶對應用程式的使用習慣，來推測出用戶的愛好。這些信息可能與APP的主業無關，但卻能夠幫助企業給用戶做畫像，從而進行商業營銷。

　　除了APP過度索取權限導致的隱私洩露，還有一些不法APP專門獲取用戶隱私信息謀利。

　　今年初，江蘇南京警方破獲一起通過技術定位侵犯公民個人信息案。去年1月，一名男子報警稱，討債人員利用手機定位軟體，實時定位到了他聊天帳號的位置，結果對方找上門，使他人身安全受到威脅。

　　警方介入調查後發現，討債人員是使用了一款名叫「APP神探」的定位軟體，只需把想要定位的人的聊天軟體帳號輸進去，點擊查詢，就可以查詢靜態位置或動態軌跡。

　　據民警介紹，用戶要先在該APP軟體上註冊成為會員，充值後才能使用定位功能。如果對方在線，定位一次只要1元。如果對方不在線，定位一次要10元。案發時，這款定位軟體已經吸引了4000多名註冊用戶，涉案金額40餘萬元。

　　APP過度索取權限、個人隱私信息一旦泛濫便會造成極大的危害。例如身份證號會被用於貸款、辦黑卡，甚至被不法分子用來辦理手機卡用於電話詐騙。

　　獲取用戶信息應合法正當且必要

　　個人隱私頻頻失守，APP索取用戶信息的邊界究竟在哪兒？

　　北京志霖律師事務所律師趙佔領表示，根據網絡安全法的規定，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則。

　　「應用軟體索取用戶信息的邊界，主要是依據必要原則。對於必要原則通常的理解是，比如基於法律本身強制性規定的情況，要求APP進行實名制認證，就需要收集如用戶身份證號碼等信息。」趙佔領說。

　　「第二種情況就是基於這種產品本身的功能特點。比如地圖軟體就需要收集用戶的位置信息，社交軟體就可能需要讀取你的通訊錄。」趙佔領表示，「還有第三種情況就是為了改進用戶體驗而收集用戶信息，而這種情況往往容易產生爭議。」

　　2019年6月1日，全國信息安全標準化技術委員會秘書處編制發布了《網絡安全實踐指南——移動網際網路應用基本業務功能必要信息規範(V1.0)》，給出了地圖導航、網絡約車、即時通訊社交、社區社交、網絡支付、新聞資訊、網上購物、短視頻、快遞配送、餐飲外賣、交通票務、婚戀相親、求職招聘、金融借貸、房產交易、汽車交易16類基本業務功能正常運行所需的個人信息。

　　「這個文件非常具體，第一次規定了各種不同類型軟體收集個人必要信息的具體範圍，是對必要原則進行的細化。但這個國家標準是屬於推薦性標準，沒有強制約束力。監管部門在監管時可以作為參考。」趙佔領認為，今後還需要建立常態化的執法機制，對APP違法採集個人信息長期保持監管的高壓態勢。

　　有業內人士分析認為，網際網路公司在開發手機APP的同時，一定要確保所得數據的私密性，維護用戶數據隱私不受侵犯。

　　「應用軟體收集用戶個人信息，還需要明確告知收集個人信息的範圍，收集的用途，並且經過用戶明確同意，這是基本的原則。」趙佔領表示，如果用戶發現某個企業違反相關原則，或者未經同意就讀取用戶的相關信息，就可以向相關部門舉報投訴。

　　曲欣悅