ZKX's LAB

APP强索用户隐私,不能让它们轻易“满血复活”

2020-11-19新闻7

圆通泄露用户40万条隐私的事情成为舆论焦点,另外一条涉及到亿万互联网用户隐私的新闻也值得关注。

10月26日,工信部向社会通报了131家存在侵害用户权益行为APP企业的名单。但是,经第三方检测机构核查复检,尚有60款APP未按要求完成整改。11月10日,工信部下架60款侵害用户权益APP,其中有不少大牌APP,包括出行服务平台T3出行、有赞精选等。

但是,就在当天,就有媒体报道称,用户在小米应用商店仍可搜索到有赞精选App和T3出行。在11月18日,媒体发现T3出行App已在各应用市场重新上架了。

7天时间,“雨过地皮湿”,被工信部两次点名,屡教不改,T3出行因为“违规收集个人信息,App强制、频繁、过度索取个人权限”,七天之后就满血复活,也是让人慨叹:这违规收集用户信息的板子打得太轻,难保它们以后不会重犯。

事实上,今年以来,工信部部署开展纵深推进APP侵害用户权益专项整治行动,截至目前已经公布了5批违规侵害用户利益的APP,多达100多个 APP上了黑榜,但公众很难通过记清楚这些违规的APP来绕开雷。

其实,T3出行、有赞精选等被点名乃至下架,其问题都集中在“违规收集个人信息,App强制、频繁、过度索取个人权限”,那么,这个“病”就真的很难治吗?

公众有一个体会,注册一个APP,往往跳出来让你想象不到的“惊喜”:注册孩子学习的APP,要求你开通通讯录的权限。你用一个小说APP,要求你打开录音、摄像功能……其实,所谓的“互联网颠覆规则”,很多时候成了“挂着羊头卖狗肉”:你以为我是一个流量APP,其实我的营利模式是通过偷看你的购物记录,给你“精准推送”广告。你以为我是一个视频APP,我却在通过通讯录,把你前男友的前女友的现男友的关系摸得门清,准备搞“大数据社交”。你以为我是出行的APP,我可能指望用你的出行轨迹,做二次销售。

由于缺乏刚性的制度规定,一些互联网企业吃相难看,恨不得把全家人的信息都一把拿过来,作为自己的“大数据资产”,然后到资本市场上讲故事、画大饼,这才是众多企业肆无忌惮地索取个人权限、个人信息的真实原因。

从微观层面上说,普通用户很难对强索信息的无理要求说不。企业的逻辑是“我的地盘我做主”,你要用我的APP就必须按我的要求交出隐私。学者对此引进了一个术语,叫做“霍布森选择”:1631年,英国剑桥商人霍布森贩马时,把马匹放出来供顾客挑选,但附加上一个条件,即只许挑最靠近门边的那匹马。显然,加上这个条件实际上就等于不让挑选。

事实上,用户面对注册APP时的霸王条款,“霍布森选择”情况严重,使用网络产品即表示同意其隐私政策,即便用户认识到自己在隐私协议中被动地位也不得不妥协,选择同意。

这种“信息勒索”已经得到了职能部门的关注。2019年5月,国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》,要求区别网络应用的核心内容和非核心内容:“个人信息主体同意收集保证网络产品核心业务功能运行的个人信息后,网络运营者应当向个人信息主体提供核心业务功能服务,不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息,而拒绝提供核心业务功能服务。”比如,出行APP要开通定位权限,那是符合收集信息的“最小必要”原则的,但不能索取通讯录、网购记录、照片等隐私信息,更不能因用户不肯开通这些隐私信息,就拒绝提供核心服务。

《数据安全管理办法(征求意见稿)》还要求:网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。

另一方面,还得加大 APP侵害隐私信息的处罚力度。当下,工信部如果仅依据相关部门规章进行处罚,只能予以警告和处以一定数额的罚款(通常是3万元以下),这种处罚力度对违法者而言成本很低。之前工信部点名批评了100多个APP,要求限期整改,可到时候还有60个没有整改,完全没把工信部的要求放在眼里,之后,遭遇下架也可能是7天之后满血复活,根本就没有受到重创,更没有因为过度索取用户信息的事情遭到严惩、重罚。

所以,目前正在立法的《个人信息保护法》应该对于APP勒索用户信息,做出严格的惩罚规定,竖起高压线,而且还应该在立法层面上区分核心业务和非核心业务,在技术层面上画出收集用户信息的“有形围栏”,让互联网企业不敢随便伸出油腻腻的手。

随机阅读

qrcode
访问手机版