App的爱与恨:想要“更懂我”,担心“太懂我”
对于这类问题,我国从2017年开始施行的《网络安全法》确立了网络运营者收集、使用个人信息必须遵循合法、正当、必要等原则。但随着用户个人信息被搜集、存储的机会越来越多,各类侵犯用户隐私信息的行为依然层出不穷,一些涉隐私的用户数据泄露事件也频频发生,App过度索取权限、超范围收集、使用个人信息等现象屡禁不止。
不过,中国青年报·中青在线记者采访后了解到,这些监管政策在促进隐私保护体系日趋完善的同时,也面临着不小的阻力。各方也在寻找,除法律法规等力量以外,还有哪些市场和技术力量可以平衡隐私保护与数据效率这对矛盾?
在搜索引擎中查看了大量关于雅思考试的内容后,武汉大学生林海手机中的购物App首页就被雅思相关书籍和材料攻陷了。“开始是惊讶,随后是愤怒,然后又感到害怕。”他这样形容自己发现这一事实后的感受。
2018年7月17日至8月13日,中国消费者协会组织开展的“App个人信息泄露情况”问卷调查显示,85.2%的受访者表示遭遇过App个人信息泄露情况;67.2%的受访者表示,自己所使用的App在其功能不必要的情况下获取了手机中的隐私权限。
中国政法大学传播法研究中心副主任朱巍对App过度获取隐私权限的行为深有体会。他曾在手机上安装使用过一个著名App,但因为经常发送广告,他就把这个App卸载了。但卸载之后,他还是能时不时地收到该App平台发来的短信广告,有时甚至还会根据他所在的城市推送相应的广告。朱巍猜测,这可能是因为,自己在一开始使用这个App时,就在使用协议中允许其获取过多的隐私权限。
腾讯公司法务部数据及隐私中心负责人黄晓林指出,App获取用户权限过多、过度的问题由来已久,有些App超出必要范围获取用户的敏感权限很不应该。但这些现象屡禁不止的原因在于,其所面临的法律风险可能远远小于可以获得的商业利益。
成效如何?App安全认证开始实施
中国青年报·中青在线记者了解到,上述App安全认证相关通道已经于3月21日正式开通。认证秉承自愿原则,按照“技术验证+现场核查+获证后监督”的模式进行,对于通过认证的App,将鼓励搜索平台和应用商店优先推荐。针对App中涉及个人信息安全的具体技术验证规范已经制定完成,将会对参与验证的机构公开。
黄晓林也指出,目前市场上App数量众多,企业能否花费足够的时间和经济成本参与其中还有待观察。但对占据大多数市场份额的App和企业来说,这是一种自我纠错的过程,可能从源头上推动企业更加合规。他期待,这类App安全认证工作可以在更多技术手段的帮助下,更加自动化、高效率,甚至像杀毒软件一样普及,从而进一步推动App合规运营。
中国网络安全审查技术与认证中心(ISCCC)相关人员告诉中国青年报·中青在线记者,目前确无对上述概念的明确定义,将会参照部分个人信息安全相关的评估指南来作为评判的标准。从公开的细则来看,目前对于通过认证的App主要的监管手段依然是以企业自查为主,辅之以社会监督,但真正交由第三方的监督却十分有限。同时,由于认证是自愿进行,未通过认证的App如何管理依然没有得到彻底有效的解决。
对于因大数据技术的发展而带来的隐私保护问题,技术界也在关注并且研究相应的解决办法。
对于区块链技术在隐私保护领域的应用,中国人民大学教授孟小峰指出,去中心化、可溯源的区块链技术是一个可以研究的隐私保护方向,其有利于在隐私泄露之后溯源、追责,但由于技术尚不成熟、效率不高等问题,区块链技术应用于隐私保护领域还处于探索阶段,而且区块链的使用成本也较高,监管部门或者企业会否采用尚无法确定。
在上述专题讨论会议上,裴志勇提出一个设想,将目前应用于云计算领域的“三方制衡原则”引入到App安全监管中:将涉隐私的个人数据所有者、运营者和管理者相分离,避免一个主体既是裁判又是运动员,把这种制衡的能力商业化,鼓励一种能够制衡企业利用用户数据的产业快速发展,从而形成长期持续的市场化监管。
作者:王林 孙吉 编辑:刘卓文