“安装一个阅读APP涉及17项隐私权限,乍一看心里犯嘀咕。”手机用户兰女士告诉记者。据了解,这些权限涉及读取通讯录、位置信息、录像等敏感信息,其中至少15项隐私权限与该手机软件(以下简称“APP”)主营业务无关。
兰女士的担忧折射出社会的普遍焦虑。中国消费者协会近期发布的《APP个人信息泄露情况调查报告》显示,个人信息泄露总体情况比较严重,超八成受访者曾遭遇个人隐私泄露问题。
为什么大量APP应用要求开启一定的权限?商家如何利用这些让渡的隐私权限?用户该如何审慎选择开放权限?在保护个人隐私与促进大数据开发方面还有哪些路要走?
1.拒绝服务还是开放权限
记者翻看了某手机系统上30个涉及衣、食、住、行四个类别的手机软件。其中,要求开通权限项目最多的达19项,读取地理位置、通讯录、录像、录音权限几乎被所有软件要求开通,每种软件根据其功能特点,又设置不同权限请求。
据了解,前几年该手机系统权限管理相对薄弱,所有权限均在安装时提示是否授权,如果拒绝则无法安装。系统缺乏约束的开放性在吸引众多APP入驻的同时,也让用户毫无选择地让渡权利,隐私泄露风险随之而来。但是2015年手机系统升级之后,用户拥有了把握权限的自主权,一道保护个人隐私的“闸门”构建起来。
尽管如此,权限被无条件让渡情况仍然严重。
“某些软件开出‘霸王条款’式隐私协议,注册或使用时只有‘允许’‘禁止’两个选项,如果禁止则无法安装或使用。”手机用户段小秋说。除此之外,从不可靠的手机商城下载软件,手机病毒或侵害性代码植入后“寄生式”获取信息;用户隐私意识差,“不走心”地全盘接受权限要求,成为信息被泄露的重要途径。
从应用来看,开启权限的本意是为了发挥APP具体功能,为用户提供服务。比如社交平台中读取通信录便于好友邀请,录音为了提高互动效率或制作音频产品,获取地理位置为了帮助用户导航到准确的目标场所。但是,在记者查看的30个APP中,很多权限与主营业务关系不大甚至没有关系,这些越界的权限要求显然超出了主营业务的服务范围。
国家互联网应急中心高级工程师王博说:“从理论上讲,即使同意了隐私协议,通过手机桌面上设置图标关闭越界权限,或是退出APP服务系统,相关数据都无法被获取。即使拒绝开放一些权限,APP也能正常运行,只是在某种程度上减少了该项服务而已。”
在设置中选择了关闭,真的意味着用户信息不再被获取吗?国家互联网应急中心研究所常务副所长陈训逊告诉记者:“这需要技术手段,通过对APP分析、在线检测和后台检查等方式了解商家获取了哪些信息,再与用户在终端上所确认的情况进行对比,以此判断是否在用户同意的范围内获取信息。如果在用户不知情或未授权的情况下获取个人信息,就违背了《中华人民共和国网络安全法》有关规定,构成违法侵权。”陈训逊认为如果在注册时同意了隐私条款的规定,后期也并未在设置中关闭相关权限,此时软件收集到的信息是合法的。不过这里的“合法”是指用途合法而不是随意使用或售卖,是否在协议规定的范围内使用数据还需技术性核查。
2.被读取的个人信息去哪儿了
据了解,一些越界权限所获取的信息可能暂时无法发挥功效,但商家可以为扩展APP功能做储备,或者用于商业价值的深度开发。
实际上,每项权限的背后都隐藏着一座冰山,表面上呈现给用户的功能说明只是冰山一角。腾讯研究院研究员周春慧说:“如同拼图一样,通过权限开通获取的碎片化信息被拼接为完整的用户形象,用于商业开发。”以读取地理位置的权限为例,平台会把相关数据收纳到类似档案馆的服务器中,进行算法分析。比如,商家通过地理位置权限获知,某人在工作时间经常活跃在某CBD,晚上则停留在某高档小区,由此可大致推算其工作地点、居住地区,进而估测其经济收入。平台再把这些信息出售给奢侈品店、保险公司等用于精准营销。
国内如此,国外亦然。
国外某著名科技公司曾提出“不作恶”的价值底线,但是“明修栈道,暗度陈仓”,其内部依旧成立了隐私机构,雇佣顾问,以应对每一轮由于技术扩张和数据获取带来的侵权诉讼。在大数据时代,一些伴随着诉讼成长的国外科技公司,已经将败诉赔偿纳入到专门的经营预算中去,在与法律和公序的冲撞中,寻求妥协方案。
可见,商家作恶不仅仅是“生存土壤”的问题,更应该从公民意识、技术、制度和立法上查漏补缺。
3.避“数”之短,扬“数”之长
如果把手机软件比作商场里无数个“商贩”,那么手机系统就如同物业“管理员”。中国管理科学学会大数据专委会秘书长、大数据专家端木凌认为,用户要提高隐私保护意识,用好“管理员”的功能。一是从安全可靠的软件分发商、分发平台下载正版软件;二是充分利用手机桌面上设置图标中关于权限管理的功能,慎重开放与APP核心功能缺乏关联的权限,如面临“霸王条款”则可寻求替代软件;三是使用后尽量关闭手机软件,防止后台继续记录个人信息。
陈训逊提出了几点建议:技术上,通过变换显示号码,对手机号、身份证号等数据进行“脱敏”;机制上,针对不同种类软件的功能,制定出相应隐私权限的标准;引入第三方机构,对APP进行技术评估、检测,形成系统性、规范性、针对性的监督、考核、惩戒制度;完善国家级网络信用体制,将滥用个人信息的机构纳入失信黑名单中。
中国政法大学教授张中认为要尽快建立数据保护法律体系,规范企业对个人信息采集权限,细化个人信息收集要求,明确企业平台责任,加大个人信息保护力度,“用法律制度为个人隐私保护和大数据产业发展保驾护航”。
随着国家大数据战略的深入实施,大数据发展的无限潜力和内生动力喷薄而出。据《中国互联网发展报告(2018)》显示,中国大数据市场交易旺盛,2017年市场规模达358亿元,是2012年的10倍之多。北京师范大学法学院教授、亚太网络法律研究中心主任刘德良说:“大数据资源是种财富,谁掌握了数据,谁就掌握主动权,只有促进数据加工、共享,才能实现数据资源利用的最大化。”
端木凌认为,在明确统一的数据标准前提下,应建立跨部门协同治理工作机制,使大数据流动、联动、互动起来,真正实现扬其长、避其短。
(本报记者 李晓 李克)