App违规收集使用个人信息,有了认定方法更要看执行
12月30日,国家互联网信息办公室、工信部等四部门联合印发《App违法违规收集使用个人信息行为认定方法》(下称《方法》)。《方法》提出,征得用户同意前就开始收集个人信息或打开可收集个人信息的权限、实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围等行为可被认定为“未经用户同意收集使用个人信息”。
智能手机时代,每个人每天打交道最多的可能就是各式APP了。要保护人们的上网安全和个人隐私,很大程度上,也就体现在对app收集和使用个人信息的规范上。但这方面,恰恰是目前突出的短板。以去年底中消协发布的《100款App个人信息收集与隐私政策测评报告》为例,在被检测的100款App中,超过九成App列出的权限存在涉嫌“越界”,即存在过度收集用户个人信息的问题。
在这一背景下,国家多部门联合出台《方法》,就是对此现象的一种精准回应。客观说,诸如个人信息控制者开展个人信息处理活动时,应遵循最少够用原则;网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,这些原则性倡导在相关规定和法律中早已明确。但是,“上有政策,下有对策”,仍有不少APP要求“若不能按照要求提供个人信息就无法使用”,相当于让用户以“隐私”换便利,这无疑大大架空了“最少够用”原则的真实规制力。
以笔者个人的体验来说,无数次打开一些网页或APP,被要求索取微信昵称、头像、地区及性别乃至通讯录等信息,这种信息索取提示虽然表面看履行了提前征求用户意见的程序,但其所索取的个人信息,是否与提供的业务有关,是否属于“必要个人信息”,就存在很大的不确定性。因此,《方法》明确,因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能,将可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”。这一点对于从源头减少一些app的信息“绑架”行为,至关重要。
《方法》还明确了app违法违规收集使用个人信息行为的多种具体情形,但认定方法的具体效力,还有待现实的验证。《方法》最后一条,要求app设置个人信息安全投诉、举报渠道,这意味着针对不合理的信息收集行为,用户可以直接向APP投诉。但是,有过相关投诉经验的人或许都知道,仅仅向APP方面反馈,其效果可能不宜高估。因此,真正检验认定方法真实效力的,还是要看有多少用户,能够有效维护自己的权益。比如,这方面是否能够产生有影响力的司法判例,违规收集个人信息的APP,是否会受到惩罚性赔偿等。
当然,app收集个人信息的“必要”与“非必要”边界,也还待进一步厘清。但囿于用户和APP方面的信息不对称与地位差距,一个总体的原则,还是该从更有利于对用户的个人信息安全的保护角度予以考量。
另外,今年8月开始征求个人意见的《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》中,明确规定了21种常用APP类型可收集的最少信息,如明确可收集的最少信息中包含个人身份信息的的APP类型只有网络约车、网络支付、交通票务等;而新闻资讯、短视频等类别的app,则只能对公众账号信息发布服务使用者收集个人身份信息。
无论如何,只有app收集个人信息的“国标”早日出台,与此次发布的《方法》联合发力,才能为规范APP收集个人信息提供更大的威慑力。
责任编辑:焦旭
专题
-
2021年度IT大赏暨中国优秀CIO评选
-
2020数字创变者大会
-
2020年度中国优秀CIO评选
-
【有奖调查】数字时代,如何“智”胜远程办公?
最新发布
- IBM: 2022 年安全五大预测
- Check Point推出全球速度最快防火墙,20倍于
- Fortinet SD-Branch保障医疗服务机构安全组
- 勒索软件成安全“毒瘤”,企业如何保护数据安
- 勒索软件甚嚣尘上,2022你准备好了吗?
- 筑牢安全可信基石 推动政企数字化转型走深
- 2021年12月头号恶意软件:Trickbot、Emotet
- 2021年第四季度,网络攻击再现新高