工信部近日公布关于侵害用户权益行为的APP通报(2021年第10批,总第19批)。

依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,工业和信息化部近期组织第三方检测机构对手机应用软件进行检查,重点对假日出行、民生服务类APP进行抽测。截至目前,尚有52款APP未完成整改(详见下表)。各通信管理局按照工业和信息化部统筹部署,积极开展APP技术检测。截至目前,尚有282款APP未按时限要求完成整改。

上述APP应在9月29日前完成整改落实工作。逾期不整改的,工信部将依法依规组织开展相关处置工作。

(点击查看大图)

纵观通报的APP存在的侵害用户权益的问题,主要集中在三大类别:

一是违规收集个人信息。这仍然是APP侵害用户权益中存在的最大问题,也最为普遍。本次公布的51款中,涉及35款出现此类问题(包含“超范围收集个人信息”),占到了69%。APP违规收集和使用个人信息带来的危害,轻则每天收到大量的广告以及推销信息和电话,让我们受到大量的骚扰。重则会搜集个人的微信、支付宝、银行卡等信息,信息泄露而造成财务损失。还有一些APP会进行各种自动收费从而导致你支付一些无用甚至不知的费用也可能会被捆绑一些恶意APP,从而导致进一步的个人信息被收集和扩散。

在数字经济时代,个人与网络信息服务提供者之间存在明显的不对等性。为了能够获得相应的信息服务使用权限,个人不得不“主动”提供自己的个人信息,但是却无法真正知晓自己的个人信息究竟如何被处理以及谁将拥有自己的个人信息。《个人信息保护法》顺势而为,明确了个人信息处理活动应当以合法、正当、必要和诚信作为基本原则,即任何类型和任何阶段的个人信息处理行为均应当满足这些原则性要求,即便现行立法没有明确规定特定个人信息处理行为是否满足法定义务,如若相关行为违背合法、正当、必要和诚信四项基本原则之一,也应当承担相应的民事法律责任,情节严重的,应当承担刑事责任。

但从目前看,我国的一些APP违规使用个人信息和违规收集个人信息的现象仍然大量存在,而且有的还屡禁不止。11月1日《个人信息保护法》将施行,当前处于“窗口期”,对于一些企业而言,也给出了整改时间。

二是一些APP涉嫌强制、频繁、过度索取用户权限。安装时要求权限过多、收集信息过度,APP技术霸凌时有发生。“过度索取用户权限”主要表现为使用该APP没有必要,却还要提供,否则无法使用。比如,新下载一个APP时,明明已经注册新账号了,却要求再绑定手机号、获取地理位置等才能继续,如果用户不绑定或验证手机根本就无法进入APP首页,为了使用APP,用户只能进行手机号码绑定或者提供地理位置信息。

上海市消费者权益保护委员会曾经公布过一则调查,随机对39款手机APP涉及个人信息权限的测评显示:超过六成APP在用户安装时申请了很多敏感权限,却不提供实际功能,包括读取通讯录、电话权限、短信权限、定位权限等。

此前《人民日报》就曾报道过这类现象。“我的手机APP一打开网页,就弹出各种抽奖小广告""看个视频,却要求获取我的通讯录权限,不打开权限就无法观看""下载后安装APP,需要获取我的地理位置信息,不同意就装不了"……手机APP要求权限过多、过度收集信息非常普遍,也是被吐槽和投诉的技术霸凌"重灾区"。

三是欺骗误导强迫用户。就是我们日常看到的 App 应用软件开屏、弹窗问题。《首席风控合规官》注意到,早前2020年7月,工信部就印发通知,部署开展纵深推进APP侵害用户权益专项整治行动,在欺骗误导用户方面,重点整治通过"偷梁换柱""移花接木"等方式欺骗误导用户下载APP,特别是具有分发功能的移动应用程序欺骗误导用户下载非用户所自愿下载APP的行为。今年7月8日,工信部又发文称将持续开展 App 专项整治。与此同时,全国"扫黄打非"办公室也在"新风2021"集中行动中,重点整治弹窗广告,对低俗、软色情等弹窗广告加大处罚力度,追查淫秽色情网站等非法弹窗广告源头。

此外,通报APP侵害用户权益,还包括“应用分发平台上的APP信息明示不到位”等问题。这意味着存在欺骗用户的可能性,违背了用户的知情权、选择权。

结合这些问题,归结到一起,其实就是没有遵循个人在其信息处理活动中行使权利的两个前提条件。

一是个人对自身信息处理应当享有充分知情权和决定权。即有权完全知晓其个人信息的收集处理目的、范围和方式,并且这种知情应当是以清晰易懂的显著方式予以实现。如果个人信息处理者为避免承担法律责任,或者在告知用户时“钻空子”,将所有个人信息处理事项事无巨细地向用户直接展示,通过密集文字排版等方式告知用户个人信息处理活动,从而降低用户在使用时的知晓程度,则就显然构成对个人信息知情权的一定侵害

二是用户在实现知情权后应当能够独立自主地决定是否提供个人信息以及决定个人信息的实际处理范围和方式。事实上,在使用过程中,部分用户即便知晓个人信息处理的相关事项,但却要使用相关信息服务,通常情况下也无法决定个人信息的具体处理方式。

事实上,2019年5月,国家互联网信息办公室就发布了《数据安全管理办法(征求意见稿)》,其中明确了在收集个人信息方面,APP运营商不得以改善服务质量、提升用户体验等作为理由,以默认授权、功能捆绑等形式强迫、误导用户同意运营商收集个人信息。

当年工信部就开始了重拳整顿违法与违规的APP现象。

如今经过两年的整治,现在这一问题仍然存在,可见APP运营商受到利益驱使仍然在违规运营,对我们的个人安全仍然带来非常大的隐患。除了健全相关法律法规,相关部门加大治理力度以外,用户自身在生活中也应该提高认识,尽量避免APP权限被恶意使用,包括但不限于不要轻易下载APP、不要下载没有用的APP、不要下载一些非法和不安全的APP、安装APP时要取消一些授权权限、必须下载的APP要尽量在正规渠道下载、手机验证码不要随意透露给别人、定时清理APP的相关数据。在发现个人信息被泄露时,要及时向有关部门反映和举报,受到损失时要及时报案处理