App 个人信息保护管理暂行规定即将出台:乱要权限必出事

时间:2021-02-17 08:49      

随着手机等移动互联网设备高速普及,越来越多个人资料被我们「自愿」发布到网上。可在大数据时代,即使是「只言片语」,甚至是微信的好友关系,背后也包含着大量个人信息。在有心人手中,这些个人信息除了能用于定向广告,还有可能成为电信诈骗,甚至是恶性暴力犯罪滋生的「温床」。

所以近年来中央网信办、工信部等多部门多次「出手整治」软件生态,同时也多次对应用市场内违规应用进行曝光并要求整改,并对拒不整改的应用程序进行下架处理。与此同时,为了规范互联网行业对用户信息的获取与利用,保护用户的基本信息,工信部日前也宣布「App 个人信息保护管理暂行规定」即将出台。

暂行规定有什么用?

《暂行规定》将从「知情」与「必要」两个角度对软件提出要求。其中,《暂行规定》要求「要用清晰易懂的语言」告知用户自己的个人信息将被如何运用。简单地说,软件不能再像以前过去那样将个人信息的相关规定藏在「太长不看」的格式条款中,同时也应用简明的语言向用户阐述个人信息的处理规则,而不是用生硬晦涩的文字「吓跑」用户。

至于「必要」的角度,《暂行规定》要求个人信息的处理必须控制在合理的范围内,过去常见的「无节制」信息收集行为将不能在 App 中出现。在我看来,「最小必要」的要求将有效打击国内个人信息收集的乱象,同时也是《暂行规定》中「最具分量」的规定之一。

因来自谷歌的第一方监管缺失,国内 Android 手机生态长期处于「群魔乱舞」的阶段:来自互联网「大厂」的 App 通过链式启动、信息收集的手段扩大壮大自己的势力,同时也侵占着用户手机的内存空间。出身于「小作坊」的 App 则借助大平台提供的接口「助纣为虐」,帮助巨头获取用户数据。

举个例子,在国内智能手机发展初期,几乎所有应用市场都充斥着各式各样的「手电筒」软件。由于监管的缺失,获取联系人与通话记录可以说是这些软件的「标配」。而且当时 Android 系统缺乏系统层面的权限管理,因此只要「是个 App」都能轻松读取用户几乎所有个人信息。

但谷歌监管的缺失还带来了更长远的影响——尽管谷歌在后续 Android 版本中加入了对应用权限的限制,但早期 Android 版本中「不同意 = 不能用」的概念已经深入人心。再加上软件不会对要求的权限作说明,即使软件弹窗向用户要求读取联系人或相册,用户也必须全盘提供。毕竟只要少给一项权限,这些软件都会给我们「摆脸色」。

暂行规定的出现解决了哪些问题?

《暂行规定》的出现不仅以明文规定的方式规范软件开发商的行为,遏止个人信息的肆意收集与滥用,同时还明确了应用分发平台的责任。由于人力成本的因素,应用商城等平台很难对平台内所有应用进行有效的监管。而且凭借 Android 软件可以「热更新」的特性,开发者完全可以在审核时提交一个「合规版」,等审核通过后再通过热更新「引狼入室」。

《暂行规定》的出现明确了运营者,分发平台,第三方服务平台、生产商与服务提供者的责任,对于违规者也有着完整的处罚流程,可以说将过去常见的漏洞「堵死」。对违规的应用或平台,《暂行规定》将按「通知」「通报」「下架」「断开接入流程」的步骤处理。如果应用拒不整改,《规定》也建议应用与手机厂家在安装等环节对用户进行风险提示,提高了软件的「非法成本」。

其他地方的解决办法?

尽管《暂行规定》的出现对 App 滥用数据的现象作出了明确的规定,但考虑到用户存在「天然的惰性」,仅仅是强调「知情」与「必要」在我看来还远远不够。想要唤醒用户对个人信息、个人隐私的关注,我们还需要两记「重拳」——「透明」与「遗忘」。

所谓「透明」,其实是「知情」的一个分支,即服务提供商应该告知用户「他们手机了哪些数据」。注意,这里的说明并不是简单告知「我们要读去你的通话记录」,而是明明白白地将获取的数据列出来。以「通话记录」为例,只有让用户清楚地知道「A 软件知道我两年前给电线杆老军医打了 8 个电话」「A 软件除了读取我的通话记录,还会把数据分享到 B 软件」,才能唤醒用户对个人信息的重视。

除了上级部门要求的整治,手机厂商也可以参考 MIUI 的做法,在系统中加入「假信息」或「空白信息」的选项。让用户再面对「不给权限不能用」的流氓应用时也能有自己的应对措施。

至于「遗忘」的权利,这个很好理解——软件读取了我的个人信息,那我自然有权利要求软件「忘掉」某些数据。但考虑到国内软件还没有规范化的「注销」流程,甚至有不少软件无法删除帐户,国内应用生态想要迈上正轨,显然还有很长的路要走。

但不要忘记《App 个人信息保护管理暂行规定》只是一个暂行规定,有关部门整治应用乱象的决心我们有目共睹,作为整治应用生态的「第一把火」,《暂行规定》对应用生态的意义我们不能忽视。而且这也只是「暂行」规定,还需要时间和实践进行完善。等《暂行规定》脱下「暂行」的帽子后,有关规定将有望成为「中国版 GDPR」,为我们带来更健康的应用生态。

过去由工信部发起的统一推送联盟展示了有关部门整治国内 Android 生态的决心,而《暂行规定》的出现则再次重申了手机不是流氓软件的法外之地。接下来,《暂行规定》也将不断完善,为用户个人信息保驾护航。

到那个时候,我们自然可以和手机里的流氓软件说不了。

杏彩网页版