新华社北京6月15日电 你是否遇到过这样的场景:“手机下载一个‘手电筒’应用,却被要求访问通讯录”“安装某个手机应用,不同意访问地理位置就安装不了”“在App里浏览了某类信息后,就会收到相关产品的广告短信”……
日前,针对当前移动互联网应用中存在的超范围收集、强制授权、过度索权等个人信息收集安全问题,全国信息安全标准化技术委员会在其官网发布了《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》(以下简称《规范》),为移动互联网应用收集个人信息提供实践指引。
《规范》指出,依据《中华人民共和国网络安全法》中的相关要求,以及个人信息最少够用原则,针对App的基本业务功能,明确界定了保障其正常运行所需收集的个人信息,给出了每类业务功能相关的必要信息范围,其中包括地图导航、网络约车、即时通讯社交、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务、婚恋相亲、求职招聘、金融借贷、房产交易、汽车交易。
记者注意到,《规范》中明确划定了地图导航类应用和短视频类应用可获取的必要信息仅一项,大大缩小了获取范围。比如,地图导航类应用其基本业务功能必要信息仅为位置信息,包括精准定位信息和行踪轨迹;短视频类应用只能获取用户关注的账号信息,但自媒体用户则需要提供姓名、证件和证件号码等用于实名认证的信息。
工信部赛迪研究院电子信息研究所副所长陆峰认为,让App根据其业务功能按照最小够用的原则采集个人信息,可以有效限制App对个人信息的过度获取,从源头上控制因超范围采集个人信息导致的滥用、泄露和非法交易等行为。
针对目前较多App读取用户通讯录的要求,《规范》也给出了明确的范围限制。比如金融借贷类应用,《规范》要求,应允许用户手动输入两位紧急联系人信息,而不应强制读取用户的通讯录;即时通讯社交应用,应该允许用户手动添加好友,而不应强制读取用户的手机通讯录。
有网友表示,“保护好通讯录信息不仅是对自己负责,也是对手机通讯录好友负责。”
《规范》中还指出,浏览、搜索、点击等操作记录通常是非必要信息,收集时应告知用户并征得其同意;保存和使用个人上网记录时,对个人信息进行去标识化处理;使用个人上网记录用于分析用户画像进行个性化展示和推荐时,告知用户使用目的,并提供用户退出定向推送模式选项。
以新闻资讯类应用为例,其基本业务功能必要信息仅为关注的账号和自媒体用户信息。随着新闻资讯应用的发展,也存在以个性化推荐资讯内容为核心业务模式的聚合类新闻应用,其需收集用户的浏览操作记录,以便向用户推送可能感兴趣的内容。根据《规范》,该业务功能应告知用户并征得其同意,如果用户拒绝,App应提供让其退出定向推送模式的渠道。
中国人民大学法学院未来法治研究院副院长丁晓东认为,一些App为了不断改善品质、提升用户体验,围绕其核心业务收集个人信息可以理解,但应该有边界。《规范》的发布,划定了边界范围,为App的开发者和提供者规范个人信息收集行为提供了标准和参考。
此外,《规范》中还指出,此套标准适用于主管监管部门、第三方评估机构等对于个人信息收集行为进行监督、管理和评估。
谈及移动互联网环境下的个人信息保护,陆峰建议应加快个人信息保护法或保护条例出台,明确个人信息采集、传输、存储、流通、交易、开发、利用等全流程环节权利和责任等法律要求。
丁晓东表示,除明确个人信息的收集边界以外,还应该加强对信息倒卖和过度挖掘等行为的执法,提高违法成本,形成法律震慑效应。
用户也有必要逐步提高自身安全意识。专家建议,首先应该选择正规的下载渠道,其次认真阅读App在安装时的要求访问权限,及时关闭不必要的授权。(陈露缘)
来源 | 新华社
责编 | 谢哲