省消协通报手机应用程序侵犯消费者个人信息安全情况
发布日期:8/23/2017 16:23:15

 

近年来,消费者个人信息泄露导致的各类型广告推销电话骚扰让人不胜其烦,引发的诈骗犯罪给人民的生命财产安全带来极大危害,涉及个人信息保护咨询与投诉逐渐增多。为保护消费者个人信息安全,修订后的《中华人民共和国消费者权益保护法》(以下简称《消法》)从法律层面对此提出专门的要求。国家工信部、网信办、最高院、最高检等部门也从各自工作领域角度出发对个人信息保护提出了相关的政策措施。2017年6月1日正式实施的《中华人民共和国网络安全法》明确对收集消费者个人信息提出了具体要求。2017年7月1日正式实施的《江苏省消费者权益保护条例》对消费者个人信息保护作了更为明确的规定。

近期,省消协涉及购买类、阅读类、支付类、旅游类等服务领域,用户较多且具有一定行业代表性的27手机应用程序(以下简称“APP”)开发企业进行了调查,发现普遍存在侵犯消费者个人信息安全的共性问题。省消协向27手机APP开发企业发送约谈函,要求对我会调查发现的问题予以说明。截止2017年8月16日,共19家企业完成了约谈。应我会要求前来说明情况的企业,均能正视自身存在的问题,愿意按照省消协的要求进行整改。但是,经省消协多次联系,百度阅读、百度输入法、百度浏览器、手机百度、平安壹钱包、蜻蜓FM、爱奇艺、网易支付等8家手机APP开发企业收函后,既无任何书面意见反馈,也未前来江苏省消协进行情况说明。
一、存在的主要问题
(一)手机APP获取权限未尽到告知义务,侵犯消费者的知情权。绝大多数手机APP在安装前后均无明示告知消费者会获取哪些权限及获取权限后收集、使用个人信息的目的、方式、范围及风险。目前消费者所见的权限告知均来自下载前的软件应用市场或是安装前的手机操作系统,但是此种告知既不全面也未以显著方式提请注意,更不能替代手机APP开发企业自身的告知义务
《消法》第八条明确规定消费者享有知情权;《消法》第二十九条及《中华人民共和国网络安全法》第四十一条明确规定经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。显然手机APP开发企业自身未尽获取权限告知义务,侵害了消费者的知情权。
(二)手机APP获取权限未直接提供消费者选择的机会,并存在默认选择的现象,侵犯消费者的选择权。绝大多数手机APP下载安装完成前均未向消费者提供权限选择的机会,只有极少品牌部分机型会在手机APP安装完成前有明确提示并选择,且存在默认开通所有权限的情况。经调查,只有部分安卓6.0版本以上的手机操作系统会在消费者使用手机APP过程中对少数权限进行触发提示选择,大多数品牌和型号的手机需消费者自行进入手机设置中进行手动选择,且没有任何提示或说明。
《消法》第九条明确规定消费者享有选择权,手机APP开发企业本身必须对所需要获取的消费者权限进行明示并供消费者选择,第三方行为无法免除自身应尽的法律义务。
(三)APP过度收集消费者个人信息。手机APP需要获取相应的权限方能正常使用,如最基础的网络权限。调查发现,绝大多数手机APP在开发时就通过设置权限获取列表的方式,利用安装时的权限获取资质申请了大量的手机权限,远远超出手机APP正常为消费者服务所必须获取的权限。所申请权限中,大多都涉及到消费者个人信息的获取(包括但不限于 “读取或增删联系人”、“读取或增删通话记录”“读取或增删短彩信”“发送短彩信”、“精确定位并获取行动轨迹”据调查,这些涉及消费者个人信息的权限可能只是在手机APP的某一场景中使用,取消获取并不会影响软件的正常运行。而这些涉及到消费者个人信息的权限一旦被手机APP获取后,除非消费者自己主动取消,否则将一直处于允许获取状态,若手机APP安全措施不到位,消费者个人信息存在泄露、丢失的风险。
调查发现,同款的手机APP安卓版本的权限获取需求远远大苹果版本。可是对于消费者的使用感知和用户体验而言,在不同操作系统上的同一软件应基本相同。这说明,某些权限的获取并无必要性。《消法》第二十九条明确规定,经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则。国家标准化委员会发布的《信息安全技术公共及商用服务信息系统个人信息保护指南》中要求,对个人信息进行处理宜遵循最少够用原则。
(四)未能建立较为完善的个人信息保护规则和措施。大部分手机APP开发企业能够提供基于消费者注册使用后的个人隐私和个人信息保护以及自身数据库安全措施,但对于手机APP安装后直接获取的消费者个人信息,以及非注册用户的个人信息并未有明确的保护措施,只有少量企业针对浏览用户有相应的保护措施。此外,对于注册用户放弃使用相关手机APP的个人信息删除与销毁,大部分企业均未有明确的措施和完善的保护制度。
二、整改的要求
基于前期调查及约谈的情况,省消协将各手机APP开发企业收集、使用消费者个人信息方面应履行的义务归纳为三项基本要求,即:1、遵循合法、正当、必要的原则;2、明示收集、使用信息的目的、方式和范围,并经消费者同意,且消费者有权自主选择和更改;3、公开其收集、使用规则。由此,我会针对参加约谈的以及市场上其他同样存在上述问题的APP开发企业提出以下三项整改要求:
(一)自查获取相关权限的必要性,取消不必要的权限。法律规定收集、使用消费者个人信息,应当遵循合法、正当、必要三原则。手机APP开发企业大多以部分场景应用以及为消费者提供延伸服务为由获取相关权限,但对于其APP本身服务内容所需要获取的权限范围及正当、必要性都无法说明清楚。我会认为,各手机APP开发企业应当切实遵循法律规定的手机使用消费者个人信息原则,以“目的明确”、“最少够用”作为获取权限必要性的判断依据和标准。
(二)收集使用消费者个人信息前,应当明示收集、使用信息的目的、方式、范围,并征得消费者同意,且手机APP本身应当提供便于消费者查看、修改权限的途径。基于法律要求,手机APP开发企业应当在消费者下载手机APP后、初次使用前,明示收集、使用信息的目的、方式、范围,并征得消费者同意,保障消费者的知情权和选择权。因消费者对授予APP开发企业的权限范围可能因为自身需求、外部因素等变化而进行必要的调整,因此手机APP开发企业还应在手机APP程序中设置便于消费者查看权限范围、修改权限范围的途径,切实保障消费者选择权。
(三)以方便消费者查阅的方式公开个人信息收集、使用规则,包括APP卸载后个人信息的处理规则。APP开发企业公开个人信息收集、使用规则是法定要求之一,公布的规则应当具有完整性,且必须包括APP卸载后个人信息的处理规则。同时,个人信息收集、使用规则不应只出现在注册协议中,对于现实中大量非注册的浏览用户,其个人信息也应当在被保护范围之内。
三、下一步措施
(一)积极联合行业主管部门,督促手机APP开发企业整改到位我会将与省通信管理局协作,加大工作力度,对发现问题的手机APP开发企业坚决要求整改到位,维护消费者的个人信息安全权,共同营造安全、放心的消费环境。
(二)持续跟踪,定时向社会公布行业整改进展。对于上述整改意见,我会现公开要求各企业于9月底前将详细整改方案及整改进度时间表反馈至我会。对于反馈进展及实质性整改结果,我会将持续跟踪,适时向社会公布。
(三)对于拒不配合消费者协会约谈工作以及整改不到位的手机APP开发企业采取进一步的法律措施。我会将合法收集证据,在相关手机APP开发企业违法事实清楚、证据确切、法律依据充分的情况下,依法履职,采取多重举措维护消费者的合法权益。
 

相关附件下载
【关闭CLOSE】         【打印PRINT】