App 個人資訊保護管理暫行規定即將出臺:亂要許可權必出事
隨著手機等移動網際網路裝置高速普及,越來越多個人資料被我們「自願」釋出到網上。可在大資料時代,即使是「隻言片語」,甚至是微信的好友關係,背後也包含著大量個人資訊。在有心人手中,這些個人資訊除了能用於定向廣告,還有可能成為電信詐騙,甚至是惡性暴力犯罪滋生的「溫床」。
所以近年來中央網信辦、工信部等多部門多次「出手整治」軟體生態,同時也多次對應用市場內違規應用進行曝光並要求整改,並對拒不整改的應用程式進行下架處理。與此同時,為了規範網際網路行業對使用者資訊的獲取與利用,保護使用者的基本資訊,工信部日前也宣佈「App 個人資訊保護管理暫行規定」即將出臺。
暫行規定有什麼用?
《暫行規定》將從「知情」與「必要」兩個角度對軟體提出要求。其中,《暫行規定》要求「要用清晰易懂的語言」告知使用者自己的個人資訊將被如何運用。
至於「必要」的角度,《暫行規定》要求個人資訊的處理必須控制在合理的範圍內,過去常見的「無節制」資訊收集行為將不能在 App 中出現。在我看來,「最小必要」的要求將有效打擊國內個人資訊收集的亂象,同時也是《暫行規定》中「最具分量」的規定之一。
因來自谷歌的第一方監管缺失,國內 Android 手機生態長期處於「群魔亂舞」的階段:來自網際網路「大廠」的 App 通過鏈式啟動、資訊收集的手段擴大壯大自己的勢力,同時也侵佔著使用者手機的記憶體空間。出身於「小作坊」的 App 則藉助大平臺提供的介面「助紂為虐」,幫助巨頭獲取使用者資料。
舉個例子,在國內智慧手機發展初期,幾乎所有應用市場都充斥著各式各樣的「手電筒」軟體。由於監管的缺失,獲取聯絡人與通話記錄可以說是這些軟體的「標配」。而且當時 Android 系統缺乏系統層面的許可權管理,因此只要「是個 App」都能輕鬆讀取使用者幾乎所有個人資訊。
但谷歌監管的缺失還帶來了更長遠的影響——儘管谷歌在後續 Android 版本中加入了對應用許可權的限制,但早期 Android 版本中「不同意 = 不能用」的概念已經深入人心。再加上軟體不會對要求的許可權作說明,即使軟體彈窗向用戶要求讀取聯絡人或相簿,使用者也必須全盤提供。畢竟只要少給一項許可權,這些軟體都會給我們「擺臉色」。
暫行規定的出現解決了哪些問題?
《暫行規定》的出現不僅以明文規定的方式規範軟體開發商的行為,遏止個人資訊的肆意收集與濫用,同時還明確了應用分發平臺的責任。由於人力成本的因素,應用商城等平臺很難對平臺內所有應用進行有效的監管。而且憑藉 Android 軟體可以「熱更新」的特性,開發者完全可以在稽核時提交一個「合規版」,等稽核通過後再通過熱更新「引狼入室」。
《暫行規定》的出現明確了運營者,分發平臺,第三方服務平臺、生產商與服務提供者的責任,對於違規者也有著完整的處罰流程,可以說將過去常見的漏洞「堵死」。對違規的應用或平臺,《暫行規定》將按「通知」「通報」「下架」「斷開接入流程」的步驟處理。如果應用拒不整改,《規定》也建議應用與手機廠家在安裝等環節對使用者進行風險提示,提高了軟體的「非法成本」。
其他地方的解決辦法?
儘管《暫行規定》的出現對 App 濫用資料的現象作出了明確的規定,但考慮到使用者存在「天然的惰性」,僅僅是強調「知情」與「必要」在我看來還遠遠不夠。想要喚醒使用者對個人資訊、個人隱私的關注,我們還需要兩記「重拳」——「透明」與「遺忘」。
所謂「透明」,其實是「知情」的一個分支,即服務提供商應該告知使用者「他們收集了哪些資料」。注意,這裡的說明並不是簡單告知「我們要讀取你的通話記錄」,而是明明白白地將獲取的資料列出來。以「通話記錄」為例,只有讓使用者清楚地知道「A 軟體知道我兩年前給電線杆老軍醫打了 8 個電話」「A 軟體除了讀取我的通話記錄,還會把資料分享到 B 軟體」,才能喚醒使用者對個人資訊的重視。
除了上級部門要求的整治,手機廠商也可以參考 MIUI 的做法,在系統中加入「假資訊」或「空白資訊」的選項。讓使用者再面對「不給許可權不能用」的流氓應用時也能有自己的應對措施。
至於「遺忘」的權利,這個很好理解——軟體讀取了我的個人資訊,那我自然有權利要求軟體「忘掉」某些資料。但考慮到國內軟體還沒有規範化的「登出」流程,甚至有不少軟體無法刪除帳戶,國內應用生態想要邁上正軌,顯然還有很長的路要走。
但不要忘記《App 個人資訊保護管理暫行規定》只是一個暫行規定,有關部門整治應用亂象的決心我們有目共睹,作為整治應用生態的「第一把火」,《暫行規定》對應用生態的意義我們不能忽視。而且這也只是「暫行」規定,還需要時間和實踐進行完善。等《暫行規定》脫下「暫行」的帽子後,有關規定將有望成為「中國版 GDPR」,為我們帶來更健康的應用生態。
過去由工信部發起的統一推送聯盟展示了有關部門整治國內 Android 生態的決心,而《暫行規定》的出現則再次重申了手機不是流氓軟體的法外之地。接下來,《暫行規定》也將不斷完善,為使用者個人資訊保駕護航。
到那個時候,我們自然可以和手機裡的流氓軟體說不了。