我國境內移動互聯網應用(Mobile Application,APP)上架總量已近350 萬款,覆蓋經濟社會生産生活管理各個方麵。APP作為用戶數據收集的主要入口之一,違規收集個人信息、超範圍收集個人信息等問題日益嚴峻,對國傢安全、人民利益、産業健康有序發展形成嚴重風險挑戰[1]。推動APP依據最小必要原則收集使用個人信息已成為當務之急。
一、個人信息保護麵臨的挑戰
隨著AI、大數據等技術的廣泛應用,用戶個人信息的敏感性不斷提高、數據範圍不斷擴大,個人信息的數據價值得到全麵提升,海量相互關聯的個人數據成為分析個人特徵的基礎。與此同時,違規收集個人信息、超範圍收集個人信息成為普遍現象。然而,普通用戶難以察覺個人信息被違規收集,也缺乏控製的技術手段。
APP收集個人信息應嚮用戶明示並徵得用戶同意後進行[2]。盡管當前普遍采用通過隱私政策或用戶協議的方式嚮用戶一攬子告知,但仍存在未告知且未徵得用戶同意違規收集IMEI、應用軟件列錶、MAC地址等行為。還有的APP未嚮用戶告知且未經用戶同意,利用Cookie等技術手段隱性采集用戶數據,生成設備身份標識等。
APP在徵得用戶同意或獲得係統授權後,應遵循閤法、正當、必要的基本原則收集使用個人信息。開發者不應利用能力和信息的不對稱,違反與用戶的約定,或超齣業務場景的閤理需求,過度收集個人信息。然而,APP開發者通常是根據其市場地位、利潤及不良後果來決定收集使用個人信息的邊界。在獲得用戶的形式授權後,APP普遍存在過度收集個人信息的情況。如無閤理業務場景時超範圍收集語音、圖片、通信錄信息,超深度收集位置、圖片信息,超頻次收集設備識彆碼、應用軟件列錶信息等。這些收集行為與用戶意願不符,普通用戶難以覺察和取證,而開發者也難以主動進行自我約束。
二、問題分析
APP違規收集、過度收集個人信息等問題通常伴隨著隱私政策冗長、強製“一攬子同意”、過度索取權限、濫用係統授權等現象。
目前,APP提供者通常使用隱私政策或用戶協議等方式,告知APP收集使用個人信息的目的、方式和範圍。APP隱私政策長的接近2 萬字,短的也有六七韆字,平均字數在1.3 萬字左右,按照300 字/min/人的閱讀速度,讀完全文平均需要30 min以上。用戶反映普遍存在讀不完、找不到、看不懂等問題。麵對市場化程度和規範程度都較低的APP,上萬的文字體量、層層嵌套的文件體係和章節架構、晦澀難懂的文字描述,使得隱私政策和用戶協議形同虛設,難以擔當告知用戶的責任。對於用戶來說,勾選接受隱私政策和用戶協議以安裝使用APP實屬無奈之舉。
APP早期業務功能比較單一,通常在首次安裝使用時,一次性告知並徵得用戶同意,同時索取係統權限。隨著互聯網業態的不斷豐富,APP的業務功能不斷增加,APP所收集使用的個人信息邊界不斷擴大。當前APP首次啓動時,普遍采用彈窗方式,一攬子徵得用戶的同意。用戶不同意將無法使用APP,或者僅能使用瀏覽模式。在一攬子同意的方式下,不區分首屏功能和其他業務功能、不區分必要信息和非必要信息。一方麵對於多業務功能APP,用戶通常隻能接受使用所有的業務功能,APP開發者隻需增加告知條款,形式上具備相關的業務功能,就可以無所顧忌地收集各種信息;另一方麵對於具備壟斷地位的APP,用戶彆無選擇,隻能同意所有信息被收集。在這種一攬子同意的模式下,用戶除瞭依靠係統權限給予開關選項的節製外,基本喪失瞭選擇“不”的權利。
在告知並徵得用戶同意後,係統權限成為APP收集個人信息的關鍵管控手段[3]。現有權限管控粒度過粗,權限申請目的告知不同步、權限行為記錄不完善等因素導緻APP過度申請權限、濫用係統授予的權限。APP過度濫用權限錶現在3個方麵:一是無閤理業務場景時,提前索取權限;二是有閤理業務場景時,藉機多索取權限;三是索取權限後,超範圍使用權限賦予功能。然而,權限過度濫用用戶易感知,評測時卻存在主觀判定難的情況。有必要製定APP權限最小化規範,引導APP開發者遵循閤法正當必要原則申請權限,清晰即時告知權限申請目的,運行過程中最小化使用權限,事後自行留存權限行為記錄等。
三、 APP 最小必要收集個人信息方案
APP收集使用個人信息,普遍包含告知、同意、權限索取、權限使用4個環環相扣、互相影響的關鍵方麵[4]。為破解一攬子告知同意、過度濫用權限的難題,有必要拆分首屏和其他業務功能或服務,區分不同業務功能或服務的必要信息和非必要信息,優化告知、同意、權限索取的時機和方式,規範權限使用最小化的操作範圍、數據範圍、收集頻次、收集深度等,進而提齣APP最小必要收集個人信息方案。
APP可根據業務功能或服務的不同,按照約定成俗的方式進行功能模塊劃分,功能模塊也可以繼續拆解成更小的模塊。在功能模塊下可進一步劃分為收集個人信息的業務場景,在某些業務場景下,信息采集需要得到操作係統的授權。以地圖導航類APP為例,典型的功能場景層次架構如圖1所示。可見,在首屏地圖頁麵,盡管有當前位置和語音喚醒的場景,但位置和錄音信息對用戶來說均非必要,相關的權限申請用戶也可以拒絕;而在導航功能下,位置信息和位置權限均為必要。
通過對APP業務功能或服務,以及業務場景的解析,告知、同意、權限索取、權限使用可遵循以下最小必要基本原則。
(1)按照業務功能或服務進行分項告知。
(2)按照業務功能或服務分項徵求用戶同意。
(3)用戶可拒絕業務功能的非必要信息。
(4)按照業務場景即時嚮係統索取權限。
(5)用戶可拒絕非業務場景所必要的權限。
當APP齣於提供産品或服務的目的收集使用個人信息時,應當在功能開啓前,告知收集使用個人信息的目的、方式和範圍,以及拒絕提供將帶來的影響,以便用戶進行適當的選擇。
3.2.1 告知內容
告知內容應包含收集使用個人信息的目的、方式、範圍、內容、頻次、保護措施、公開、轉移、共享等相關內容,同時應明示用戶所擁有的各項權利,如查詢權、拒絕權、更正權和撤銷同意等[5-6]。告知內容應準確、清晰、完整、易懂,符閤通用的語言習慣,通過顯著方式對重點條款進行突齣呈現,同時應避免歧義,不得恐嚇威脅誘導用戶。當APP收集使用的內容、目的、方式、範圍發生變更時,應及時重新告知並顯著提示用戶。變更包括但不限於收集使用個人信息的內容增加、目的改變、方式變化等。
3.2.2 告知時機
告知時機應滿足事前就近原則,在用戶作齣實質性動作前,給予相應的告知。在用戶決定選擇下載前,在APP下載界麵顯著位置告知應用的名稱、包名、版本號、安裝包大小、開發者、發布更新日期、權限列錶及用途,收集使用個人信息的內容、目的、方式和範圍,以及關鍵個人信息列錶等,以保障用戶選擇下載前的知情權。在用戶初次使用APP或注冊使用賬號的場景下,嚮用戶提供完整的個人信息收集使用規則鏈接,前台展示首屏業務功能關鍵個人信息收集使用列錶,保障用戶使用APP前的知情權。當啓用APP首屏功能外的業務功能或服務場景時,分項告知該功能或服務收集使用個人信息詳情。當收集使用個人信息的內容、目的、方式、範圍發生變更時,或者用戶撤迴授權後重新使用前,需重新告知。
3.2.3 告知方式
根據APP所提供業務功能和服務的不同,APP可分彆製定獨立的告知內容,當啓用某功能或服務時,分項告知該業務功能或服務所收集使用的個人信息。並區分該功能或服務所收集的必要信息和非必要信息。為易於用戶感知與理解,告知方式可多種多樣,可采用文字、彈窗、動畫、短片、互動等創新的告知形式。同時,APP應提供可供用戶隨時查看的個人信息收集使用規則入口。
用戶應對APP所收集使用的個人信息具有知情權與選擇權。APP需徵得用戶同意後方可收集和使用個人信息。用戶是否同意應滿足自主性原則,不以欺騙、誤導、強迫等非法手段徵得用戶同意。在用戶做齣明確的確認行為之前,APP不進行處理個人信息的相關操作。
3.3.1 分項同意
APP按照業務功能或服務分項徵求用戶同意,並明確區分業務功能或服務的必要信息和非必要信息。在首次啓用指定業務功能或服務時,可徵得用戶對收集必要信息和非必要個人信息的授權同意。用戶選擇不同意收集業務功能或服務的必要信息,APP可以拒絕提供相關業務功能或服務。若用戶選擇不同意收集業務功能或服務的非必要信息,APP不能拒絕提供相關業務功能或服務。
3.3.2 單項同意
APP在調用敏感權限或收集敏感信息時,應通過彈窗或交互界麵等方式,單項即時性告知並徵得用戶的明確同意。一次性收集的,應清晰說明收集敏感信息的目的、範圍、深度等;多次收集的,還需說明收集的頻次。
3.3.3 撤銷同意
在徵得用戶同意時,APP應告知撤銷同意的渠道和方式,並且不應為撤銷同意設置障礙。用戶撤銷同意後,APP不應再繼續收集和處理個人信息,且應保證撤迴某項同意後不影響用戶其他業務功能的正常使用[1]。
3.3.4 再次同意
APP收集使用個人信息超齣同意範圍的,應再次告知並徵求用戶的同意。APP收集使用的個人信息範圍將用於個性化推薦、精準營銷等目的之外的場景,需再次徵求用戶的單項同意,並應提供隨時撤銷同意的機製[1]。
權限是為保護用戶的個人信息,終端操作係統對於應用訪問敏感用戶數據或使用特定係統功能的限製與約束。權限的申請應遵循閤法正當必要原則,做到即時索取權限,細粒度索取權限,且優先采用係統自身功能。APP應明確告知拒絕授權的後果,若用戶拒絕非必要權限的授權,不應影響業務功能的使用[1]。
3.4.1 即時索權
APP索取權限要遵循即時原則,僅在發生相關業務場景時即時申請權限。不應申請與業務場景無關的權限,不能過早索權,不能一攬子索權,不使用的權限要及時清理。如在主屏頁麵,不能索取非主屏功能相關的權限。
3.4.2 細粒度索權
與業務無關權限的授予會導緻權限的濫用,增大應用攻擊麵,引入用戶敏感數據泄露風險[1]。APP應根據業務場景的需求,最小粒度的索取係統權限。如對於“存儲”“通訊錄”等權限,按照最小必要原則索取讀、寫、刪等權限;對於“位置”權限,根據業務場景需求,按照最小必要原則索取粗略位置或精準位置。
3.4.3 優先采用係統功能
APP應優先采用終端提供的功能實現,避免過度調用敏感權限。例如,Android係統為APP分配私有的文件目錄和數據存儲空間,在無閤理理由下,APP無需額外申請存儲權限[1]。
APP在徵得用戶同意和獲得用戶授權後,便獲取瞭訪問係統特定功能或用戶敏感數據的權利。鑒於終端權限管控的粒度較粗,APP在獲得授權後應遵循閤理正當必要原則,使用係統賦予的權利,最小化調用係統提供的功能,最小化訪問係統提供的用戶敏感數據,對於未明確告知操作範圍、數據範圍、收集頻次和收集深度的授權,若無閤理業務場景,默認未獲得用戶授權同意。
3.5.1 最小化操作範圍
APP應告知敏感權限和敏感數據的操作範圍是否包括讀、寫、刪等。若係統未提供較細粒度的讀寫刪等子權限,APP不能超齣業務場景的需求,超範圍訪問數據或者使用係統功能。如使用“短信驗證碼”功能,APP僅可使用短信讀取權限,不得超範圍使用短信刪除權限,惡意刪除、改寫短信驗證碼信息等。
3.5.2 最小化數據範圍
APP應告知敏感數據的收集範圍,對於訪問用戶敏感數據的權限,若係統未提供數據訪問範圍限製,APP不能超齣業務場景的需求,超範圍訪問用戶數據。如使用選擇通訊錄指定聯係人,APP不能超範圍訪問通訊錄信息,在用戶不知情的情況下收集整個通訊錄信息。又如客服場景選擇上傳圖片,APP不能超範圍訪問圖片信息、在用戶不知情的情況下收集其他圖片的信息等。
3.5.3 最小化收集頻次
APP應告知敏感數據的收集頻次,若用戶未說明收集頻次,且係統未提供訪問頻次的管控機製,敏感數據的收集和敏感權限的使用不能超齣業務場景的閤理需求。如“應用軟件列錶”未聲明收集頻次,默認在用戶同意後一次性收集;外賣類軟件獲得“位置”授權後,APP隻應在用戶使用定位功能時讀取位置信息。
3.5.4 最小化收集深度
對於“位置”“錄音”“圖片”等敏感數據,APP應告知收集的精度和深度。如天氣類業務場景,若APP未聲明收集深度,默認索取粗略定位信息;對於語音助手類業務場景,若APP未聲明,默認不采集聲紋信息;對於圖片類業務場景,若APP未聲明,默認不收集位置等附加信息。
四、結束語
隨著移動互聯網的迅猛發展,用戶個人信息的敏感性不斷提高,APP違法違規收集個人信息成為用戶關注的焦點。其中,APP違反最小必要原則收集使用個人信息成為當前個人信息保護工作麵臨的主要挑戰,本文研究分析瞭違規收集、超範圍收集個人信息的原因,列齣瞭APP最小必要基本原則,提齣瞭分項告知和單獨同意機製,設計瞭權限索取、數據收集的最小化規範,給齣瞭APP收集使用個人信息最小必要方案,旨在為深入開展APP治理,推動APP産業健康有序發展提供技術支撐。
參考文獻
[1] 中國信息通信研究院. 智能終端産業個人信息保護白皮書[R], 2018.
[2] 鄭佳寜. 知情同意原則在信息采集中的適用與規則構建[J]. 東方法學, 2020,4(2):198-208.
[3] 鍾越, 付迪陽. Android應用程序隱私權限安全研究[J]. 信息安全研究, 2021,7(3):287-292.
[4] 寜華, 王艷紅, 王宇曉. APP個人信息安全現狀問題及應對策略[J]. 質量與認證, 2020(4):33-35.
[5] 郭清玥, 吳丹. 基於文本分析的APP隱私政策框架優化研究[J]. 信息資源管理學報, 2021,11(1):18-29.
[6] 何培育, 王瀟睿. 智能手機用戶隱私安全保障機製研究——基於第三方應用程序“隱私條款”的分析[J]. 情報理論與實踐, 2018,41(10):40-46.
來源:信息通信技術與政策
作者:寜華,王艷紅 等
責任編輯:
