2信息收集:应守住“合法、正当、必要”底线
根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》,类似支付宝等网络服务提供者在业务活动中收集、使用公民个人电子信息,应当遵循“合法、正当、必要的原则”、“明示收集、使用信息的目的、方式和范围”、“并经被收集者同意”等。
显然,支付宝APP调用手机相关权限,申请权限获得用户同意后,必然会在用户使用过程中收集、使用个人信息。
从实际情况来看,支付宝APP弹出权限使用提示,似乎满足了“经被申请者同意”的条件。
但是,是否遵循了“合法、正当、必要”的原则,则存在很大争议。尤其是,支付宝安卓版APP在用户未开启或未使用相应功能时,支付宝自动触发“拍照、录音”等与用户个人信息甚至隐私信息密切的功能权限请求,不知情的用户很容易因为误点击,不小心开启了相应权限调用,而且此时的涉隐私信息的系统权限申请是否“正当、必要”,值得进一步探讨。
此外,支付宝在调用智能手机系统权限时,对可能产生的用户信息“收集、使用”的方式和范围,存在明示不全面或说明不充分。
简单说,如果没有这次“隐私门”事件,支付宝此番未出面正式回应,大多数人不清楚作为一个支付工具,支付宝为什么需要调用“相机、录音”等系统权限、为什么可能自动拍照或录音等收集用户信息。
由此可见,按照有关个人信息收集、使用需遵循“合法、正当、必要”原则的要求,包括支付宝在内的很多APP都需要调整自身的权限调用请求策略,让用户更加清晰的明白“什么时候授权”、“什么情况调用”、“采集那些信息”、“信息如何使用”等等。
3加强监管:避免APP成为侵害用户权益工具
当前,国内对于APP的监管还有一些空白亟待填补,很多有关APP的监管要求散落在一些指导意见或通知之中。
我国最早关于APP(官方称为“移动智能终端应用软件”)的管理要求,可以追溯到2012年。
由工业和信息化部制定、2012年1月1日起施行的《移动互联网恶意程序监测与处置机制》,首度从“恶意程序”角度对各类不当APP应用加以规范。.
按照此机制,“存在窃听用户通话、窃取用户信息、破坏用户数据、擅自使用付费业务、发送垃圾信息、推送广告或欺诈信息、影响移动终端运行、危害互联网网络安全等恶意行为”视为“恶意程序”。
随后,2013年11月1日起执行的工业和信息化部《关于加强移动智能终端进网管理的通知》中规定,“生产企业申请移动智能终端进网许可时,应当在申请材料中提供操作系统版本、预置应用软件基本配置信息”,并对“预装应用软件”划定“红线”,要求“不得在移动智能终端中预置5类应用软件,包括:
(一)未向用户明示并经用户同意,擅自收集、修改用户个人信息的;
(二)未向用户明示并经用户同意,擅自调用终端通信功能,造成流量消耗、费用损失、信息泄露等不良后果的;
(三)影响移动智能终端正常功能或通信网络安全运行的;
(四)含有《中华人民共和国电信条例》禁止发布、传播的信息内容的;
(五)其他侵害用户个人信息安全和合法权益以及危害网络与信息安全的。
此外,2015年11月18日,工业和信息化部发布《移动智能终端应用软件(APP)预置和分发管理暂行规定》(征求意见稿),面向公众征求意见,该规定重点从备受关注的APP“预装”和“分发”(下载)环节提出管理要求。
根据《移动智能终端应用软件(APP)预置和分发管理暂行规定》(征求意见稿),在权限调用方面,“移动智能终端应用软件必须符合相关标准要求,不得调用与所提供服务无关的终端功能”;在应用开启方面;“未经明示且经用户同意,不得强制开启应用软件”;在明示规则方面,“应通过用户提示、企业网站等方式明示所提供移动智能终端应用软件的信息,包括名称、功能描述、卸载方法、开发者信息、软件安装及运行所需权限列表等,明确告知用户应用软件收集、使用用户个人信息的内容、目的、方式和范围等。”
显然,对照上述要求,当前支付宝安卓版APP确实存在一些有待改进的地方。与此同时,由于相关监管要求不明确或立法规格不高,使得的并未引起广大APP开发者的重视,此外,当前对APP申请系统权限或调用相应功能的范围及正当性、必要性缺乏必要标准或管理要求,也使得各类APP乱象持续上演。
而这些问题,一方面,亟待相关部门加快监管政策或法律制定,加强对各类APP应用的规范和管理。另一方面,也需要各类APP厂商加强自律,参照相应要求,或以更高的要求不断改善用户体验,让用户更加放心的使用各类新应用或新功能。(文/李俊慧)