有些App为偷窥你的隐私可能有这个操作!应用商店要负责吗?

因违规收集个人信息,张影(化名)所在公司一款App在3月12日被工信部通报。张影表示,此前该App收集信息没有得到用户授权也能正常上架,且下载量还不错,在各大应用商店的安装量合计超过5亿。

当前,违规收集用户个人信息是App侵害用户权益最常见的一种行为。中新经纬记者梳理发现,2021年以来,共有319款App因侵害用户权益被工信部通报,其中超范围收集个人信息,违规收集、使用个人信息是“重灾区”。

那么,这些App在上架应用商店环节为什么没被发现可能侵害用户权益?用户从OPPO、小米等应用商店下载App后被侵害隐私,这些应用商店需要承担责任吗?

今年319款App被通报 “偷听”等被重点整治

工信部App侵害用户权益行为专项整治工作开始于2019年10月底。同年12月,工信部公布了首批41款侵害用户权益App名单,其中不乏QQ、新浪体育、小米金融等知名App。最初工信部重点整治的App问题包括私自收集个人信息、私自共享给第三方、账号注销难、不给权限不让用等。

2021年以来,工信部已通报了三批侵害用户权益行为的App,总计319款,其中第一批157款,第二批26款,第三批136款。在3月12日通报的2021年第三批136款侵害用户权益App中,不乏腾讯手机管家、讯飞配音、携程租车、猎豹清理大师等知名互联网公司的产品。

中新经纬记者注意到,2021年被通报的App所涉问题包括App频繁自启动和关联启动、超范围收集个人信息、违规使用和收集个人信息,App强制、频繁、过度索取权限等,这与专项整治工作最初关注的App问题有所变化。

2021年3月初,工信部部长肖亚庆直言,就群众反映强烈的“麦克风权限滥用”“过度索取通讯录”等问题,对App开展了专项整治,坚决下架侵害用户权益拒不接受整治的App。

另据媒体2月报道,工信部正在起草《移动互联网应用程序个人信息保护管理暂行规定》,明确知情同意和最小必要两项个人信息保护基本原则,为App个人信息保护明确底线、划出红线。同时将以问题为导向,重点解决“麦克风权限滥用”“未经用户同意擅自读写相册”“过度索取通讯录”“隐藏个推关闭选项”等当前用户反映强烈的热点问题。

这意味着,今后App“偷听”等一系列侵害用户隐私的行为,如App违规调用麦克风、通讯录、相册等将被重点整治。

有些App为偷窥你的隐私可能有这个操作

对于通报App所涉侵犯用户权益的问题,尤其是违规收集个人信息、强制索取权限等,有网友表示:这些问题App为什么能顺利上架应用商店呢?应用商店审查不出来吗?

值得注意的是,工信部在历次通报中会注明侵害用户权益App的来源。比如在3月12日的通报中,来自腾讯应用宝的萌龙大乱斗、收钱吧等App因违规收集个人信息上榜;来自OPPO应用商店的P图大神、来电万能宝等App因违规收集、使用个人信息上榜;来自小米应用商店的悦跑圈、爱豆等App因违规收集个人信息等上榜。

在2021年第一批通报中,工信部表示,在其组织的十批次检测中,腾讯应用宝、小米应用商店、豌豆荚、OPPO 软件商店、华为应用市场发现问题分别占比 22.3%,12.0%,10.3%,9.9%,8.8%,平台管理主体责任落实不到位。

事实上,各大手机应用商店都有自己的审核标准。例如《华为应用市场审核指南》隐私政策显示,应用访问、收集、使用或披露任何个人数据,需经用户的同意或遵守其他适用的法律法规;应用收集和使用个人数据须遵守数据最小化原则;应用申请和使用权限须遵守权限最小化原则等。

但在实践中,应用商店未必能将审核标准落到实处。某互联网大厂一位不愿具名的安全工程师向中新经纬记者透露,目前应用商店的审查确实比较粗糙,主要原因是相关隐私标准一直在变,导致应用市场也拿不准,“有时候就睁一只眼闭一只眼上架了”。

上述安全工程师透露,开发者还可以通过某些技术操作,使App绕过应用市场的审核。“一些App在上架应用市场的时候,获取隐私的按钮是关闭的,但用户下载到手机后就自动打开了。不过这是少数行为。”

另有不愿具名的程序开发者向中新经纬记者表示,从技术上来说,应用商店可以审查出一个App可以获取用户哪些权限。一般情况下,上架应用商店的App都无法擅自获取用户的通讯、定位、麦克风权限,这些权限获取均需要经过用户同意,但不排除App强制用户开启,即不开启无法使用该App,或找借口骗用户开启,这些应用商店审查不出来。

应用商店需要承担责任吗?

中新经纬记者注意到,早在2016年6月,国家互联网信息办公室就发布了《移动互联网应用程序信息服务管理规定》,国家互联网信息办公室有关负责人就此规定答记者问时指出,“互联网应用商店服务提供者应当对应用程序提供者履行‘四项管理责任’”。其中一项责任就是“督促应用程序提供者保护用户信息,完整提供应用程序获取和使用用户信息的说明,并向用户呈现。”

中国互联网协会法治工作委员会副秘书长胡钢在接受中新经纬客户端采访时表示,新印发的《常见类型移动互联网应用程序必要个人信息范围规定》将于5月1日施行,明确了39种常见类型App的必要个人信息范围,其中13类App无须个人信息,即可使用基本功能服务。

总的来说,这条新规更精准、更有力也更有持久性,同时也对App开发者提出了更高的要求。

“App要获取哪些权限应主动、详尽告知应用商店,还应请第三方机构对App相关信息、权限获取功能进行检测,这些细节应在应用商店展示,应用商店做好把关者的角色。”胡钢表示,“应用商店参与了App的分发、销售环节,与开发者是利益共同体,App出现问题应用商店无法独善其身,是共同责任人,应承担连带责任。”

胡钢表示,目前对侵害用户权益App且到期未整改的处罚只停留在下架层面,未来有必要加大处罚力度。“非法、过度获取或使用个人信息达到一定量,是否可以考虑停止其运营并追究其刑事责任,这是应该积极探讨的。”