违规收集和使用个人信息已成App常见问题
日常生活中,大家可能遇到过以下情景:天气预报App要求访问通讯录;外卖App要求访问手机相册;打车App获取手机IMEI……
App形式上告知一下,似乎已经尽到告知义务。实际上若不给权限就闪退、App隐性强制索取信息、违规收集个人信息等问题比较普遍。
今年以来,已经有几百款App因侵害用户权益被有关部门通报、下架。
2021年2月,工信部依法依规组织对37款App进行下架,包括“易企秀”“艺龙酒店”“相机360”“114票务网”“东风出行”等。
2021年4月,工信部依法依规组织对60款侵害用户权益的App进行下架。
2021年5月,国家网信办通报了105款App违法违规收集使用个人信息。
2021年6月,工信部依法依规对291款侵害用户权益App下架,包括前程无忧51job、Microsoft Word、智行火车票、智联招聘等。
对于App过度、违规收集个人信息的行为网友在相关微博新闻下面评论:打开个美颜相机居然要通讯录……不给授权就不给你用……
具体来说
App索要哪些权限属于过度收集个人信息?
网信办、工信部等四部门2021年3月联合制定了《常见类型移动互联网应用程序必要个人信息范围规定》,明确移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。
根据规定
常见类型App的必要个人信息范围如下:
(一)地图导航类,基本功能服务为“定位和导航”,必要个人信息为:位置信息、出发地、到达地。
(二)网络约车类,基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”,必要个人信息包括:
1.注册用户移动电话号码;
2.乘车人出发地、到达地、位置信息、行踪轨迹;
3.支付时间、支付金额、支付渠道等支付信息(网络预约出租汽车服务)。
(三)即时通信类,基本功能服务为“提供文字、图片、语音、视频等网络即时通信服务”,必要个人信息包括:
1.注册用户移动电话号码;
2.账号信息:账号、即时通信联系人账号列表。
(四)网络社区类,基本功能服务为“博客、论坛、社区等话题讨论、信息分享和关注互动”,必要个人信息为:注册用户移动电话号码。
(五)网络支付类,基本功能服务为“网络支付、提现、转账等功能”,必要个人信息包括:
1.注册用户移动电话号码;
2.注册用户姓名、证件类型和号码、证件有效期限、银行卡号码。
(六)网上购物类,基本功能服务为“购买商品”,必要个人信息包括:
1.注册用户移动电话号码;
2.收货人姓名(名称)、地址、联系电话;
3.支付时间、支付金额、支付渠道等支付信息。
(七)餐饮外卖类,基本功能服务为“餐饮购买及外送”,必要个人信息包括:
1.注册用户移动电话号码;
2.收货人姓名(名称)、地址、联系电话;
3.支付时间、支付金额、支付渠道等支付信息。
(八)邮件快件寄递类,基本功能服务为“信件、包裹、印刷品等物品寄递服务”,必要个人信息包括:
1.寄件人姓名、证件类型和号码等身份信息;
2.寄件人地址、联系电话;
3.收件人姓名(名称)、地址、联系电话;
4.寄递物品的名称、性质、数量。
(九)交通票务类,基本功能服务为“交通相关的票务服务及行程管理(如票务购买、改签、退票、行程管理等)”,必要个人信息包括:
1.注册用户移动电话号码;
2.旅客姓名、证件类型和号码、旅客类型。旅客类型通常包括儿童、成人、学生等;
3.旅客出发地、目的地、出发时间、车次/船次/航班号、席别/舱位等级、座位号(如有)、车牌号及车牌颜色(ETC服务);
4.支付时间、支付金额、支付渠道等支付信息。
(十)婚恋相亲类,基本功能服务为“婚恋相亲”,必要个人信息包括:
1.注册用户移动电话号码;
2.婚恋相亲人的性别、年龄、婚姻状况。
(十一)求职招聘类,基本功能服务为“求职招聘信息交换”,必要个人信息包括:
1.注册用户移动电话号码;
2.求职者提供的简历。
(十二)网络借贷类,基本功能服务为“通过互联网平台实现的用于消费、日常生产经营周转等的个人申贷服务”,必要个人信息包括:
1.注册用户移动电话号码;
2.借款人姓名、证件类型和号码、证件有效期限、银行卡号码。
(十三)房屋租售类,基本功能服务为“个人房源信息发布、房屋出租或买卖”,必要个人信息包括:
1.注册用户移动电话号码;
2.房源基本信息:房屋地址、面积/户型、期望售价或租金。
(十四)二手车交易类,基本功能服务为“二手车买卖信息交换”,必要个人信息包括:
1.注册用户移动电话号码;
2.购买方姓名、证件类型和号码;
3.出售方姓名、证件类型和号码、车辆行驶证号、车辆识别号码。
(十五)问诊挂号类,基本功能服务为“在线咨询问诊、预约挂号”,必要个人信息包括:
1.注册用户移动电话号码;
2.挂号时需提供患者姓名、证件类型和号码、预约挂号的医院和科室;
3.问诊时需提供病情描述。
(十六)旅游服务类,基本功能服务为“旅游服务产品信息的发布与订购”,必要个人信息包括:
1.注册用户移动电话号码;
2.出行人旅游目的地、旅游时间;
3.出行人姓名、证件类型和号码、联系方式。
(十七)酒店服务类,基本功能服务为“酒店预订”,必要个人信息包括:
1.注册用户移动电话号码;
2.住宿人姓名和联系方式、入住和退房时间、入住酒店名称。
(十八)网络游戏类,基本功能服务为“提供网络游戏产品和服务”,必要个人信息为:注册用户移动电话号码。
(十九)学习教育类,基本功能服务为“在线辅导、网络课堂等”,必要个人信息为:注册用户移动电话号码。
(二十)本地生活类,基本功能服务为“家政维修、家居装修、二手闲置物品交易等日常生活服务”,必要个人信息为:注册用户移动电话号码。
(二十一)女性健康类,基本功能服务为“女性经期管理、备孕育儿、美容美体等健康管理服务”,无须个人信息,即可使用基本功能服务。
(二十二)用车服务类,基本功能服务为“共享单车、共享汽车、租赁汽车等服务”,必要个人信息包括:
1.注册用户移动电话号码;
2.使用共享汽车、租赁汽车服务用户的证件类型和号码,驾驶证件信息;
3.支付时间、支付金额、支付渠道等支付信息;
4.使用共享单车、分时租赁汽车服务用户的位置信息。
(二十三)投资理财类,基本功能服务为“股票、期货、基金、债券等相关投资理财服务”,必要个人信息包括:
1.注册用户移动电话号码;
2.投资理财用户姓名、证件类型和号码、证件有效期限、证件影印件;
3.投资理财用户资金账户、银行卡号码或支付账号。
(二十四)手机银行类,基本功能服务为“通过手机等移动智能终端设备进行银行账户管理、信息查询、转账汇款等服务”,必要个人信息包括:
1.注册用户移动电话号码;
2.用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码;
3.转账时需提供收款人姓名、银行卡号码、开户银行信息。
(二十五)邮箱云盘类,基本功能服务为“邮箱、云盘等”,必要个人信息为:注册用户移动电话号码。
(二十六)远程会议类,基本功能服务为“通过网络提供音频或视频会议”,必要个人信息为:注册用户移动电话号码。
(二十七)网络直播类,基本功能服务为“向公众持续提供实时视频、音频、图文等形式信息浏览服务”,无须个人信息,即可使用基本功能服务。
(二十八)在线影音类,基本功能服务为“影视、音乐搜索和播放”,无须个人信息,即可使用基本功能服务。
(二十九)短视频类,基本功能服务为“不超过一定时长的视频搜索、播放”,无须个人信息,即可使用基本功能服务。
(三十)新闻资讯类,基本功能服务为“新闻资讯的浏览、搜索”,无须个人信息,即可使用基本功能服务。
(三十一)运动健身类,基本功能服务为“运动健身训练”,无须个人信息,即可使用基本功能服务。
(三十二)浏览器类,基本功能服务为“浏览互联网信息资源”,无须个人信息,即可使用基本功能服务。
(三十三)输入法类,基本功能服务为“文字、符号等输入”,无须个人信息,即可使用基本功能服务。
(三十四)安全管理类,基本功能服务为“查杀病毒、清理恶意插件、修复漏洞等”,无须个人信息,即可使用基本功能服务。
(三十五)电子图书类,基本功能服务为“电子图书搜索、阅读”,无须个人信息,即可使用基本功能服务。
(三十六)拍摄美化类,基本功能服务为“拍摄、美颜、滤镜等”,无须个人信息,即可使用基本功能服务。
(三十七)应用商店类,基本功能服务为“App搜索、下载”,无须个人信息,即可使用基本功能服务。
(三十八)实用工具类,基本功能服务为“日历、天气、词典翻译、计算器、遥控器、手电筒、指南针、时钟闹钟、文件传输、文件管理、壁纸铃声、截图录屏、录音、文档处理、智能家居助手、星座性格测试等”,无须个人信息,即可使用基本功能服务。
(三十九)演出票务类,基本功能服务为“演出购票”,必要个人信息包括:
1.注册用户移动电话号码;
2.观演场次、座位号(如有);
3.支付时间、支付金额、支付渠道等支付信息。
网信办、工信部等四部门于2019年底印发了《App违法违规收集使用个人信息行为认定方法》,为认定App违法违规收集使用个人信息行为提供参考。
根据规定
以下行为可被认定为“违反必要原则收集与其提供的服务无关的个人信息”
1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;
2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;
3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;
4.收集个人信息的频度等超出业务功能实际需要;
5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;
6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
违规、过度收集的个人信息可能流入网络黑产链条
据侠客岛微信公众号此前新闻报道,中国信息通信研究院副院长、信息通信行业反诈中心负责人魏亮认为,App违规或超范围收集而来的个人信息,容易进入网络黑产链条,被不法分子用来施展网络诈骗。他表示,当前,“赌博杀猪盘”“刷单贷款”“投资理财”等诈骗行为频繁发生,诈骗呈现从电话诈骗向互联网诈骗转移的趋势,个人数据安全形势依然严峻。
此外,中国信息通信研究院安全研究所数据安全研究部副主任陈湉介绍,截至2020年6月底,有关数据安全风险监测机制已对主流应用商店分发渠道的4万多款App进行了监测,其中,92.97%的App存在“中高危”数据安全风险,“力保数据安全已刻不容缓”。
面对越界的App
用户可以采取6种措施防止个人信息被侵犯
首先,注册、登录App时应谨慎提交个人信息。注册环节如非必要,谨慎提交个人敏感信息,如身份证照片、银行卡号等。
其次,向App提供信息进行身份核验要小心。在进行身份信息核验时,个人应尽量使用邮箱、“网证”等间接方式核验身份,尽可能少提交个人敏感信息。
再次,向第三方页面提供个人信息要留心。在使用App时,如果遇到跳转至第三方所提供的产品或服务时,要谨慎提供个人信息。
最后,不使用的App应及时注销账号。换手机号时,应注销旧手机号注册的各种账号。如发现App未提供注销账号功能或注销机制无效,可向有关部门举报。此外,关闭非必要权限。若App因用户拒绝收集非必要个人信息,而出现App闪退或基本功能不能使用的情况,可依法依规,向相关部门举报。
举报平台
在使用App时,如果发现APP违法违规收集个人信息等
可以通过以下平台举报维权:
受理对App违法违规收集使用个人信息的平台:
①微信公众号(账号名:App个人信息举报);
②App专项治理工作组网站(pip.tc260.org.cn)。
举报和反映不法行为的平台:
①中央网信办违法和不良信息举报中心(www.12377.cn);
②12321网络不良与垃圾信息举报受理中心(www.12321.cn)。
此外还可咨询当地的网信、市场监管、公安等相关部门。