【重磅】四部委:100个APP用户信息调查:存在强制超范围索要权限
据网信办5月24日通报,App专项治理工作组发布20大类、100个APP进行用户信息收集情况统计通报,统计结果显示部分APP存在强制超范围索要权限情况,平均每个APP申请收集个人信息相关权限数高达10项。近年来,信息泄露事件屡屡发生,而App过度索要授权是个人信息泄露的导火索之一。
100个APP用户信息索要权限统计
App专项治理工作组对包括餐饮外卖、地图导航、网上购物、短视频、金融借贷、工具软件、即时通讯、交通票务、浏览器、拍照美化、社区社交、输入法、网络支付、新闻资讯、学习教育、网络游戏、影音娱乐以及其他近20大类共计100个APP进行用户信息收集情况统计。我们注意到,网上购物类如京东、淘宝、天猫、闲鱼、小红书、趣店、拼多多、唯品会、苏宁易购、华为商城,餐饮外卖类如百度糯米、饿了么、美团外卖以及交通票务类途牛旅游、携程旅行、去哪儿旅行、同程旅游等上榜。
统计结果显示:很多APP都有存在强制超范围索要权限情况,平均每个APP申请收集个人信息相关权限数有10项,而用户不同意开启则APP无法安装或运行的权限数平均仅为3项。
信息泄露无处不在 电商、O2O平台成“重灾区”
近年来,信息泄露事件屡屡发生,而App过度索要授权是个人信息泄露的导火索之一。2019中央电视台3·15晚会曝光多家科技企业存在私自采集个人信息的情况,其中包括萨摩耶金服利用探针盒子私自采集用户信息以及“社保掌上通”App通过隐藏的用户条款窃取用户社保信息等。
另据“电子商务消费纠纷调解平台”(www.315.100ec.cn)近年来受理的全国电商投诉案件大数据表明,包括天猫/淘宝、京东、唯品会、当当网、苏宁易购、国美在线、1号店等在内的电商平台,以及窝窝团、美团、大众点评、百度糯米、携程、去哪儿、支付宝等在内的生活服务O2O平台,均曾出现用户信息泄露事件。而仅2018年,就多次出现用户个人信息泄露事件,圆通、顺丰十几亿条个人信息在暗网被出售,以及12306数百万条旅客信息在网上被出售等。
用户信息收集与使用要重视“度”的把控
对于频频出现的非法以及过度用户信息行为,网经社-电子商务研究中心的多位专家提醒互联网运营商,对于用户信息的获取需要注意“度”的把控,且有义务保证收集信息安全。
(1)互联网运营商不得非法收集用户信息
对此,网经社-电子商务研究中心特约研究员、上海信本律师事务所主任高兴发认为,互联网运营商不得非法收集用户信息,从规范、合法运行的角度,建议互联网运营商依法改进。
高兴发律师表示,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》第二条规定,网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。
《民法总则》第一百一十一条规定,【个人信息受法律保护】自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
(2)互联网运营商不能过度收集用户信息
对此,网经社-电子商务研究中心法律权益部分析师姚建芳认为,互联网APP运营者不能过度收集用户信息,同时应保证个人信息的安全,企业最好建立健全用户个人信息安全内控机制,采取一切合理可行的措施,保护用户个人信息。
姚建芳表示,《电子商务法》第二十三条规定,电子商务经营者收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定。违反《电子商务法》个人信息保护规定的主要表现形式为过度收集、秘密收集、诱骗收集、强制收集、非法收集、从黑市上购买个人信息、无期限存储使用个人信息、随便变更目的使用个人信息、未经授权同意对外提供个人信息、非法披露个人信息、内部人员非法对外倒卖个人信息、平台对商户收集、使用个人信息行为缺乏管控等。
《消费者权益保护法》也对用户信息安全明确规定,经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。姚建芳提醒,经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。
【典型案例】注销账号需提供身份证照片?用户质疑摩拜单车过度获取信息
李先生计划停用摩拜单车,注销手机号。因当初注册摩拜使用了身份证号,担心手机号注销后运营商二次销售被直接登陆我的摩拜账户,特申请注销摩拜用户并解绑身份证。
摩拜客服受理后要求李先生提供身份证照片及手持身份证的照片。李先生认为摩拜此行为具有强行获取个人敏感信息的嫌疑,注销账号的目的是减少个人信息泄露,而摩拜却要求我先透露更多个人信息才销户,无法接受。
(3)互联网运营商收集与使用用户信息不得违反法律法规
对于企业收集个人信息的行为,网经社-电子商务研究中心特约研究员、上海汉盛律师事务所高级合伙人李旻律师明确表示必须要遵循《网络安全法》。
李旻律师认为,《网络安全法》在如何更好的对个人信息进行保护这一问题上有了相当大的突破。它确立了网络运营者在收集、使用个人信息过程中的合法、正当、必要原则。形式上,进一步要求通过公开收集、使用规则,明示收集、使用信息的目的、方式和范围,经被收集者同意后方可收集和使用数据。
《网络安全法》加大了对网络诈骗等不法行为的打击力度,特别对网络诈骗严厉打击的相关内容,切中了个人信息泄露乱象的要害,充分体现了保护公民合法权利的立法原则。
【典型案例】现金贷逾期未还 “有用分期”恐吓用户通讯录好友
谭先生2018年8月1日在“有用分期”办理一笔现金贷,当时本金14500元,分六个月归还每个月还3102元。已经还了五期,最后一期因过年身上没有钱处理,正月初七接到催收电话要求一点之前处理完,不然就升级催收。
但是因为在乡下不方便去银行,所以没按照他们规定的时间处理,结果谭先生的通讯录好友都被骚扰,说谭先生借钱不还。之后每天都可以接到他们的电话,辱骂威胁和恐吓 。
(4)互联网运营商有义务保护用户信息安全
网经社-电子商务研究中心特约研究员、北京盈科(杭州)律师事务所方超强律师认为,电商平台在获取个人信息的同时有义务保护信息安全。
方超强律师认为,根据《网络交易管理办法》第25条第二款规定,第三方交易平台经营者应当采取必要的技术手段和管理措施保证平台的正常运行,提供必要、可靠的交易环境和交易服务,维护网络交易秩序。电商平台在获取个人信息的同时,就有保护个人信息的义务。
方超强律师进一步表示,信息泄露存在不同的情况,如果电商平台提供了符合其规模的保护措施,但在这种情况之下还是被黑客入侵了系统,这种情况属于不可抗力,电商不用承担责任,但如果最终发现因平台存在漏洞而导致信息泄露,那么平台就要负责。方超强律师指出,在现实中很难有一个标准去判断什么叫做“平台存在漏洞导致信息泄露”,若消费者向法院投诉平台,平台只要举证证明其尽到了安全责任保护义务,就很难对平台进行追责。
【典型案例一】小红书下单后信息被泄露 用户被骗三万多元
兰女士1月15日在“小红书”购买“滋色”品牌口红,出现了信息泄漏问题,被诈骗35000多元。4月22日兰女士接到一个声称是小红书理赔中心服务人员的电话,告知购买的口红有问题,并详细说出了兰女士的姓名、电话、订单号及地址,随之就放松了警惕被骗光卡里的钱之后,又告诉说要有个匹配、征信问题,随之又诱导兰女士在借呗、小米金融、30分期贷款共借出14500元打过去。
【典型案例二】“55海淘”用户账号余额被无故提现
张先生在“55海淘”购物并获得现金返利,之后将余额存放在账户内。2019年1月15日,张先生的账户被非法提现405美元(合2685.15元),期间原绑定的邮箱未收到任何提示,并被篡改绑定邮箱和手机号。联系“55海淘”被告知要更改邮箱,包括:1、通过原注册邮箱修改;2、使用新的注册邮箱发送3张不同商家、非问题订单的完整截图至客服邮箱。
张先生表示他的邮箱在没收到任何相关邮件,并于1月21日发现并与客服联系,当时显示提现详情是“审核通过,待付款”,但是被客服告知已经打款成功无法追回。他认为55海淘存在系统不完善(变更手机、邮箱后立刻可以提现转账),有信息泄露嫌疑(邮箱变更未通过原注册邮箱修改),未尽到及时通知义务(邮箱被变更没有任何邮件提示)等过错。
【典型案例三】“爱又米”疑似信息泄露 用户陷遭诈骗
张先生于2018年8月18号,接到自称爱又米客服电话说要帮我注销账户,转移取现额度。根据操作在支付宝安逸花取现6400元后(产生利息128元),对方让他提现微信,发来个人微信收款码。
张先生发现有问题没有转账,骗子随后威胁并说出他的手机号、身份证、家庭联系人电话、学校信息,由此可以判断我的信息被泄露。
随后他致电爱又米官方客服,客服一口否决泄露信息,并且无法注销账户,只能进行账号冻结,当初注册的时候,只用了手机注册,我的身份证信息和学校信息就出现了,爱又米是如何通过手机号就获取我的信息是值得探讨的问题。
近年来,信息泄露事件屡屡发生,而App过度索要授权是个人信息泄露的导火索之一。主要问题表现为过度收集、非法收集、泄露隐患、非法售卖、无法注销。为此,电子商务消费纠纷调解平台进行2019电商系列调查专项行动之互联网信息安全,通过快评发布、滚动曝光、专题聚焦、密集播报、媒体联动、法律援助,关注互联网用户信息安全。如果您有相关线索,请提供给我们!