据报道,2017年12月11日,江苏省消费者权益委员会(以下简称“江苏省消保委”)就百度网讯科技有限公司(以下简称“百度”)涉嫌违法获取消费者个人信息及相关问题提起消费民事公益诉讼。
据称,“手机百度”、“百度浏览器”两款手机APP在消费者安装前,未告知其所获取的各种权限及目的,在未取得用户同意的情况下,获取诸如“电话、定位、读取短彩信、读取联系人、修改系统设置”等各种权限。
江苏省消保委认为,作为搜索及浏览器类应用,上述权限并非提供正常服务所必须,已超出合理的范围。
关于APP可能不当调用或使用智能手机应用或功能权限问题,一直是一个老的问题,也是一个事关每一个手机用户个人安全和个人信息安全的核心问题。
2016年2月(春节期间),有报道称,有用户发文表示,“支付宝版每隔X分钟(服务器指定)会在后台摄像头拍照,录音X秒,然后上传到服务器上,同时也会有通讯录,通话记录,附近基站和WiFi等信息。”
并对所谓的“每隔X分钟会在后台摄像头拍照、录音X秒”说法,给予强烈回应,指称是毫无根据的,申请摄像头权限不等于实际启动摄像头。
与此同时,支付宝还特别强调,支付宝只申请业务需要的权限,不会做额外的信息采集和后台操作,更不会、泄露任何用户隐私信息。
2017年12月,因为360智能摄像机关联水滴直播服务,可将主要用于安防场景的智能摄像机简单设置用于直播,也引发了社会的广泛关注和对个人信息泄露的担忧。
但从APP权限调用到智能硬件功能延展,相关厂商可以在何时何种场景收集何种信息?相关硬件可以在何时何种场景何种授权下可以用做它途?
2017年7月,江苏省消保委结合手机应用消费者个人隐私情况,对涉及视听应用、图文阅读、金融支付、旅游出行等用户较多且具有一定代表性的27家手机软件所属企业进行调查和约谈。
2017年7月4日,江苏省消保委向百度发送《关于手机应用程序获取权限问题的调查函》,要求其就旗下“手机百度”、“百度浏览器”等两款手机软件存在的相关问题派员前来接受约谈。经过两次约谈,百度方面没有实质性整改,“江苏省消保委”以百度为被告提起民事公益诉讼,目前已获立案。
对此,百度方面在接受采访时称,已经获悉江苏省消保委提起诉讼一事。不过,百度表示,在个人信息方面,百度与江苏省消保委“立场和根本出发点是一致的”。
据称,在过去几个月间,百度与江苏省消保委就手机应用产品的隐私和用户权限管理机制问题,进行了多轮沟通,对江苏省消保委方面的疑问进行了说明和。
百度说明了各项权限的使用场景,并强调百度相关应用获取地理、短信、通讯录等授权“都是在合理使用范围内”,且会弹窗提示用户是否授权使用权限,“如果用户不授权则百度不会使用该权限,而用户授权使用之后也随时可以自主选择关闭相应权限”。
而对于备受关注的被指 “电话”一事,百度称,旗下手机应用“没有能力、也从来不会”申请这一权限。
《网络安全法》第二十二条,网络产品、服务具有收集用户信息功能的,其提供者应当向用户并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行规关于个人信息的。
简单说,根据相关法律,各类APP等网络服务提供者在业务活动中收集、使用个人电子信息,应当遵循“、正当、必要的原则”、“收集、使用信息的目的、方式和范围”、“并经被收集者同意”等。
而根据2015年7月1日实施的《移动智能终端应用软件(APP)预置和分发管理暂行》相关,
1)在权限调用方面,“移动智能终端应用软件必须符合相关标准要求,不得调用与所提供服务无关的终端功能”;
3)在规则方面,“应通过用户提示、企业网站等方式所提供移动智能终端应用软件的信息,包括名称、功能描述、卸载方法、开发者信息、软件安装及运行所需权限列表等,明确告知用户应用软件收集、使用用户个人信息的内容、目的、方式和范围等。”
但如何监督和落实“不得调用与所提供服务无关的终端功能”,也就是如何落实“权限调用”适当性、必要性和授权性问题,是一个现实难题。
现在消费者协会或消保委的介入,给此类问题的解决提供了一种解决径,一方面,超范围的权限调用一定是损害用户权益的,另一方面,监管监督时,到底是前置准入、检测、测试防控,还是安装后使用过程中,动态监测,本身都是难题所在。
在硬件层面,那些软件可以启动相关硬件功能,比如启动录音、拍摄、通话等,涉及相应的权限管理或启动管理设置。
在系统方面,非系统软件的各类APP,在调用智能手机硬件使用功能时,其场景如何规范和,比如,APP后台运转时不得调用录音、拍摄、通话功能等。
可以说,对于规范APP对智能手机各种涉及用户隐私或个人信息的权限调用监督和管理,需要多层面共同发力,包括:
首先,亟待进一步健全和完善相关法律法规,明确界限或底线。现在很多APP都有调用用户通讯录的权限,这些APP有些是资讯分发类的,但是,通过调用通讯录,以手机号码为注册用户识别机制,在APP端显示其好友注册情况。
但是,值得注意的是,这种通讯录权限调用,是在安装APP时,笼统性的获得用户许可,或用户不许可无法软件,但在其匹配注册用户关系与用户通讯录关系时,并未再次提示或获得授权。
其三,手机厂商也不应该缺位。应在手机系统中提供隐私防火墙,用户的隐私。或者对APP权限调用管理说明,予以更加具体、清晰的说明,包括权限管理和权限调用场景识别等。
最后,也需要包括类似消费者协会在内的各类权益组织及监管部门或个人,加大对不当调用智能手机权限的APP的、力度,并适时启动相应法律责任的追究。