周觀察|金融類APP侵害使用者權益何時休
來源 | 周觀新金融 作者 | 周公子
提高個人資訊保護覺悟靠大家。
資料安全問題,自去年到現在都是大家熱議的焦點。7月24日,工信部再次通報了一批侵害使用者權益的APP名單,這已經是自5月來通報的第三批了,其中不乏天弘基金、小鵝花錢(微眾銀行小程式)、華夏基金管家、博時基金、買單吧(交通銀行信用卡APP)等知名金融企業的APP。根據工信部要求,這些APP必須在7月30日之前完成整改,否則將開展相關處置工作。
值得一提的是,稍微留意這些APP所涉及的問題,我們會發現這幾乎是各類APP應用的“通病”:超範圍收集個人資訊、私自手機個人資訊、賬號登出難、私自共享資訊給第三方、不給許可權不讓用、強制使用者使用定向推送功能、過度索取許可權……
是不是似曾相識?是不是也曾深受其擾?
相信工信部通報的這批名單,只是第三批,而不是最後一批。有此類問題的APP實在是太多了。
很多APP是在你安裝的時候,就給你選項授權採集包括地理位置、安裝列表,金融類則通常還涉及通訊錄、通話記錄等敏感資訊。此前,關於資料採集邊界的問題,我們也曾在歷史文章中探討過,多數業內人士都認為,現有的APP資料採集其實並非全出於本身服務需要,這些APP背後的企業之所以想方設法採集有關無關的資料,主要目的是為了業務延伸。
借用一位資料安全行業資深從業者的話:有的APP,不僅超範圍採集資料,還需要強制授權抓取相關資料,使用者不同意就無法使用,這其實比PC時代的強制彈窗還流氓。
這種行業亂象何時休?所幸,從去年始於魔蠍科技等企業的大資料行業風波,到今年315被央視點名的SDK問題,再到近期工信部分批點名通報,資料安全亂象終於被推至臺前,真正引起大家重視。
01
積極訊號與監督難點
7月24日,與第三批侵害使用者權益APP通報同日下發的,還有《工業和信用化部關於開展縱深推進APP侵害使用者權益專項整治行動的通知》(下簡稱《通知》),列出了明確的整治目標:加強監督檢查,督促相關企業強化APP個人資訊保護,及時整改消除違規收集、使用使用者個人資訊和騷擾使用者、欺騙誤導使用者、應用分發平臺管理責任落實不到位等突出問題,淨化APP應用空間。2020年8月底前,上線執行全國APP技術檢測平臺管理系統,12月10日前完成覆蓋40萬款主流APP檢測工作。
《通知》明確的整治人物也非常全面,包括APP、SDK違規處理使用者個人資訊方面;設定障礙、頻繁騷擾使用者方面;欺騙誤導使用者方面;應用分發平臺責任落實不到位方面。
雖然《通知》給了消費者一劑強心針,但從實際操作層面來看,資料安全管理涉及的“邊界”問題,往往難以精準把握,這也是為何近年來安全計算迅速在業內走紅的原因。
舉個人話版例子:
根據《資訊保安技術 移動網際網路應用(APP)手機個人資訊基本規範》(草案),企業收集個人資訊應遵循“最少資訊”原則,但具體到操作層面,什麼才是“最少”?
以金融借貸類的最少資訊收集範圍為例,很多企業的收集範圍顯然是超出上述範圍的。經過工信部這一輪專項整治後,不少企業應該會有所收斂,但不少企業條款依然有“概括性”表述,消費者對這類偏向概括授權的條款防不勝防,陷入被動。如某些APP“可獲得您聯絡人的相關資訊”的表述,即屬於概括性表述。具體是指多少相關聯絡人?是包含整個通訊錄的聯絡人,還是僅僅是兩個緊急聯絡人?這裡的差距就很大了。
再舉個更行業的例子:
SDK廠商放在過去,是一個很吃香的所謂“大資料廠商”,這些服務大體上包括:通知類SDK、埋點日誌類SDK、遊戲語音類SDK、驅動類SDK、智慧識別類SDK、裝置指紋SDK、支付SDK等。
APP應用的迅速鋪開,SDK有不小貢獻。但是,SDK廠商如果只靠賣SDK,盈利能力是有限的,所以很多SDK廠商都會有關聯的大資料公司,做資料類的增值業務。
這就涉及中間截留資料的問題,而SDK廠商能不能中間截留資料?這在業內看來,一直沒有太明確的界限。SDK本身並不是一個完整的軟體服務,使用者更多的情況下其實對此是未知和陌生的。
舉例來說,使用者下載了應用市場上的某個APP,提示授權抓取地理位置等資料,對使用者來說,只會意識到自己的手機資料被這個APP抓取。但是實際情況則是,這個APP採集資料用的很可能是第三方的SDK,比如埋點用A的、PUSH用B的、裝置指紋用C的……
那麼,問題就來了,ABC三者是否有許可權來快取這個過程中抓取的使用者資料呢?如果快取了,是否在授權協議裡面有明示?如果授權明示快取了,是否可以用於該APP服務範圍的其他用途,這個過程又該如何規範管理?
02
你我都該提高警惕
羅馬總不是一天建成的,行業的規範發展也一樣,都是邊發展邊規範。
從《網路安全法》到去年的《資訊保安技術 移動網際網路應用(APP)手機個人資訊基本規範》(草案)公開徵求意見,再到各部位聯合下發的《APP違法違規收集使用個人資訊行為認定方法》、《移動網際網路應用程式(APP)收集使用個人資訊評估指南》等檔案來看,足見監管規範行業發展的決心。
工信部在近日掛出的整治通知,還有個細節不容忽視:提醒消費者關於個人資訊保護的投訴,也有明確投訴路徑:中國網際網路協會應透過網際網路資訊服務投訴平臺()或12321舉報中心接受群眾投訴,及時彙總處理使用者反映的相關問題。
正所謂,資訊化時代是我家,環境靠大家。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69969060/viewspace-2708263/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 工信部回應APP侵害使用者權益:垃圾應用氾濫成災誰之過APP
- 11月第1周業務風控關注 |工信部啟動App侵害使用者權益專項整治工作 12月20日是大限APP
- 工信部通報2020年第一批侵害使用者權益行為APPAPP
- 哈囉出行踩資料紅線被點名,侵犯消費者權益何時休?
- 5月雙週易盾業務風控關注 | 工信部通報下架90款侵害使用者權益APPAPP
- 工信部通報38款侵害使用者權益的APP | 俄羅斯對保加利亞發起網路攻擊APP
- 從影視劇到遊戲,短視訊侵權亂象何時休?遊戲
- “大資料殺熟”對消費者權益有哪些侵害?中消協解答大資料
- 何時使用static類(工具類)
- App Annie休閒手遊觀察:派對主題遊戲正在崛起APP遊戲
- 《經濟學人》:債務抵稅扭曲經濟執行何時休
- 今日頭條、攜程等網際網路平臺非法蒐集使用者資訊,洩露使用者ID何時休
- 出海休閒遊戲何時誕生下一個領頭羊?遊戲
- 第2周專案3-時間類(1)
- 第2周專案3-時間類(2)
- 京東金融App收集使用者敏感資訊?致歉來了APP
- 會員權益-新功能釋出:定時釋出博文
- 時間管理類APP分析:拇指時間APP
- 「看圖」誰想幹掉誰?程式語言相愛相殺何時休
- 常見會計科目及詳細註釋二(負債類、所有者權益類)
- io類遊戲觀察報告(一):遊戲描述和使用者畫像遊戲
- 何時用 struct?何時用 class?Struct
- 何時線性迴歸,聚類或決策樹?聚類
- 京東金融 APP 竊取使用者照片?它到底想幹嘛?APP
- 周權重指數計算方式
- 技術分享 | 何時需要手動重新整理授權表
- 友盟:4G 使用者非 WiFi 聯網時都愛用哪類 App ?WiFiAPP
- 為何SYSTEM使用者可以將V$SESSION的查詢許可權賦權給其他使用者而SYS使用者卻不可以?Session
- 何時抽象抽象
- 抖音再出超休閒遊戲爆款,“錢景”幾何?遊戲
- 2021網安周·上海站|聚焦金融行業網路安全 綠盟科技亮相上海網安周金融分論壇行業
- App Annie:交友類 App 使用者支出三年增加 190%APP
- 網路辱罵侵害名譽權 被告判賠1元精神損失費
- 企查查控訴天眼查竊取資料,資料服務不當競爭何時休?
- 海外休閒遊戲關鍵指標解析及趨勢變化觀察遊戲指標
- 休閒遊戲出海熱門方向觀察與廣告變現調優策略遊戲
- 遊戲消費者權益保障調查報告: “未成年人遊戲時間限制”成使用者最關注點遊戲
- 留給人類的時間不多了?現在不學機器學習更待何時!機器學習