周觀察|金融類APP侵害使用者權益何時休

鐳射財經發表於2020-07-31

周觀察|金融類APP侵害使用者權益何時休

來源 | 周觀新金融 作者 | 周公子 

提高個人資訊保護覺悟靠大家。

資料安全問題,自去年到現在都是大家熱議的焦點。7月24日,工信部再次通報了一批侵害使用者權益的APP名單,這已經是自5月來通報的第三批了,其中不乏天弘基金、小鵝花錢(微眾銀行小程式)、華夏基金管家、博時基金、買單吧(交通銀行信用卡APP)等知名金融企業的APP。根據工信部要求,這些APP必須在7月30日之前完成整改,否則將開展相關處置工作。

值得一提的是,稍微留意這些APP所涉及的問題,我們會發現這幾乎是各類APP應用的“通病”:超範圍收集個人資訊、私自手機個人資訊、賬號登出難、私自共享資訊給第三方、不給許可權不讓用、強制使用者使用定向推送功能、過度索取許可權……

是不是似曾相識?是不是也曾深受其擾?

相信工信部通報的這批名單,只是第三批,而不是最後一批。有此類問題的APP實在是太多了。

很多APP是在你安裝的時候,就給你選項授權採集包括地理位置、安裝列表,金融類則通常還涉及通訊錄、通話記錄等敏感資訊。此前,關於資料採集邊界的問題,我們也曾在歷史文章中探討過,多數業內人士都認為,現有的APP資料採集其實並非全出於本身服務需要,這些APP背後的企業之所以想方設法採集有關無關的資料,主要目的是為了業務延伸。

借用一位資料安全行業資深從業者的話:有的APP,不僅超範圍採集資料,還需要強制授權抓取相關資料,使用者不同意就無法使用,這其實比PC時代的強制彈窗還流氓。

這種行業亂象何時休?所幸,從去年始於魔蠍科技等企業的大資料行業風波,到今年315被央視點名的SDK問題,再到近期工信部分批點名通報,資料安全亂象終於被推至臺前,真正引起大家重視。

01

積極訊號與監督難點

7月24日,與第三批侵害使用者權益APP通報同日下發的,還有《工業和信用化部關於開展縱深推進APP侵害使用者權益專項整治行動的通知》(下簡稱《通知》),列出了明確的整治目標:加強監督檢查,督促相關企業強化APP個人資訊保護,及時整改消除違規收集、使用使用者個人資訊和騷擾使用者、欺騙誤導使用者、應用分發平臺管理責任落實不到位等突出問題,淨化APP應用空間。2020年8月底前,上線執行全國APP技術檢測平臺管理系統,12月10日前完成覆蓋40萬款主流APP檢測工作。

《通知》明確的整治人物也非常全面,包括APP、SDK違規處理使用者個人資訊方面;設定障礙、頻繁騷擾使用者方面;欺騙誤導使用者方面;應用分發平臺責任落實不到位方面。

雖然《通知》給了消費者一劑強心針,但從實際操作層面來看,資料安全管理涉及的“邊界”問題,往往難以精準把握,這也是為何近年來安全計算迅速在業內走紅的原因。

舉個人話版例子:

根據《資訊保安技術 移動網際網路應用(APP)手機個人資訊基本規範》(草案),企業收集個人資訊應遵循“最少資訊”原則,但具體到操作層面,什麼才是“最少”?

周觀察|金融類APP侵害使用者權益何時休

以金融借貸類的最少資訊收集範圍為例,很多企業的收集範圍顯然是超出上述範圍的。經過工信部這一輪專項整治後,不少企業應該會有所收斂,但不少企業條款依然有“概括性”表述,消費者對這類偏向概括授權的條款防不勝防,陷入被動。如某些APP“可獲得您聯絡人的相關資訊”的表述,即屬於概括性表述。具體是指多少相關聯絡人?是包含整個通訊錄的聯絡人,還是僅僅是兩個緊急聯絡人?這裡的差距就很大了。

‍再舉個更行業的例子:

SDK廠商放在過去,是一個很吃香的所謂“大資料廠商”,這些服務大體上包括:通知類SDK、埋點日誌類SDK、遊戲語音類SDK、驅動類SDK、智慧識別類SDK、裝置指紋SDK、支付SDK等。

APP應用的迅速鋪開,SDK有不小貢獻。但是,SDK廠商如果只靠賣SDK,盈利能力是有限的,所以很多SDK廠商都會有關聯的大資料公司,做資料類的增值業務。

這就涉及中間截留資料的問題,而SDK廠商能不能中間截留資料?這在業內看來,一直沒有太明確的界限。SDK本身並不是一個完整的軟體服務,使用者更多的情況下其實對此是未知和陌生的。

舉例來說,使用者下載了應用市場上的某個APP,提示授權抓取地理位置等資料,對使用者來說,只會意識到自己的手機資料被這個APP抓取。但是實際情況則是,這個APP採集資料用的很可能是第三方的SDK,比如埋點用A的、PUSH用B的、裝置指紋用C的……

那麼,問題就來了,ABC三者是否有許可權來快取這個過程中抓取的使用者資料呢?如果快取了,是否在授權協議裡面有明示?如果授權明示快取了,是否可以用於該APP服務範圍的其他用途,這個過程又該如何規範管理?

02

你我都該提高警惕

羅馬總不是一天建成的,行業的規範發展也一樣,都是邊發展邊規範。

從《網路安全法》到去年的《資訊保安技術 移動網際網路應用(APP)手機個人資訊基本規範》(草案)公開徵求意見,再到各部位聯合下發的《APP違法違規收集使用個人資訊行為認定方法》、《移動網際網路應用程式(APP)收集使用個人資訊評估指南》等檔案來看,足見監管規範行業發展的決心。

工信部在近日掛出的整治通知,還有個細節不容忽視:提醒消費者關於個人資訊保護的投訴,也有明確投訴路徑:中國網際網路協會應透過網際網路資訊服務投訴平臺()或12321舉報中心接受群眾投訴,及時彙總處理使用者反映的相關問題。

正所謂,資訊化時代是我家,環境靠大家。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69969060/viewspace-2708263/,如需轉載,請註明出處,否則將追究法律責任。

相關文章