近日,工业和信息化部信息通信管理局网站发布了《关于侵害用户权益行为的App通报(2020年第一批)》(以下简称《通报》),当当、大街、WiFi管家、e代驾、知乎日报等16款App被点名。此前,工业和信息化部曾于2019年12月和2020年1月分别公开了两批存在侵害用户权益的App(共56款),并下架3款逾期未整改App。
《通报》显示,侵权行为包括违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限和为用户账号注销设置障碍等。其中,不合理索取用户权限是主要形式,包括过度索取权限、不给权限不让用和频繁申请权限。
权限内容五花八门
越界索权相当普遍
《法制日报》记者从网信办网站获悉,截至2019年12月末,国内市场上监测到的App数量为367万款,我国第三方应用商店在架应用分发总量达到9502亿次。
“应用想要获取您的位置、联系人、相机权限……”下载一款新App后,打开软件时通常都会出现请求获取权限的相关内容。常见的应用权限包括存储权限、位置权限、通讯录权限、短信权限、相机权限、麦克风权限、日历权限等。
一些用户权限的获取能够保障App的正常使用。例如,导航软件需要获取位置权限来定位帮助导航,修图软件需要获取相机权限来使用特定照片,语音通讯软件需要获取麦克风权限和相机权限支持语音和视频通话。
部分用户权限的获取能够帮助App使用更加便利。例如,社交软件可以通过获取通讯录权限发现更多联系人,需要通过短信验证的App获取短信权限能够自动填写验证码等。但是,还有部分用户权限的获取并不合理。
手机用户张先生告诉《法制日报》记者,他下载一款社交App后,被要求获取包括位置、通讯录、短信、相机、相册、视频、麦克风等10多项权限,很多都涉及隐私,但若不授权则无法使用该软件,让他感到困惑。
手机用户赵女士说,在使用一款视频App时,虽然用不到通讯和定位,但该软件还是要求获得拨打电话的权限和位置权限。
以“索取用户权限”为关键词在百度首页搜索,各大网站和论坛都有大量相关讨论。
5月15日,信息通信管理局网站发布了《通报》,16款App被点名。其中,当当、e代驾、千千音乐、惠租车、电视家、彩视、七猫免费小说、WiFi管家、大街和哎呦有型存在不合理索取用户权限行为。
《法制日报》记者下载“惠租车”App进行试验,发现弹出了“‘惠租车’想给您发送通知”弹窗,之后是“允许‘惠租车’使用无线数据”弹窗,再之后是在使用前提醒阅读《使用条款》和《隐私政策》弹窗,此处只能选择“同意,继续使用”和“不同意,退出”。
中国传媒大学文法学部法律系副主任郑宁告诉《法制日报》记者,一般来说,App安装和使用过程中,只能对一些必要的权限征求使用人的同意。在使用安卓系统的手机中,有以下几个权限最常被调取,其一是“读取已安装应用列表”,借此可以了解和分析用户的使用习惯;其二是“读取本机识别码”,主要用来确定用户的身份;其三是“读取位置信息”,通过获取位置,搜集用户的活动范围,例如导航类软件就必须调取这一权限。
“手机App收集的信息若与其提供的服务无关,则构成越界索权。”郑宁说。
若不授权无法使用
用户只能被迫接受
应用权限作为收集手机用户个人信息的最直接方式,一旦同意特定用户权限的使用,那么个人信息将随时可能被获取,不利于个人隐私的保护。
中国人民大学网络与移动数据管理实验室孟小峰教授团队发布的《2019年度中国隐私风险指数分析报告》显示,2019年度App平均安装量同比增长14.81%,用户平均权限数据泄露量同比增长15.46%。当前中国用户的个人隐私泄露风险并没有得到有效控制,仍在大幅提升,而总体的隐私增长率与用户平均App安装量和用户平均权限数据泄露量呈正相关。
该团队在2018年发布的《中国隐私风险指数分析报告》曾指出,目前App的各类权限接近40个,但大部分权限跟App实现功能的正常需求并不匹配。
在《通报》中可以看到,对于用户权限的不合理索取包括不给权限不让使用、过度索取权限。此外,频繁申请权限也属于对用户权限的不合理索取。
从App开发者角度而言,获取用户权限能够在大数据的支撑下为用户提供更精准的“定制”服务。因此,为吸引用户和挖掘用户需求,申请和使用系统权限收集个人信息来对用户信息进行分析,成为大数据和互联网时代的一种常态。
然而,部分开发者和商家受商业利益的驱使,会不合理索取用户权限,侵犯用户的隐私权。
一位App服务提供者告诉《法制日报》记者:“大数据时代,当然是获取的权限越多,搜集到的个人信息就越多。”他以手机听筒权限为例,用户在聊天时谈及最近想购买的物品后,App通过听筒获取该信息后,可以在用户使用时推送相应的广告。
手机中存放的用户的账号密码、联系人名单、照片视频等,如果被App不合理获取用户权限,将面临被“数据劫持”的风险。以获取联系人为例,在联系人信息泄露的同时,用户和相关联系人都可能会收到骚扰电话、垃圾短信,甚至可能在数据被恶意泄露后面临诈骗和勒索。
值得注意的是,北京市消协的调查问卷显示,有41.16%的人在安装或使用手机App前从来不看授权须知。中消协发布的《App个人信息泄露情况调查报告》也显示,“不授权就没法用”是受访者“从不阅读”的最主要原因。
根据调查结果,在占比26.2%从不阅读应用权限和用户协议或隐私政策的受访者中,选择从不阅读的原因,主要是因为不授权就没法用,只能被迫接受(占比61.2%)。
对此,北京大学信息科学技术学院副教授陈江认为,这一方面是因为部分用户不了解应用权限对于个人隐私权利的重要性;另一方面,在很多情况下,如果用户不提供权限,App就直接退出或自动停止服务。
亟须完善法律规范
保护公民信息安全
网络安全法明确规定,要加强对个人信息保护,规定网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。不能收集与其提供的服务无关的个人信息,也不能违反法律规定或与用户的约定收集、使用个人信息。
2019年1月25日,《关于开展App违法违规收集使用个人信息专项治理的公告》发布,决定自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。此后,为落实该公告的部署,相关部门成立了App专项治理工作组。
此后,《互联网个人信息安全保护指南》《App违法违规收集使用个人信息行为认定方法》《信息安全技术个人信息安全规范》《电信和互联网行业提升网络数据安全保护能力专项行动方案》等陆续印发,对App违法收集个人信息行为进行了认定和治理。
《法制日报》记者梳理发现,为了加强个人信息保护,2019年至今,《移动互联网应用程序(App)收集个人信息基本规范(草案)》《数据安全管理办法(征求意见稿)》《个人信息告知同意指南(征求意见稿)》《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》等也相继发布。
中国人民大学法学院教授杨立新认为,目前,侵害公民个人信息构成犯罪的才能够追究其刑事责任,但对于一般侵权行为仍然制裁不力,应该采取更具体的立法措施,对侵害个人信息的行为认定为侵权行为,追究其损害赔偿责任。
北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心秘书长吴沈括同样认为须加强和完善立法,“虽然刑法对个人信息保护力度较强,但相关前位法立法缺失,关于个人信息保护的法规较为零散,因此个人信息保护法、数据安全法的出台刻不容缓”。
吴沈括说,不良网络运营者是用户信息安全的重大威胁,应针对这些运营者制定、实行有效的监管措施,并提高威慑网络运营者的惩处力度,才能从源头上遏制危害公民信息安全的行为。此外,用户也应重视个人信息安全,提高信息安全意识,增强个人信息保护能力。
来源:法制日报-法制网
igatures: normal; font-variant-caps: normal; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial">十七、吕梁山区内有下列情形之一的村庄应当进行整村搬迁:
(一)地质灾害频发的村庄;
(二)区位偏僻,交通不便,生产生活条件恶劣的村庄;
(三)采矿沉陷区;
(四)按照有关规划、规定应当搬迁的其他村庄。
吕梁山区内设区的市、县(市、区)人民政府应当用好城乡建设用地增减挂钩政策和搬迁人口宅基地腾退拆除奖补政策资金,促进土地全面复垦和充分利用。
旧村宅基地拆除复垦后,主要实施生态修复。易地扶贫搬迁应当优先复垦为耕地,鼓励当地优先发展经济林,增加农民收入,推进生态建设与脱贫攻坚互促双赢。按照“宜耕则耕、宜建则建、宜林则林”原则开发利用旧村宅基地,并确权到户,依法赋予搬迁农户相应的承包经营权。高度重视深度贫困自然村整体搬迁后的资源利用,盘活使用承包地、林地和宅基地。适宜旅游开发的旧村住房,经县(市、区)人民政府审核批准,可以结合搬迁后续发展,实施改造提升,发展乡村旅游。
吕梁山区内县(市、区)人民政府应当在集中搬迁区发展劳动密集型产业,鼓励组建加工企业、车间,增加环卫、园林等公益岗位,促进搬迁农民就业。
十八、吕梁山区内设区的市、县(市、区)人民政府应当坚持自然生态和历史文化资源有效保护与科学利用相结合,大力实施黄河文化遗产系统保护工程,深入挖掘历史文化底蕴,推动黄河文化遗产保护和活态传承;着力锻造黄河旅游板块,加快旅游公共服务设施建设,打造黄河文化旅游目的地。
吕梁山区内设区的市、县(市、区)人民政府及其有关部门应当加强对吕梁精神等革命精神的挖掘,开展红色文化遗址及相关文物资料文化内涵、历史价值的研究,编纂、出版、制作红色文化知识读本、理论书籍、影视作品,推进数字化保护利用。将红色文化遗址的利用纳入本行政区域旅游发展规划,加强基础设施和生态建设,发展红色旅游。
十九、省人民政府应当加大对吕梁山区光伏发电的支持力度,优先安排并网发电。
吕梁山区内光照条件好的国家扶贫开发工作重点县,应当采取贫困村闲置土地建设村级电站,农户住宅屋顶建设户用电站,荒山荒坡建设集中式电站,养殖园区和设施蔬菜大棚等建设农光互补电站等多种形式,推进光伏扶贫工程。
省级切块扶贫资金、其他涉农资金,可整合用于光伏扶贫项目建设资金投入。鼓励扶贫开发投资公司等社会投资主体参与光伏扶贫。
吕梁山区内设区的市、县(市、区)人民政府应当制定光伏扶贫收益管理办法,包括已建成集中扶贫电站和户用电站的收益分配管理。
二十、省人民政府应当加大“吕梁山护工”培训就业支持力度。加强对外沟通协调,开拓护工用工市场,加强护理职业教育培训,提高劳务输出组织化程度,打造“专业培训、优质服务、诚信勤劳”的“吕梁山护工”等区域公用品牌。
吕梁山区内县(市、区)人民政府应当统筹上级补助和本级预算安排的专项资金,实施“吕梁山护工”培训就业计划。对建档立卡贫困人口中有培训就业意愿的劳动力开展精准培训,减免培训费用,在安排培训、推荐就业、获得职业技能证书、培训资金补助等方面给予倾斜支持,实现精准扶贫。
对于退耕还林还草的农民,支持其参与水利设施修建、土地综合整治等生态保护和修复工程,鼓励发展特色经济林、林下种养殖、森林旅游康养等生态产业,促进其就近就业。
完善地方公益林补偿制度,合理设置护林员岗位,科学划定管护责任区,提高管护人员管林、造林的积极性。聘用管护人员,同等条件下当地贫困人口、林权权利人优先。
二十一、吕梁山区应当优化产业布局,加大农业产业链后端支持力度,大力发展精深加工、仓储物流、电商销售等产业,促进一二三产业融合发展,提升全产业链综合效益。紧密结合资源、人才和技术,积极培育优质龙头企业,推进大数据、新能源、新材料等现代产业发展。
二十二、吕梁山区生态保护和修复应当积极推进农村集体产权制度改革,全面完成清产核资、成员界定、资产量化、组织登记等工作,加快建立农村集体经济组织。对政府帮扶资金形成的集体生态资产应当折股量化到集体组织成员,增加农民资产性收益。引导农户将退耕还林、荒山造林形成的生态资产入股到集体经济组织,与企业、合作社等市场经营主体建立紧密利益联结机制,用现代企业经营方式提高生态资产效益,实现生态效益与农民资产性收益互利共赢。
二十三、吕梁山区内设区的市、县(市、区)人民代表大会常务委员会应当通过听取专项工作报告、开展执法检查等方式,加强对本决定执行情况的监督检查;充分发挥各级人大代表的作用,组织人大代表开展专项调研和视察活动,听取和反映人民群众的意见建议,督促政府和有关方面做好相关工作。
二十四、违反本决定规定,在实行禁牧、休牧的范围和期限内放牧的,由县级以上人民政府林业和草原主管部门责令停止放牧,给予警告,并对牲畜所有者处以每个羊单位十元罚款。
违反本决定规定,对不符合条件的土地整治项目进行立项、审批的,对直接负责的主管人员和其他直接责任人员,依法给予处分。
违反本决定规定,在吕梁山区内经营剧毒、高毒农药的,由县级以上人民政府农业农村主管部门责令停止经营,没收违法所得、违法经营的农药和用于违法经营的工具、设备等,违法经营的农药货值金额不足一万元的,并处五千元以上五万元以下罚款;违法经营的农药货值金额一万元以上的,并处货值金额五倍以上十倍以下罚款;情节严重的,由发证机关吊销农药经营许可证;构成犯罪的,依法追究刑事责任。
违反本决定规定,在吕梁山区内使用剧毒、高毒农药的,由县(市、区)人民政府农业农村主管部门责令改正,使用者为单位的,处五万元以上十万元以下罚款;使用者为个人的,处一千元以上一万元以下罚款;构成犯罪的,依法追究刑事责任。
违反本决定规定,进行采石、采砂、采矿或者其他活动,毁坏森林和草原或者造成水、土壤污染等,依照相关法律法规承担相应的法律责任。
二十五、有关国家机关工作人员在吕梁山区生态保护和修复工作中,滥用职权、玩忽职守、徇私舞弊的,依法给予处分;构成犯罪的,依法追究刑事责任。
二十六、本决定所称吕梁山区,范围包括:太原市的娄烦县,忻州市的忻府区、原平市、保德县、河曲县、静乐县、岢岚县、宁武县、偏关县、神池县、五寨县,吕梁市的离石区、方山县、交城县、交口县、临县、柳林县、石楼县、兴县、岚县、中阳县,临汾市的大宁县、汾西县、吉县、蒲县、隰县、乡宁县、永和县。
二十七、本决定自2020年7月1日起施行。
来源:山西日报