——本文系红网第五届全国大学生“评论之星”选拔赛参赛作品
据国家网络安全通报中心透露,又有100款违法违规采集个人信息的APP被查处整改。光大银行、考拉海购、微店等著名APP赫然在列。此次集中整改显著暴露出了市面上不少APP在刺探隐私方面的“不遗余力”——无隐私协议、收集使用个人信息范围描述不清、超范围及非必要采集个人信息......不一而足,却都触目惊心。(12月21日《工人日报》)
移动互联时代的大数据价值正日趋凸显,然而稍加梳理即可发现,许多APP借收集数据之名,不断刺探获取用户隐私的边界。
2018年7月,“大众点评”APP的“展示好友去过的餐厅”功能遭投诉火速下线,一月未过,搬运用户小红书评论的隐私泄露案再度上场;2019年9月,“航旅纵横”APP的“虚拟客舱”功能,乘客可随意查看同一航班其他乘客的历史飞行地点与频率等信息,更有用户收到骚扰信息,“被迫社交”;更不谈2018年5月就曾引起轩然大波的滴滴顺风车的车主乘客互评功能,人未上车司机就已知晓你“颜值几何”......
个人隐私频频失守的背后,APP索取用户信息的边界究竟在何处?其实我国早有探索。
网络安全法第41条规定就已指出:网络运营者收集、使用个人信息,应当尊遵循合法、正当、必要的原则,公开收集、使用规则......并经被收集者同意;不得收集与其提供的服务无关的个人信息。但何谓“必要”,何谓“最少够用”,尚未指明。但2019年6月全国信息安全标准化技术委员会发布的《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》则给出了更为清晰的界定:依据个人信息最少够用原则,以基本业务功能划分了16类APP,给出了每项业务功能相关的必要信息范围,即一旦缺少则会导致基本功能无法实现的信息。这是对APP索取用户信息的原则细化,也吹响了我国对行业不正之风动真格的责任明确的号角。
不是地图软件则不该收集位置信息,没有社交功能则无需读取通讯录,APP获取用户信息的权利边界按理已然清晰,但规范颁布以来,各APP刺探隐私的不正之风仍屡禁不止。背后原因,恰在于我国隐私保护的规范缺乏法律效力。以上国家标准属于推荐性范围,没有强制约束力。监管部门在监管时可以作为参考,但具体操作程序中仍存在大量空白。
规范仅为推荐,自然难以遏制在刺探用户隐私以获取巨大利益的众多APP“大佬”。2019年12月19日,工业与信息化发布的“关于侵害用户权益行为的APP”名单中,QQ、小米金融等41款APP遭通报。值得注意的是,它们至少错过了两次“改过自新”的机会,无论是在工信部推进的前期的自查自纠,还是后期的监督检查阶段。因为缺少必要的规范监管高压机制,此批APP得以偷奸耍滑,持续对用户耍隐私的流氓。
网络安全法第64条规定的罚则包括:没收违法所得、罚款等,情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。试想,如果以上处罚皆实实在在地落地,APP们想必也会收回那刺探隐私的第三只手了吧。
规范不能只印在纸面上,监管更不能浮在水面上。为矫正行业风气,既需要明确权力边界的规范准则,需要阶段性的专项行动,更需要常态化的有力执法。只有大幅提高侵权的代价,才能让习惯于野蛮生长的APP学会遵守规矩、尊重用户。在APP刺探隐私“手”伸太长的当口,规范监管,刻不容缓。
文/沈芯羽(华中科技大学)