核心提示:下载APP,有多达二三十项提示,要求你选择,你若都同意,那么,APP不仅知道你所有的联系人,还知道你所有的通话,所有收发的短信、彩信……,你差不多成了透明人。

5月下旬,《欧盟通用数据保护条例》正式实施。该条例对公司采集、使用、管理“自然人享有的个人数据”,作出了极其严格的规定,违反者最高可处以2000万欧元或上年度全球总营业额4%的罚款!(两者择其高者处罚) 这个被称为“史上最严”的条例对中国互联网公司似乎没有任何触动,滥采滥用个人数据行为似乎没有任何收敛。拿APP来说,各种各样的APP对个人数据的随意采集、使用,没有任何改变。

 APP们在索取哪些个人信息?

当我们下载一个手机应用(即APP,下文也称“客户端”)时,有多少个人信息被客户端软件索取了?下载客户端时,软件会提示需获得某项授权,提示的授权项目不多,但当你下载后,许多授权被设置为默认。各个客户端要求用户授权的项目多寡不一,少的仅数项至十来项,多的近30项。以本人使用的安卓手机下载的客户端为例,最多的授权项目包括:

一般项目:存储、位置、日历、电话、相机、短信、通讯录、麦克风。

单项权限:读取短信/彩信、接收短信、发送彩信;拨打电话、读取通话记录、新建/修改/删除通话记录;读取本机识别码;读取(通讯录)联系人、新建/修改/删除联系人;读取日历、新建/修改/删除日历;

其他权限:调用摄像头、启用录音、读取位置信息、使用呼叫转移、读取运动数据、读取已安装应用列表、创建桌面快捷方式、悬浮窗。

值得注意的是,在近20项“单项权限”和“其他权限”屏幕的最上方,有“信任此应用”的按钮,如果你信任它,就同意了“允许此应用申请的所有权限”!

这些授权项有着怎样的含义?每一项意味着授权采集、使用哪些个人信息?相信很多人都不甚明白。

使用一个客户端,需要把那么多个人信息授权给客户端软件使用吗?换句话说,客户端提供最基本的信息服务,必须获取这么多用户信息吗?

本人从来都不慷慨地授予这些权限,只是每下载完一个客户端后,都非常麻烦,需要通过“设置”找到“权限管理”,保留最基本的授权,关闭掉其他全部授权。

哪些是最基本的或者说必须的授权?一开始并不很大清楚,经过摸索尝试,发现最基本的为:存储、读取本机识别码、接收短信等。至于地理位置授权,有些客户端软件是必须的,如天气、地图、导航类。读取运动数据授权,则看你是否需要它的统计,如步行数据。至于相机、麦克风、电话的授权,可有可无,只有你与APP管理方通电话、拍发照片才用得着。至于读取已安装应用列表,本人坚决关掉!它凭什么要知道我安装了哪些应用、如何使用这些应用?

对于“新建/修改/删除联系人”等项授权,一直不明白其含义,为什么要获得这些授权。最近请教了一位曾做过手机客户端开发的工程师。不问不知道,一问吓一跳。一些客户端软件太过分了!居然在许多用户不明白的情况下“骗取”了那么多的个人信息!看看吧:

授权“读取短信/彩信”,是让客户端软件可以读取用户所有用手机发送和接收到的短信/彩信!

授权“读取联系人”,是让客户端软件能够获取用户电话通讯录中的所有联系人信息(包括姓名、电话号码等等)。

授权“新建/修改/删除联系人”,就是让客户端软件在获取用户通讯录中的全部联系人信息后可以进行建档、修改、删除的处理。

授权“使用呼叫转移”,是让客户端软件知道用户是否使用呼叫转移,转移到(自)哪个电话号码。

授权“读取日历”及“新建/修改/删除日历”,是让客户端软件不仅可以获取用户手机日历上的各种记载而且还可以对这些记载进行建档、修改、删除的处理!

授权“读取安装应用列表”,是让客户端软件可以知道用户安装、删除了哪些客户端软件,甚至经常打开哪些软件、多长时间打开一次,每次浏览多长时间!

……

以上这些信息存储都在移动运营商的后台记录着。移动运营商因用户量太大,也许只保存几个月或半年,而这么多客户端都在申请用户授权,让其获得移动运营商后台的各种各样的个人信息数据!想想吧,如果用户同意所有申请的授权——清醒地同意或者稀里糊涂地同意,那用户使用手机过程中留下的巨量的各种个人信息都被存放于无数客户端软件之中了!

我们应该善良地想,这些客户端软件索取(骗取——说“骗取”是指在用户不明白的情况下索取到)那么多个人信息,不会向第三方、向公众泄露,仅仅是为了做大数据。为了准确地给用户“画像”,就需要尽可能多、尽可能全面地了解你,掌握你巨量的个人信息,这理由、目的似乎很高尚。但是,这些客户端给用户提供了这样的精准服务了吗?或者它告诉用户获取这些个人信息是要提供这样的服务吗?没有!有的客户端软件根本不可能提供这样的精准服务,而是别的客户端收集这样的信息,我也收集!那么始作俑者显然带了坏的头!

获取服务需要提交个人信息,让渡某些隐私,这是无疑的。社会管理需要获取个人信息,这无需多说。提供服务也需要获取个人信息。现代社会,服务社会化,互为服务现象普遍。你不提供某些个人信息,就无法对你提供服务。你在网上购物,让人送货上门,必须提供公司或家庭地址、联系电话、邮政编码等;你要获得地图、导航等服务,必须提供手机号码、位置信息等;你要进行健康、心理咨询,就必须提供病史等等信息;你要进行网上支付,就必须关联、绑定你的银行卡;你要获得精准的信息推送,那就需要让服务商尽可能多地了解你的工作、兴趣、爱好及种类网上阅读、浏览信息……。

但是,但是,但是——获取个人信息与提供的服务应是相对应的。这,我们国家的法律早就作出了明确的规定。

法律:明确目的与最少够用的原则

2012年11月颁布、2013年2月1日开始实施的《信息安全技术 公共及商务信息服务系统个人信息保护指南》规定了八项基本原则:目的明确原则、最少够用原则、公开告知原则、个人同意原则、质量保证原则、安全保障原则、诚信履行原则、责任明确原则。全面落实这八项基本原则,是网络服务保障隐私权的重要前提。不过,从当前的实际看,目的明确原则和最少够用原则,落实得最差。

何以见得?

看看《指南》是怎样规定的:

a)目的明确原则——处理个人信息具有特定、明确、合理的目的,不扩大使用范围,不在个人信息主体不知情的情况下改变处理个人信息的目的。

b)最少够用原则——只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息。

这里讲得很清楚明白:“处理个人信息具有特定、明确、合理的目的,不扩大使用范围”;“只处理与处理目的有关的最少信息”。

全国人大常委会2016年11月通过、2017年6月1日开始实施的《网络安全法》第四十一条明文规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”现实情况是,许多网络运营者除未坚持必要原则外,并未公开其“收集、使用规则”,并未明示其“收集、使用信息的目的、方式和范围”,只是笼而统之地说,你需要我的服务就需要授权使用这些个人信息!

我们回过头看看前述各类客户端软件申请用户授权的个人信息,大都未交代特定、明确、合理的目的,没明示使用信息的方式范围,没能坚持最少够用的原则,而是大大扩大获得个人信息的范围。那么多客户端软件要求用户授权这么多的个人信息——读取短信/彩信,读取通话记录、新建/修改/删除通话记录,读取(通讯录)联系人、新建/修改/删除联系人,读取日历、新建/修改/删除日历,使用呼叫转移,读取运动数据,读取已安装应用列表,等等,哪一个客户端软件公开了收集、使用这些信息的规则、目的?哪些客户端软件讲清楚了为用户提供最基本的浏览信息需要获取这么多的个人信息?哪个客户端软件明示了收集、使用这些个人信息目的、方式和范围?没有,都没有!

再看前段时间遭到网友质疑的知乎网站的《隐私政策》。《中国消费者报》公众号5月1日刊发题为《不交出隐私不给用!又一知名网络平台遭质疑,网友炸锅了》的文章。网友为什么炸锅?因为知乎《隐私政策》说:“当您注册知乎账号和使用我们的服务时,我们会根据您的同意和提供服务的需要,收集您的姓名、性别、年龄、个人资料照片或视频、身份证号、电话号码、电子邮箱、社交账号、身份验证信息、位置信息、和日志信息等个人信息”。粗看令人生气,完全不讲道理的霸道合同!但是,仔细分析,它是没按照法律要求,坚持目的明确、最少够用的原则,没有公开收集、使用规则,没有明示收集、使用的目的、方式和范围。

注册知乎账号,相当于注册一个自媒体账号,提供并验证身份证,提供电话、邮箱、照片等是法规要求的,必须的,但要求提供个人资料的视频、社交账号、日志信息,是否法规要求,是否坚持了最少、够用原则,就值得商榷了。还有“使用我们的服务”内涵与外延都不明晰。浏览知乎网站、不发贴,是否使用知乎的服务?如果是,浏览为什么要提供这么多个人信息呢?更令人不解的是,《隐私政策》还说:“您使用或继续使用我们的服务,即意味着同意我们按照本《隐私政策》收集、使用、储存、共享、转让和公开披露您的相关信息。”“收集、使用、储存”好理解,“共享、转让、公开披露”是什么意思?要与毫无关系的第三方共享吗?要转让给第三、第四方么?要随意“公开披露”吗?

在用户个人信息保护方面,用户永远是弱者。保护弱者是国家和法律的责任。看来,我国要从两个方面进一步努力,一是完善相关法律法规,借鉴《欧盟通用数据保护条例》,对采集、使用、管理个人数据的每一个环节、每一方面作出严格、具体规定,制定严惩措施,对违法公司,也可处以2000万甚至上亿元或全球营业额百分之几的罚款;二是执法,坚决、彻底地执行法规,不惜让违法者倾家荡产!