举一些处罚、约谈的例子吧……
上海市网信办对上海地区最常用的23个APP获取用户个人信息等相关权限申请情况开展抽查,发现其中约30%与所提供的服务没有对应关系,属于不合理范围。10月12日和15日,上海市网信办分别约谈了运营这些APP的23家企业,要求认真整改。
此次抽查主要针对基于Android平台的APP,将APP申请的权限分为三类,一是存在与之对应服务功能且不存在风险的“合理”权限,二是存在与之对应服务功能,但如被恶意利用会存在潜在风险的“合理但存在风险”权限,三是不存在与之对应服务功能的“不合理”权限。抽查所指的存在“风险”是指APP权限被恶意利用后可能产生的风险,有别于由APP存在漏洞而造成严重后果的技术性风险。限制APP向用户索取“不合理”权限,要求运营企业严格管控获得的“合理但有风险”的用户信息,能从源头上减少个人信息被泄露和被滥用的可能。
2017年12月11日,江苏省消费者权益保护委员会(以下简称“消保委”)就北京百度网讯科技有限公司涉嫌违法获取消费者个人信息提起消费民事公益诉讼。2018年1月2日,南京市中级人民法院已正式立案。
……
江苏省消保委称,“手机百度”、“百度浏览器”两款手机APP在消费者安装前,未告知其所获取的各种权限及目的,在未取得用户同意的情况下,获取诸如“监听电话、定位、读取短彩信、读取联系人、修改系统设置”等各种权限。作为搜索及浏览器类应用,上述权限并非提供正常服务所必须,已超出合理的范围。
根据消保委提供的消息,消保委已经于2017年11月约谈百度,在最终提交的整改方案中,百度对“手机百度”、“百度浏览器”中 “监听电话”、“读取短彩信”、“读取联系人”等涉及消费者个人信息安全的相关权限拒不整改。且未有明确措施提示消费者App所申请权限的目的、方式和范围并供消费者选择,因此才将百度告上法庭。
3月14日,江苏省消保委宣布,鉴于百度公司对APP整改到位,保障了消费者个人信息安全,本着节约诉讼成本和司法资源的原则,省消保委依法向南京市中级人民法院提交了《撤诉申请书》。3月 12日,南京市中级人民法院裁定,准予省消保委撤回起诉。
国家网信办网络安全协调局日前约谈了支付宝(中国)网络技术有限公司、芝麻信用管理有限公司有关负责人,要求切实采取有效措施,防止类似事件再次发生。
……
网络安全协调局负责人指出,支付宝、芝麻信用收集使用个人信息的方式,不符合刚刚发布的《个人信息安全规范》国家标准的精神,违背了其前不久签署的个人信息保护倡议的承诺;应严格按照网络安全法的要求,加强对支付宝平台的全面排查,进行专项整顿,切实采取有效措施,防止类似事件再次发生。
还有一些诉讼的例子,比如“刘瑞博与乐元素科技(北京)股份有限公司隐私权纠纷案”(进行中),原告认为:
……自原告下载并成功安装“开心消消乐”游戏后,首次打开运营之前,原告查看了所使用的华为手机设置中的权限管理功能,查看“开心消消乐”游戏权限,原告发现在首次使用前,该应用在未向原告进行任何告知、询问的情况下,开启了全部可授权的应用权限,包括“存储”、“位置”、“电话”、“相机”、“短信”、“通讯录”等,这种情况让原告感到十分震惊,相比其他APP的权限获取情况,原告尚未发现其他任何一款App会在首次运行前,未取得用户同意的情况下存在默认开启了全部应用程序权限的情况。更加严重的是,原告在首次启动运行应用时,同样没有任何授权弹窗提示,而直接可以进入游戏。当原告选择使用手机号登录游戏并进入主界面时,点击右下角图标选择小伙伴们进行添加好友,点击附近的玩家选项,游戏可自动推送附近的玩家账号,并可发送添加好友请求,由此可说明App己经获取了原告的位置信息。而这一切均发生在未向原告进行告知、未取得原告明示同意的前提下,原告认为,被告运营产品的行为模式可谓十分粗暴,在不知情的情况下任意获取原告个人信息。且原告认为,作为一款益智类游戏应用,短信、通讯录等权限与游戏本身的使用体验并无关联,且在原告手动在手机设置界面关闭“开心消消乐”的各项授权之后,该游戏仍可以正常运行。而即便游戏开发了部分互动功能,对相应权限的获取亦应征得用户的明示同意,而非默认开启并收集。被告利用所开发的移动应用程序肆意搜集原告尤其包括敏感个人信息在内的位置信息、通讯录信息、短信信息等数据,严重违反《网络安全法》关于收集个人信息“必要、合理”的原则。基于以上情况,原告查看了“开心消消乐”《用户协议》,但并未找到任何条款对游戏所要搜集的用户信息种类及范围进行明确告知。《用户协议》提到“乐元素”制定并遵循《隐私策略》,但在手机端无法有效查看。因此,原告认为,被告运营的“开心消消乐”安卓端应用程序,违反《网络安全法》等法律的强制性规定,肆意搜集原告个人敏感信息且并未告知、并未征求原告的明示同意,存在严重侵犯原告个人隐私的行为。……
另外,可以参考中国消费者协会发布的《App个人信息泄露情况调查报告》:
三、结论
1.个人信息泄露情况相当严重,信息泄露途径和表现形式多样。根据数据统计结果,消费者个人信息泄露途径主要是经营者未经本人同意,暗自收集个人信息、经营者或不法分子故意泄露、出售或者非法向他人提供个人信息和网络服务系统存有漏洞,造成个人信息泄露;消费者在个人隐私信息被泄露的情况下,最常见的情况就是接到诈骗电话、推销电话和收到短信骚扰、垃圾邮件等。
2.手机App过度采集个人信息呈现普遍趋势。根据调查结果,手机APP需要获取的权限种类繁多,最突出的是获取位置信息和访问联系人权限;而且存在App自身功能使用非必要的情况下获取用户隐私权限,增加了个人信息泄露的风险;多数受访者认为手机App采集个人信息的原因是为了推销广告。
3.消费者阅读手机App应用权限和用户协议或隐私政策的频次和深度有待提高。调查显示,较多消费者从不或者偶尔阅读手机App应用权限和用户协议或隐私政策等文字说明。而且,受限于网络技术知识欠缺和文字表述篇幅等原因,一些消费者不会完全通读隐私政策文字说明,或大致浏览,或阅读重点章节,了解不深,容易遗漏重点信息或关键描述。还有很大一部分消费者因为不授权就无法使用而从没阅读过App的应用权限和用户协议或隐私政策。
……
对App进行合规,还有一份《信息安全技术 移动智能终端个人信息保护技术要求》(GB/T 34978-2017)需要特别重视,虽然这份标准知名度不如《信息安全技术 个人信息安全规范》(GB/T 35273-2017),但与App关联程度更为密切。