原标题:App专项治理工作组专家:检测尚未发现App“偷听”
App强制索取通讯录、账号注销层层设障……近年来,App强制授权、过度索权、超范围收集以及违法违规使用个人信息的现象屡见不鲜。
针对手机App违法违规收集和使用个人信息问题,中央网信办、工信部、公安部、市场监管总局等四部门联合开展专项治理行动,App专项治理工作组也在此背景下于2019年1月成立。
正在全国范围举行的2020国家网络安全宣传周,个人信息安全保护成为热议话题。App专项治理工作组专家、中国电子技术标准化研究院信息安全研究中心审查部总监何延哲接受新京报专访时表示,目前下载量大的主流App强制索取通讯录权限的情况已经基本消失,治理已见成效。
下一步重点关注人脸信息收集
新京报:工作组成立以来做了哪些工作?
何延哲:从2019年3月起,App专项治理工作组分6批次对下载量大、用户常用的千余款App进行了评估。评估发现违法违规收集使用个人信息问题的共计6976个,工作组向256款App的运营者通报问题,督促其完成1267个重点问题的整改工作,建议有关部门下架未落实整改要求App共11款。
经过一年多的治理,App个人信息安全问题有所好转。两三年前没有隐私政策的App是主流,现在有隐私政策的App是主流,可能极个别没有,基本上都有。这就是个人信息的收集使用规则从无到有、从不透明到透明的一个过程。
我们希望各个App厂商真正的把用户的个人权益保障放在首位,说到做到。
新京报:工作组去年3月开通了“App个人信息举报”微信公众号,受理App违法违规收集使用个人信息的举报。公众反映最多的是什么问题?
何延哲:截至2020年9月,该平台共收到25380条举报信息,其中实名举报信息占比达32.85%,涉及5300余款App。
现在比较突出、举报比较多的问题是“注销难”。不少网友发现一些App新上线了注销功能,尝试注销但发现注销难,App设置的注销条件不合理,于是找到我们的平台来举报,我们也会评估后指导平台整改。
新京报:这会是工作组下一步的治理重点吗?
何延哲:对,我们总结了注销难的一些现象,通过媒体曝光的方式,为企业整改提供参考。同时,针对做的不好的平台还有督促整改的措施,都会同步跟上。希望通过进一步的治理,让注销变得更合理,让用户能够接受。
新京报:下一步还将重点关注哪些领域?
何延哲:比如大家很关心的人脸识别。我今天早上刚看到,去扔垃圾都要人脸识别。目前人脸识别的应用还没有明确界限,哪些领域需要进行人脸识别,如何保证生物信息安全,都值得探讨。
App是否存在非必要情况下搜集人脸信息将是工作组下一步关注的重点。我们希望通过进一步的细则和规定,对人脸识别技术进行规范,防止过度使用人脸识别技术,避免侵犯用户个人权利,同时对人脸信息保存提出要求,包括不能随意提供给第三方等,让人脸识别更安全、更可靠。
检测未发现App“偷听”情况
新京报:有一些用户反映App可能会“偷听”自己说话,工作组在治理中是否发现这一现象?
何延哲:我们也在研究这个问题。虽然在理论上是存在的,App通过静默录音、侧信道技术、突破系统权限等即可实现偷听。但我们在检测过程中,还没有发现哪一款App偷听。
实际上,实施偷听存在高商业成本、高技术门槛、高法律风险,对企业来说并不划算。App偷听主要目的是推送商业广告,推送广告有100种方法,偷听是最笨并且风险最高的一种方法。比如,在日常场景下我和你聊天,我手机里的App偷听了我们的对话,但却把你需要的商品推送给了我,这其实并没有达到商业目的。
因此从逻辑上来讲App偷听不太可能存在,但我们也要防范有一些恶意软件或间谍软件,出于勒索目的,利用这种技术漏洞窃听用户。
新京报:为什么消费者有时会发现自己刚提到过的商品出现在了手机推送中,仿佛真的有人在偷听?
何延哲:对,这个很简单,是因为太精准了,我们确确实实会觉得可能是被偷听了。
比如,我走进了一家耐克鞋店,发现朋友圈推送了一条耐克的广告,我肯定会觉得有问题,但事实是什么?可能是正好耐克给全国10亿网民推送了一条广告,正好有几个人在鞋店里。
要证明一个App是否在偷听,需要非常严谨的过程,而不是通过现象的碰撞。要排除很多外界因素干扰之后,才能发现它到底是不是在偷听。最好可以通过技术方式检测,并用一些规定来防止、限制这种现象。
防疫中采集的信息应清理合并
新京报:疫情发生以来,个人行程信息和健康信息,有公众担心,这部分个人信息是否安全?
何延哲:中央网信办已经发布指导疫情防控期间个人信息保护的有关规定,提到了要利用国家现有规定,如个人信息规范的国家标准等,保护好个人信息。
个人信息采集在疫情防控中发挥了重要作用,现在需要把这些个人信息保护好。另外,也要对这部分个人信息进行清理、合并、整理,把它汇集到越来越少、更权威安全的人的手里。这需要进一步努力,并根据疫情的发展情况不断优化。
我认为,最终可能形成一个公共事件应急中个人信息保护的规范制度。如果再发生类似事件,我们可以更加从容,把个人信息保护和大数据防控结合的更好。
新京报:有法学专家建议,通过制定地方条例等形式明确疫情中收集的个人信息使用范围。你如何看?
何延哲:我认为需要再次研判,明确到底哪些个人信息是有用的,划定信息搜集的范围。同时,进行监督和治理,比如检查是否存在个人信息滥用,变更目的使用、有没有变更目的使用,把后疫情时代的个人信息安全问题尽可能消灭在萌芽状态。
新京报记者许雯
编辑陈思校对李立军