寫在前面:
支付寶安卓版APP,到底有沒有自動收集用戶個人信息并上傳至服務(wù)器,這需要進行專門的實驗室測試。
但是,從實際使用來看,支付寶安卓版APP,特定版本在特定系統(tǒng)之內(nèi),確實存在未登陸狀態(tài)、頻繁彈出申請調(diào)用相關(guān)系統(tǒng)權(quán)限(拍照、錄音等)的現(xiàn)象,而這種不當(dāng)行為,確實可能給用戶個人信息保護產(chǎn)生不利影響,亟待支付寶及時調(diào)整相關(guān)產(chǎn)品設(shè)計。
支付寶又上頭條了!
春節(jié)期間支付寶、微信支付的紅包大戰(zhàn)硝煙尚未散盡,如今,支付寶再度迎來“隱私門”拷問。
日前,據(jù)媒體報道,有用戶發(fā)文稱,“支付寶安卓版每隔X分鐘(服務(wù)器指定)會在后臺開啟攝像頭拍照,錄音X秒,然后上傳到服務(wù)器上,同時也會有通訊錄,通話記錄,附近基站和WiFi等信息。”
對此,支付寶通過官方微博回應(yīng)稱,調(diào)用攝像頭拍照、錄音這樣的權(quán)限,是因為掃描二維碼、給好友發(fā)送語音時需要用到。所謂的“每隔X分鐘會在后臺開啟攝像頭拍照、錄音X秒”,是毫無根據(jù)的造謠,申請攝像頭權(quán)限不等于實際啟動攝像頭。
與此同時,支付寶還強調(diào),支付寶只申請業(yè)務(wù)需要的權(quán)限,不會做額外的信息采集和后臺操作,更不會侵犯、泄露任何用戶隱私信息。
言下之意,支付寶并不承認(rèn)自己的安卓版APP存在權(quán)限申請不當(dāng)或涉嫌侵犯用戶隱私的可能,也不承認(rèn)APP做了“過多”的信息收集。
那么,支付寶APP在安卓手機上頻繁自動申請調(diào)用相關(guān)系統(tǒng)權(quán)限(拍照、錄音等),是否存在不當(dāng)?會否存在涉嫌侵犯用戶隱私的可能?對于各類APP應(yīng)用又該如何加強監(jiān)管?
1權(quán)限調(diào)用:是安卓系統(tǒng)瑕疵還是支付寶不當(dāng)?
支付寶通過官方微博介紹說,支付寶在用戶登錄后,會提前觸發(fā)相關(guān)權(quán)限的授權(quán)申請,這樣用戶在使用時,不會被系統(tǒng)提示的授權(quán)申請打斷,在Android6.0以下,系統(tǒng)沒有提供標(biāo)準(zhǔn)的權(quán)限提示和檢查接口,因此采用提前觸發(fā)權(quán)限的方式,這種設(shè)置,會形成帖子里出現(xiàn)的啟動時申請攝像頭和錄音權(quán)限的情況。與此同時,支付寶稱,會在接下來的版本中優(yōu)化這個體驗,避免用戶誤解。
顯然,根據(jù)支付寶的介紹或說明,支付寶安卓版APP觸發(fā)系統(tǒng)權(quán)限申請的條件或前提是,1)用戶登錄支付寶之后;2)用戶系統(tǒng)為Android6.0以下版本。
換言之,如果不滿足上述兩個條件,支付寶安卓版APP是不會主動申請獲得相應(yīng)系統(tǒng)權(quán)限的。
作為安卓手機用戶,筆者(微信公眾號:lijunhui0507)的實際使用體驗與支付寶的回應(yīng)或說明,有幾點偏差。
首先,“權(quán)限調(diào)用”請求頻發(fā)發(fā)出并非只發(fā)生在支付寶登陸時。筆者有一臺備用的智能手機(系統(tǒng)為Android5.1.1版本)主要用于觀看視頻且未安裝SIM卡,因此,該手機里下載或預(yù)裝的支付寶APP(版本號為9.5.1.011302)從未使用過。
但筆者在打開優(yōu)酷APP準(zhǔn)備觀看視頻時,手機會彈出有關(guān)支付寶申請調(diào)用“拍照、錄音”權(quán)限的申請,如果選擇“拒絕”,下次打開優(yōu)酷APP時還是彈出類似權(quán)限調(diào)用請求。
其次,“權(quán)限調(diào)用”請求發(fā)出時并未使用相應(yīng)功能。支付寶回應(yīng)稱,調(diào)用攝像頭拍照、錄音這樣的權(quán)限,是因為掃描二維碼、給好友發(fā)送語音時需要用到。
誠如前述,筆者備用的智能手機,從未登陸過支付寶APP,也未使用支付寶有關(guān)“掃碼或發(fā)送語音”功能,但是,支付寶還是在頻繁申請調(diào)用“拍照、錄音”等系統(tǒng)權(quán)限,所謂頻繁就是打開優(yōu)酷APP時,不定時會彈出相關(guān)調(diào)用“拍照、錄音”權(quán)限的申請?zhí)崾尽?/p>
簡單說,按照支付寶的提示,權(quán)限調(diào)用發(fā)生的時間應(yīng)該是在用戶使用支付寶相關(guān)功能時,如此前未獲得授權(quán)則彈出權(quán)限申請請求。但實際情況與支付寶官方回應(yīng)的情形還是有一些差別。
2信息收集:應(yīng)守住“合法、正當(dāng)、必要”底線
根據(jù)《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》,類似支付寶等網(wǎng)絡(luò)服務(wù)提供者在業(yè)務(wù)活動中收集、使用公民個人電子信息,應(yīng)當(dāng)遵循“合法、正當(dāng)、必要的原則”、“明示收集、使用信息的目的、方式和范圍”、“并經(jīng)被收集者同意”等。
顯然,支付寶APP調(diào)用手機相關(guān)權(quán)限,申請權(quán)限獲得用戶同意后,必然會在用戶使用過程中收集、使用個人信息。
從實際情況來看,支付寶APP彈出權(quán)限使用提示,似乎滿足了“經(jīng)被申請者同意”的條件。
但是,是否遵循了“合法、正當(dāng)、必要”的原則,則存在很大爭議。尤其是,支付寶安卓版APP在用戶未開啟或未使用相應(yīng)功能時,支付寶自動觸發(fā)“拍照、錄音”等與用戶個人信息甚至隱私信息密切的功能權(quán)限請求,不知情的用戶很容易因為誤點擊,不小心開啟了相應(yīng)權(quán)限調(diào)用,而且此時的涉隱私信息的系統(tǒng)權(quán)限申請是否“正當(dāng)、必要”,值得進一步探討。
此外,支付寶在調(diào)用智能手機系統(tǒng)權(quán)限時,對可能產(chǎn)生的用戶信息“收集、使用”的方式和范圍,存在明示不全面或說明不充分。
簡單說,如果沒有這次“隱私門”事件,支付寶此番未出面正式回應(yīng),大多數(shù)人不清楚作為一個支付工具,支付寶為什么需要調(diào)用“相機、錄音”等系統(tǒng)權(quán)限、為什么可能自動拍照或錄音等收集用戶信息。
由此可見,按照有關(guān)個人信息收集、使用需遵循“合法、正當(dāng)、必要”原則的要求,包括支付寶在內(nèi)的很多APP都需要調(diào)整自身的權(quán)限調(diào)用請求策略,讓用戶更加清晰的明白“什么時候授權(quán)”、“什么情況調(diào)用”、“采集那些信息”、“信息如何使用”等等。
3加強監(jiān)管:避免APP成為侵害用戶權(quán)益工具
當(dāng)前,國內(nèi)對于APP的監(jiān)管還有一些空白亟待填補,很多有關(guān)APP的監(jiān)管要求散落在一些指導(dǎo)意見或通知之中。
我國最早關(guān)于APP(官方稱為“移動智能終端應(yīng)用軟件”)的管理要求,可以追溯到2012年。
由工業(yè)和信息化部制定、2012年1月1日起施行的《移動互聯(lián)網(wǎng)惡意程序監(jiān)測與處置機制》,首度從“惡意程序”角度對各類不當(dāng)APP應(yīng)用加以規(guī)范。.
按照此機制,“存在竊聽用戶通話、竊取用戶信息、破壞用戶數(shù)據(jù)、擅自使用付費業(yè)務(wù)、發(fā)送垃圾信息、推送廣告或欺詐信息、影響移動終端運行、危害互聯(lián)網(wǎng)網(wǎng)絡(luò)安全等惡意行為”視為“惡意程序”。
隨后,2013年11月1日起執(zhí)行的工業(yè)和信息化部《關(guān)于加強移動智能終端進網(wǎng)管理的通知》中規(guī)定,“生產(chǎn)企業(yè)申請移動智能終端進網(wǎng)許可時,應(yīng)當(dāng)在申請材料中提供操作系統(tǒng)版本、預(yù)置應(yīng)用軟件基本配置信息”,并對“預(yù)裝應(yīng)用軟件”劃定“紅線”,要求“不得在移動智能終端中預(yù)置5類應(yīng)用軟件,包括:
(一)未向用戶明示并經(jīng)用戶同意,擅自收集、修改用戶個人信息的;
(二)未向用戶明示并經(jīng)用戶同意,擅自調(diào)用終端通信功能,造成流量消耗、費用損失、信息泄露等不良后果的;
(三)影響移動智能終端正常功能或通信網(wǎng)絡(luò)安全運行的;
(四)含有《中華人民共和國電信條例》禁止發(fā)布、傳播的信息內(nèi)容的;
(五)其他侵害用戶個人信息安全和合法權(quán)益以及危害網(wǎng)絡(luò)與信息安全的。
此外,2015年11月18日,工業(yè)和信息化部發(fā)布《移動智能終端應(yīng)用軟件(APP)預(yù)置和分發(fā)管理暫行規(guī)定》(征求意見稿),面向公眾征求意見,該規(guī)定重點從備受關(guān)注的APP“預(yù)裝”和“分發(fā)”(下載)環(huán)節(jié)提出管理要求。
根據(jù)《移動智能終端應(yīng)用軟件(APP)預(yù)置和分發(fā)管理暫行規(guī)定》(征求意見稿),在權(quán)限調(diào)用方面,“移動智能終端應(yīng)用軟件必須符合相關(guān)標(biāo)準(zhǔn)要求,不得調(diào)用與所提供服務(wù)無關(guān)的終端功能”;在應(yīng)用開啟方面;“未經(jīng)明示且經(jīng)用戶同意,不得強制開啟應(yīng)用軟件”;在明示規(guī)則方面,“應(yīng)通過用戶提示、企業(yè)網(wǎng)站等方式明示所提供移動智能終端應(yīng)用軟件的信息,包括名稱、功能描述、卸載方法、開發(fā)者信息、軟件安裝及運行所需權(quán)限列表等,明確告知用戶應(yīng)用軟件收集、使用用戶個人信息的內(nèi)容、目的、方式和范圍等。”
顯然,對照上述要求,當(dāng)前支付寶安卓版APP確實存在一些有待改進的地方。與此同時,由于相關(guān)監(jiān)管要求不明確或立法規(guī)格不高,使得的并未引起廣大APP開發(fā)者的重視,此外,當(dāng)前對APP申請系統(tǒng)權(quán)限或調(diào)用相應(yīng)功能的范圍及正當(dāng)性、必要性缺乏必要標(biāo)準(zhǔn)或管理要求,也使得各類APP亂象持續(xù)上演。
而這些問題,一方面,亟待相關(guān)部門加快監(jiān)管政策或法律制定,加強對各類APP應(yīng)用的規(guī)范和管理。另一方面,也需要各類APP廠商加強自律,參照相應(yīng)要求,或以更高的要求不斷改善用戶體驗,讓用戶更加放心的使用各類新應(yīng)用或新功能。