行業(yè)動態(tài)

支付寶陷“隱私門”:加強監(jiān)管避免隱私不當收集

來源:聚銘網(wǎng)絡    發(fā)布時間:2016-02-26    瀏覽次數(shù):
 

信息來源:企業(yè)網(wǎng)  

 支付寶又上頭條了!

春節(jié)期間支付寶、微信支付的紅包大戰(zhàn)硝煙尚未散盡,如今,支付寶再度迎來“隱私門”拷問。

日前,據(jù)媒體報道,有用戶發(fā)文稱,“支付寶安卓版每隔X分鐘(服務器指定)會在后臺開啟攝像頭拍照,錄音X秒,然后上傳到服務器上,同時也會有通訊錄,通話記錄,附近基站和WiFi等信息?!?

對此,支付寶通過官方微博回應稱,調用攝像頭拍照、錄音這樣的權限,是因為掃描二維碼、給好友發(fā)送語音時需要用到。所謂的“每隔X分鐘會在后臺開啟攝像頭拍照、錄音X秒”,是毫無根據(jù)的造謠,申請攝像頭權限不等于實際啟動攝像頭。

與此同時,支付寶還強調,支付寶只申請業(yè)務需要的權限,不會做額外的信息采集和后臺操作,更不會侵犯、泄露任何用戶隱私信息。

言下之意,支付寶并不承認自己的安卓版APP存在涉嫌侵犯用戶隱私的可能,也不承認APP做了“過多”的信息收集。

那么,支付寶APP在安卓手機上頻繁自動申請調用相關系統(tǒng)權限(拍照、錄音等),是否存在不當?會否存在涉嫌侵犯用戶隱私可能?該如何加強監(jiān)管?

權限調用:是安卓系統(tǒng)瑕疵還是支付寶不當?

據(jù)悉,支付寶在用戶登錄后,會提前觸發(fā)相關權限的授權申請,這樣用戶在使用時,不會被系統(tǒng)提示的授權申請打斷,在Android6.0以下,系統(tǒng)沒有提供標準的權限提示和檢查接口,因此采用提前觸發(fā)權限的方式,這種設置,會形成帖子里出現(xiàn)的啟動時申請攝像頭和錄音權限的情況。支付寶稱,會在接下來的版本中優(yōu)化這個體驗,避免用戶誤解。

作為安卓手機用戶,筆者的實際體驗與支付寶的回應或說明,有幾點偏差。首先,“權限調用”請求頻發(fā)發(fā)出并非只發(fā)生在支付寶登陸時。筆者有一臺備用的智能手機主要用于觀看視頻且未安裝SIM卡,因此,該手機里下載安裝的支付寶APP基本沒使用過。

但筆者在打開優(yōu)酷APP準備觀看視頻時,手機會彈出有關支付寶申請調用“拍照、錄音”權限的申請,如果選擇“拒絕”,下次打開優(yōu)酷APP時還是彈出類似權限調用請求。

其次,“權限調用”請求發(fā)出時并未使用相應功能。支付寶回應稱,調用攝像頭拍照、錄音這樣的權限,是因為掃描二維碼、給好友發(fā)送語音時需要用到。

誠如前述,筆者備用的智能手機,從未登陸過支付寶APP,也未使用支付寶有關“掃碼或發(fā)送語音”功能,但是,支付寶還是在頻繁申請調用“拍照、錄音”等系統(tǒng)權限。

簡單說,按照支付寶的提示,權限調用發(fā)生的時間應該是在用戶使用支付寶相關功能時,如此前未獲得授權則彈出權限申請請求。但實際情況并非如此。

信息收集:應守住“合法、正當、必要”底線

根據(jù)《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》,類似支付寶等網(wǎng)絡服務提供者在業(yè)務活動中收集、使用公民個人電子信息,應當遵循“合法、正當、必要的原則”、“明示收集、使用信息的目的、方式和范圍”、“并經被收集者同意”等。

從實際情況來看,支付寶調用手機相關權益,彈出權限使用提示,似乎滿足了“經被申請者同意”的條件。

但是,是否遵循了“合法、正當、必要”的原則,則存在很大爭議。尤其是,支付寶安卓版APP在用戶未開啟或未使用相應功能時,支付寶自動觸發(fā)“拍照、錄音”等與用戶個人信息甚至隱私信息密切的功能權限請求,不知情的用戶很容易因為誤點擊,不小心開啟了相應權限調用,而且此時的涉隱私信息的系統(tǒng)權限申請是否“正當、必要”,值得進一步探討。

此外,支付寶在調用智能手機系統(tǒng)權限時,對可能產生的用戶信息“收集、使用”的方式和范圍,存在明示不全面或說明不充分。

簡單說,如果沒有這次“隱私門”事件,支付寶此番未出面正式回應,大多數(shù)人不清楚作為一個支付工具,支付寶為什么需要調用“相機、錄音”等系統(tǒng)權限、為什么可能自動拍照或錄音等收集用戶信息。

由此可見,按照有關個人信息收集、使用需遵循“合法、正當、必要”原則的要求,包括支付寶在內的很多APP都需要調整自身的權限調用請求策略,讓用戶更加清晰的明白“什么時候授權”、“什么情況調用”、“采集那些信息”、“信息如何使用”等等。

加強監(jiān)管:避免APP成為侵害用戶權益利器

當前,國內對于APP的監(jiān)管還有一些空白亟待填補,很多有關APP的監(jiān)管要求散落在一些指導意見或通知之中。

比如,2013年11月1日起執(zhí)行的工業(yè)和信息化部《關于加強移動智能終端進網(wǎng)管理的通知》中規(guī)定,“生產企業(yè)申請移動智能終端進網(wǎng)許可時,應當在申請材料中提供操作系統(tǒng)版本、預置應用軟件基本配置信息”。

此外,2015年11月18日,工業(yè)和信息化部發(fā)布《移動智能終端應用軟件預置和分發(fā)管理暫行規(guī)定》(征求意見稿),面向公眾征求意見。

該規(guī)定重點從備受關注的“預裝”和“分發(fā)”(下載)環(huán)節(jié)提出管理要求,根據(jù)《移動智能終端應用軟件預置和分發(fā)管理暫行規(guī)定》(征求意見稿),在權限調用方面,“移動智能終端應用軟件必須符合相關標準要求,不得調用與所提供服務無關的終端功能”;在應用開啟方面;“未經明示且經用戶同意,不得強制開啟應用軟件”;在明示規(guī)則方面,“應通過用戶提示、企業(yè)網(wǎng)站等方式明示所提供移動智能終端應用軟件的信息,包括名稱、功能描述、卸載方法、開發(fā)者信息、軟件安裝及運行所需權限列表等,明確告知用戶應用軟件收集、使用用戶個人信息的內容、目的、方式和范圍等?!?

顯然,對照相關要求,當前支付寶安卓版APP確實存在一些有待改進的地方。與此同時,由于相關監(jiān)管要求不明確或立法規(guī)格不高,并未引起廣大APP開發(fā)者的重視,使得APP亂象持續(xù)上演。

事實上,如何規(guī)范APP權限管理及監(jiān)督也應成為加強監(jiān)管的方向,提前限定禁區(qū)避免APP濫用權限規(guī)則,誘導用戶授予其相應權限,成為用戶隱私或個人信息被不當收集的入口。

 
 

上一篇:2016年02月26日 每日安全資訊

下一篇:2016年世界移動通信大會開幕