App刺探用户隐私,检察官们盯紧了!
上海:采用公证形式固定App违法证据
今年全国两会和上海市两会期间,部分人大代表、政协委员热议公民个人信息保护问题。在上海市两会上,杨建锋等23名上海市政协委员联名提出了第0932号《关于发挥检察机关在App侵害消费者数据隐私公益诉讼中作用的建议》提案,建议检察机关运用检察建议督促政府加强监管和推动行业自律,推动完善涉互联网环境下公益诉讼规则等。自6月起,上海检察机关根据最高人民检察院的部署,试水公民个人信息保护领域。
杨浦区检察院公益诉讼团队走访相关App平台运营方并开展座谈。杨景皓摄
破解网络证据锁定难问题
检察建议发出三周后,杨浦区检察院第五检察部检察官侯倩倩收到了“××君”App所在公司的回函。
6月初,侯倩倩“盯上”了这款App,不是为了家里快上小学的儿子才提前注册体验,而是为了更多人的利益。
采取行动的不止杨浦。6月上旬,上海市检察院组织浦东、杨浦、静安等基层检察院开展App违法收集个人信息问题的专项调查。侯倩倩和她的公益诉讼团队也参与其中。
在调查过程中,针对网络证据锁定难的困境,检察官们首次采取公证取证的形式固定证据,即在公证人员的见证下,当场通过应用市场下载安装相关类别的App,并进行录像锁定证据。经查发现留学、育儿、理财等与民生密切相关的10款手机App存在违规获取用户信息授权、隐私政策文本不规范等问题。
据介绍,10款App普遍存在无需用户同意、默认授权的方式收集用户个人信息,尤其对于用户身份证号码、银行账号等敏感信息,甚至存在不开启敏感信息收集权限就无法使用该App的强制索权现象。
培训类App“××君”就存在用户首次安装、注册时,未按规定主动提醒用户阅读隐私政策;隐私政策中,未明确说明App要获取权限的种类和范围,而是采用“例如”“等”表述来模糊规定;对个人信息存放地域、存储期限、超期处理方式等未做说明这三项问题。
另有App无法提供注销账号的途径,注销账号后个人信息的及时删除或匿名化处理不明确;对撤回已同意授权、申诉方式等用户操作方法未做说明,对外共享、转让、公开披露个人信息的规则不明确,用户个人信息安全难以得到有效保护。
上海检察机关针对上述问题,依法向开发运营上述App的互联网企业制发检察建议11件,向被监督企业指出问题、提出建议、释法说理,要求整改。其中,也包含一家应用商店,督促其履行监督管理责任,并视情对违反规定的App采取警示、暂停发布、下架应用程序等措施予以督促整改。
11家被监督企业收到《检察建议书》后,均对建议书中所提及的App漏洞和不合规情况表示认可并全盘接受,最快仅耗时两周时间。
“体验式回访”检验整改成效
整改真的完成了吗?有没有回弹情况?侯倩倩和同事通过重新注册的方式进行了“体验式回访”。
“注册时,主动提醒我阅读《服务协议》,阅读完勾选同意后才可以点击‘下一步’按钮。”
“《服务协议》中对个人信息存放地域、存储期限、超期处理方式、投诉都有了明确说明。”
注册过程中,侯倩倩和同事逐一检查核实,格外留意《服务协议》对隐私政策中“例如”“等”这样的表述,确保没有任何模糊规定,并逐一确认App要获取权限的种类和范围。“任何‘陷阱’都不能留。”
显然,对于这一次的安装注册体验,侯倩倩非常满意。“我们的检察建议,你们逐一整改完成了,很高兴你们能在这么短的时间内配合落实。”
“我们才要感谢你和你的团队呢!检察机关为我们检测出平台漏洞。这些漏洞不填补好的话,就会被不法分子钻了空子。非常感谢你们的指正,欢迎时刻监督。”企业方回复。
“放心,我们会一直监督的,你们这个App我会‘常卸常装’。”侯倩倩风趣地回答。
杭州余杭:推动专项整治问题App
在近两年的浙江省杭州市余杭区两会上,代表委员对个人信息保护提出议案和建议。余杭区检察院检察长陈娟意识到,检察机关作为社会公共利益的代表,在涉互联网公民个人信息保护领域可以做些探索。
浙江省杭州市余杭区检察院召开的App公民个人信息保护研讨会。
代表委员热议App过度索权
陈娟注意到,在该院办理的侵犯公民个人信息犯罪案件和电信网络诈骗中,部分刑事案件的犯罪嫌疑人大肆通过网络收集、购买、出售公民个人敏感信息,非法获取、出售、提供的公民个人信息数量惊人,公民个人信息泄露问题突出。而另一方面,随着移动互联网应用程序App的广泛应用,强制授权、过度索权、超范围收集个人信息、隐私政策不规范的现象密集涌现,公民个人信息安全保护形势严峻。
基于此,一场公民个人信息保护公益诉讼专项监督行动于今年6月启动。该院在调查中发现,多款针对余杭区企业开发经营或主要面向区内用户提供教学考试、时尚购物等服务的App,在安装注册使用过程中均不同程度存在强制授权、过度索权等问题。陈娟很清楚,治理App,单靠检察机关的力量远远不够。为此,该院主动向区人大常委会法工委、区市场监督管理局等多部门通报相关情况,尽快达成共识。7月,十余名区人大代表和政协委员应邀参加了在余杭区检察院召开的App公民个人信息保护研讨会。
“我每天都要接到好几个陌生电话,不接怕遗漏重要电话,接起来一听尽是房产、保险、教育培训等推销,真是苦不堪言!”
“我也是每天手机里要收到十几条垃圾短信的轰炸。”
“更恐怖的是我刚在搜索引擎里查了什么东西,购物App等立即向我推送相关信息,好像长了眼睛一样盯着我的一举一动。”
代表委员们诉说着隐私被侵犯的经历。代表委员认为,骚扰电话、垃圾短信、监视用户习惯等都是表层现象,更深层的原因是用户信息和隐私被违法收集和使用。保护个人信息安全才是治理的根本。
在会上,余杭区检察院通报了前期调查发现的部分App存在强制授权等违法收集个人信息问题,并就如何开展App领域公民个人信息保护以及目前存在的问题和对策建议,与代表委员座谈交流。
公益诉讼紧盯问题App
座谈会之后,余杭区市场监督管理局在9月开展了侵害消费者个人信息违法行为的专项整治行动,重点整治股票投资、教育培训等侵害消费者个人信息多发高发的行业和领域,并针对检察机关通报的一款存在违法收集消费者个人信息、隐私政策不规范等问题的App开展执法检查,约谈企业负责人,督促相关责任主体整改落实。
有的人大代表最近又体验了这款App,发现在索取用户手机号码、读取手机联系人等权限方面有了改变,隐私政策文本也规范了,在显著位置会提示用户阅读。
随着调查的进一步深入,余杭区检察院电子数据实验室通过在线提取电子数据、向市场监管部门调取涉案企业信息等方式收集更多证据。从民事责任和行政责任承担的不同角度,该院一方面固定某款涉案App开发经营企业的违法证据,并于10月29日在媒体上发布民事公益诉讼诉前公告,拟对该企业存在的侵犯公民个人信息问题向法院提起民事公益诉讼。
11月12日,该院又针对十余款App存在强制授权、过度索权等问题向区市场监督管理局发出建议,要求对存在问题的App依法处理,并对辖区内企业开发经营的App开展专项治理行动,督促App优化隐私政策,依法严厉打击严重违法违规收集公民个人信息行为。
11月25日,余杭区市场监督管理局稽查大队负责人带队再次来到该院听取意见。“检察机关启动的公民个人信息保护公益诉讼专项监督行动,对保护公民个人信息有着重要的意义,我们市场监督管理部门将始终与检察机关形成合力,共同构建风清气朗的网络空间。”该区市场监督管理局稽查大队负责人沈建强说。