最近,三款常见的手机“来电拦截”应用被曝收集用户通讯录,整合成公开资料库。香港媒体报道,预计全球有30亿个手机号码的用户身份泄露,包括一些政府官员和演艺明星。在未经用户同意的情况下搜集用户信息这合规合法吗?又该如何来规避骚扰,且不丢掉隐私?
这三款手机应用包括中国的CM security,即“猎豹安全大师”,瑞典的True caller,以及以色列的Sync.ME,总共下载次数超过两亿。香港媒体报道,用户通过这些应用的“号码反查”功能,输入任何的电话号码,就能在数据库中搜索这个电话号码所有者的名字、社交网络账号等信息,即使这个号码的所有者没有安装这个应用程序或者授权使用这些信息。测试结果显示,信息泄露涉及香港特区部分官员和演艺明星。新一届立法会绝大部分议员的手机号码都能被查到。部分信息需要付费才能够查阅。预计全球有30亿个手机号码的用户可能被波及。
手机软件工程师陈先生介绍,根据手机号码实现“来电拦截”是常见功能:大部分厂商都这样,比如一个陌生电话打进来,用户发现是骚扰电话,标记成骚扰电话,手机应用把这个号码传到服务器上,表明是骚扰电话。数据统计多了,比如有100个人标记这是骚扰电话,在数据库里标志成骚扰电话,另外一个以前没有接过这个电话的人,他的手机应用从数据库里得到这样的信息,知道有100个人已经标记过了,就直接把这个电话就挂掉了。
陈先生表示,这项功能并不需要获取用户的通讯录权限。“整个流程来说,我不觉得有必要把用户整个通讯录上传,但厂家总会找各种各样的借口,去得到尽可能多的用户隐私,他有一定的道理,但是从解决问题的角度来看这不是必需的。”
陈先生使用国产品牌的安卓手机,办法是只用系统自带的电话拦截功能,不安装第三方的应用,但也不能保证绝对安全。中国信息安全研究院副院长左晓栋表示,“这个情况本身可能存在,现在很多信息技术产品都有收集用户信息的功能,以前这方面规范不够,对于信息技术产品供应商来讲,责任规定往往不明确,现在《网络安全法》已经对信息技术产品服务商的责任作出明确的要求,如果这个产品和服务有收集用户信息的功能,应向用户明示,并且获得同意。”
《网络安全法》将会从明年6月开始实施,左晓栋提醒,用户在安装手机应用程序的时候应当认真辨别,而对于一些手机应用“不接受权限要求就不能够使用”,《网络安全法》也会有相应的规管。可能以用户不同意即不能提供服务为由,逼得用户同意。现在标准如何规定?提供服务所必要的信息是可以获取的、非必要功能,要收集,特别是要明示的,如果用户不同意,不能以此为由拒绝给用户提供服务或者降低服务质量,都有明确要求。
截至发稿,记者查询发现,True caller和Sync.ME已经提供专门的页面,接受删去资料的申请。猎豹安全大师所属的猎豹移动表示,由于无法避免有人不当使用,将会暂时关闭查询联系人信息的功能。
很多企业打着大数据的名义收集用户的个人信息。大数据并不等同于很多数据的累积,去掉了可识别性信息,数据才应该被使用。软件提供商必须对用户履行充分告知义务,把隐私政策明明白白地告诉用户。目前我国法律在消费者个人信息保护方面还缺乏足够的力度,期待不久的将来《网络安全法》的落地能改善这一局面。