写在前面:
支付宝安卓版APP,到底有没有自动收集用户个人信息并上传至服务器,这需要进行专门的实验室测试。
但是,从实际使用来看,支付宝安卓版APP,特定版本在特定系统之内,确实存在未登陆状态、频繁弹出申请调用相关系统权限(拍照、录音等)的现象,而这种不当行为,确实可能给用户个人信息保护产生不利影响,亟待支付宝及时调整相关产品设计。
文/李俊慧(微信公众号:lijunhui0507)
支付宝又上头条了!
春节期间支付宝、微信支付的红包大战硝烟尚未散尽,如今,支付宝再度迎来“隐私门”拷问。
日前,据媒体报道,有用户发文称,“支付宝安卓版每隔X分钟(服务器指定)会在后台开启摄像头拍照,录音X秒,然后上传到服务器上,同时也会有通讯录,通话记录,附近基站和WiFi等信息。”
对此,支付宝通过官方微博回应称,调用摄像头拍照、录音这样的权限,是因为扫描二维码、给好友发送语音时需要用到。所谓的“每隔X分钟会在后台开启摄像头拍照、录音X秒”,是毫无根据的造谣,申请摄像头权限不等于实际启动摄像头。
与此同时,支付宝还强调,支付宝只申请业务需要的权限,不会做额外的信息采集和后台操作,更不会侵犯、泄露任何用户隐私信息。
言下之意,支付宝并不承认自己的安卓版APP存在权限申请不当或涉嫌侵犯用户隐私的可能,也不承认APP做了“过多”的信息收集。
那么,支付宝APP在安卓手机上频繁自动(自启动或静默启动)申请调用相关系统权限(拍照、录音等),是否存在不当?会否存在涉嫌侵犯用户隐私的可能?对于各类APP应用又该如何加强监管?
1权限调用:是安卓系统瑕疵还是支付宝不当?
支付宝通过官方微博介绍说,支付宝在用户登录后,会提前触发相关权限的授权申请,这样用户在使用时,不会被系统提示的授权申请打断,在Android6.0以下,系统没有提供标准的权限提示和检查接口,因此采用提前触发权限的方式,这种设置,会形成帖子里出现的启动时申请摄像头和录音权限的情况。与此同时,支付宝称,会在接下来的版本中优化这个体验,避免用户误解。
显然,根据支付宝的介绍或说明,支付宝安卓版APP触发系统权限申请的条件或前提是,1)用户登录支付宝之后;2)用户系统为Android6.0以下版本。
换言之,如果不满足上述两个条件,支付宝安卓版APP是不会主动申请获得相应系统权限的。
作为安卓手机用户,笔者(微信公众号:lijunhui0507)的实际使用体验与支付宝的回应或说明,有几点偏差。
首先,“权限调用”请求频发发出并非只发生在支付宝登陆时。笔者有一台备用的智能手机(系统为Android5.1.1版本)主要用于观看视频且未安装SIM卡,因此,该手机里下载或预装的支付宝APP(版本号为9.5.1.011302)从未使用过。
但笔者在打开优酷APP准备观看视频时,手机会弹出有关支付宝申请调用“拍照、录音”权限的申请,如果选择“拒绝”,下次打开优酷APP时还是弹出类似权限调用请求。
其次,“权限调用”请求发出时并未使用相应功能。支付宝回应称,调用摄像头拍照、录音这样的权限,是因为扫描二维码、给好友发送语音时需要用到。
诚如前述,笔者备用的智能手机,从未登陆过支付宝APP,也未使用支付宝有关“扫码或发送语音”功能,但是,支付宝还是在频繁申请调用“拍照、录音”等系统权限,所谓频繁就是打开优酷APP时,不定时会弹出相关调用“拍照、录音”权限的申请提示。
简单说,按照支付宝的提示,权限调用发生的时间应该是在用户使用支付宝相关功能时,如此前未获得授权则弹出权限申请请求。但实际情况与支付宝官方回应的情形还是有一些差别。
2信息收集:应守住“合法、正当、必要”底线
根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》,类似支付宝等网络服务提供者在业务活动中收集、使用公民个人电子信息,应当遵循“合法、正当、必要的原则”、“明示收集、使用信息的目的、方式和范围”、“并经被收集者同意”等。
显然,支付宝APP调用手机相关权限,申请权限获得用户同意后,必然会在用户使用过程中收集、使用个人信息。
从实际情况来看,支付宝APP弹出权限使用提示,似乎满足了“经被申请者同意”的条件。
但是,是否遵循了“合法、正当、必要”的原则,则存在很大争议。尤其是,支付宝安卓版APP在用户未开启或未使用相应功能时,支付宝自动触发“拍照、录音”等与用户个人信息甚至隐私信息密切的功能权限请求,不知情的用户很容易因为误点击,不小心开启了相应权限调用,而且此时的涉隐私信息的系统权限申请是否“正当、必要”,值得进一步探讨。
此外,支付宝在调用智能手机系统权限时,对可能产生的用户信息“收集、使用”的方式和范围,存在明示不全面或说明不充分。
简单说,如果没有这次“隐私门”事件,支付宝此番未出面正式回应,大多数人不清楚作为一个支付工具,支付宝为什么需要调用“相机、录音”等系统权限、为什么可能自动拍照或录音等收集用户信息。
由此可见,按照有关个人信息收集、使用需遵循“合法、正当、必要”原则的要求,包括支付宝在内的很多APP都需要调整自身的权限调用请求策略,让用户更加清晰的明白“什么时候授权”、“什么情况调用”、“采集那些信息”、“信息如何使用”等等。
3加强监管:避免APP成为侵害用户权益工具
当前,国内对于APP的监管还有一些空白亟待填补,很多有关APP的监管要求散落在一些指导意见或通知之中。
我国最早关于APP(官方称为“移动智能终端应用软件”)的管理要求,可以追溯到2012年。
由工业和信息化部制定、2012年1月1日起施行的《移动互联网恶意程序监测与处置机制》,首度从“恶意程序”角度对各类不当APP应用加以规范。.
按照此机制,“存在窃听用户通话、窃取用户信息、破坏用户数据、擅自使用付费业务、发送垃圾信息、推送广告或欺诈信息、影响移动终端运行、危害互联网网络安全等恶意行为”视为“恶意程序”。
随后,2013年11月1日起执行的工业和信息化部《关于加强移动智能终端进网管理的通知》中规定,“生产企业申请移动智能终端进网许可时,应当在申请材料中提供操作系统版本、预置应用软件基本配置信息”,并对“预装应用软件”划定“红线”,要求“不得在移动智能终端中预置5类应用软件,包括:
(一)未向用户明示并经用户同意,擅自收集、修改用户个人信息的;
(二)未向用户明示并经用户同意,擅自调用终端通信功能,造成流量消耗、费用损失、信息泄露等不良后果的;
(三)影响移动智能终端正常功能或通信网络安全运行的;
(四)含有《中华人民共和国电信条例》禁止发布、传播的信息内容的;
(五)其他侵害用户个人信息安全和合法权益以及危害网络与信息安全的。
此外,2015年11月18日,工业和信息化部发布《移动智能终端应用软件(APP)预置和分发管理暂行规定》(征求意见稿),面向公众征求意见,该规定重点从备受关注的APP“预装”和“分发”(下载)环节提出管理要求。
根据《移动智能终端应用软件(APP)预置和分发管理暂行规定》(征求意见稿),在权限调用方面,“移动智能终端应用软件必须符合相关标准要求,不得调用与所提供服务无关的终端功能”;在应用开启方面;“未经明示且经用户同意,不得强制开启应用软件”;在明示规则方面,“应通过用户提示、企业网站等方式明示所提供移动智能终端应用软件的信息,包括名称、功能描述、卸载方法、开发者信息、软件安装及运行所需权限列表等,明确告知用户应用软件收集、使用用户个人信息的内容、目的、方式和范围等。”
显然,对照上述要求,当前支付宝安卓版APP确实存在一些有待改进的地方。与此同时,由于相关监管要求不明确或立法规格不高,使得的并未引起广大APP开发者的重视,此外,当前对APP申请系统权限或调用相应功能的范围及正当性、必要性缺乏必要标准或管理要求,也使得各类APP乱象持续上演。
而这些问题,一方面,亟待相关部门加快监管政策或法律制定,加强对各类APP应用的规范和管理。另一方面,也需要各类APP厂商加强自律,参照相应要求,或以更高的要求不断改善用户体验,让用户更加放心的使用各类新应用或新功能。
