业界规则 > 规则 >
美图喊冤:正常代码收集遑论侵权
2017-02-07 23:42 作者: 来源:法治周末


原题:被外媒指责窃取用户隐私

         美图喊冤:正常代码收集遑论侵权

    法治周末实习生

法治周末记者  马树娟

近期,美图公司旗下的修图手机软件“美图秀秀”,在其正在进军美国市场之际惹上了小麻烦——外媒称其把APP手机用户信息用于商业目的,并通过生成编码追踪用户。

是空穴来风还是确有其事?

 

美图称是正常数据统计

 

美国有线电视新闻网(CNN)120日称,美图APP正在收集用户信息用作商业目的。在苹果手机中,美图APP可以跟踪监测用户的位置、机上携带信息及IP地址,并生成一个独一无二的编码对用户进行追踪;而对于安卓用户来说,美图APP可以得到用户的IMEI编码,并将相关数据回传至中国境内的服务器。

一时间,有关美图APP窃取用户隐私的疑虑迅速在用户中蔓延开来。

124,美图公司公关部负责人陈洁在接受法治周末记者采访时介绍道,美图并没有申请苹果开发者手册所允许之外的权限;在安卓平台,美图使用了第三方和自己的系统,主要是用于统计安装和活跃度的情况。

“这个是非常正常的用户数据统计,美图公司向用户收集的信息分别为:Mac AddressIMEI、局域网IP地址、SIM卡国家编码和定位(包括GPS,网络定位),需要注意的是,我们没有拿用户电话号码这样的信息。”陈洁说。

陈洁进一步解释,收集Mac AddressIMEI,是因为美图在部分情况下无法同时获取两者信息,部分情况下不同设备会出现上述设备ID相同的情况,因此需要两个ID组合成唯一ID来标识用户设备;收集局域网IP地址是为了防止商业作弊;收集SIM卡国家编码是用于粗略定位用户所在国家;收集定位信息是为了区分用户所在国家和地区,作为广告系统的投放标准。

 

APP收集信息应符合必要性

 

外媒指出,美图收集上述信息侵犯了用户隐私,而美图对法治周末回复称是为了更好地为用户服务,那么APP到底应当收集哪类信息呢?

北京师范大学法学院教授、亚太网络法律研究中心主任刘德良表示,CNN指责美图的问题,在微软、苹果、谷歌等几乎所有的美国互联网公司都存在,斯诺登所披露的信息已经说明了这一点。

中国互联网协会信用评价中心法律顾问赵占领律师指出,收集用户信息在手机软件中很常见,美图并非特例——根据我国《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《决定》)及相关规定,APP收集用户信息应符合收集信息的必要性。

“所谓必要性信息是指与软件服务定位有直接关系,并有为用户更好提供服务或者提高用户体验服务必要的信息。”赵占领以地图导航软件为例分析,如果不能收集到用户手机的地理位置信息,如开启GPS功能等,那么该APP的功能根本无法实现;相反,若APP收集的信息不符合其软件本身的服务定位,即必要性,如新闻APP收集用户通讯录等,那这种行为便违反了我国相关法律。

北京航空航天大学副教授裴炜也持相同看法。她指出,刚刚通过的网络安全法明确规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要这三个原则,并符合两个条件,即收集的信息具有业务相关性,并且征得用户同意。

“据此,即便一款APP获得了用户同意,ISP仍需确保个人信息收集和使用范围符合业务需求。”裴炜说。

在美图APP事件中,刘德良认为,美图收集的这些信息,不过是一系列与用户相关的代码或字串,并非敏感信息,很难精确识别到某个自然人,更谈不上侵犯用户隐私。

 

用户授权方式缺乏规范

 

法治周末记者注意到,大多数APP都会收集用户信息,而手机用户信息的权限必须得到用户的许可,如勾选用户协议或者弹出对话框申请授权。

“在现实生活中,用户很少会在使用APP的时候认真阅读ISP的同意请求书,即便认真阅读,用户自身也难以判断请求书中所列的信息收集内容是否与ISP所提供的服务相关,这也正是我们在美图APP事件中看到的情形。”裴炜说道。

赵占领指出,根据《决定》及相关规定,APP获取用户个人信息应当得到用户同意,但却没有要求向用户明示相关授权内容,而由工信部信息安全协调司提出的《个人信息保护指南》则将个人信息保护分为一般个人信息和敏感信息两种模式。其中,一般个人信息的收集权只要用户默认即可授权APP,如在用户协议前勾选;而敏感信息则要明示用户授权,如弹出对话框向用户申请授权。

“然而,《个人信息保护指南》仅为指导性文件,并没有相对的强制性,所以难以对ISP产生约束。”赵占领指出,虽然有少部分APP会依据该指南向用户申请授权,但这个领域还是缺乏规范。

 

“防滥用”应成重点

 

陈洁指出,美图采用https传输协议对用户的信息进行加密传输,保障用户信息在传输中的安全,并且用户的信息进行强制且多层加密存储,防止用户数据泄露;同时,美图的内部系统执行严格的访问授权机制,限制员工接触用户资料。

刘德良指出,APP收集的信息不能简单地划定为用户的个人信息,它可能是与用户有关的信息,如IP地址,它是与用户有关的信息,但单凭IP地址是无法识别到某一个用户的。

“我们所称的个人信息是指能直接或间接识别出某一个特定自然人的信息。”刘德良认为,APP收集到的一些信息较为碎片化,对于ISP而言,这些信息一般来说并不能准确识别到某个特定自然人,而仅是识别为某一用户,并通过这些碎片信息来完成相对应的服务。所以,除了一小部分与用户个人名誉、尊严和切身利益等有直接关系的敏感信息(如裸照)要明文规定禁止收集外,其他的一些与用户有关的信息没有必要如欧洲相关立法一样详细规定。

“欧洲一些保护个人信息的立法一般侧重于规范信息的收集,却没有延伸到防止信息的滥用上。”刘德良认为,我国关于互联网信息安全的立法一般学习欧洲的做法,而欧洲立法仅靠规范信息收集很难达到保护个人信息安全的目的和效果。

“在如今的互联网时代,用户想从各种互联网产品中得到服务,若不提供自己的电话号码,服务便很难实现。”刘德良说道,一些与用户相关的信息已经成为人们参与互联网活动的必要因素,无论用户是否愿意,都很难避免它们被各种软件收集到。

以打车软件为例,刘德良表示,如果用户不允许APP收集位置信息,那打车服务根本无法开展,“其实,收集用户的信息并不可怕,可怕的是这些信息被滥用,狠抓信息滥用比规范信息收集渠道,更能有效保护个人信息安全”。

 


    当前1/1页   

  • 中央媒体 合作媒体 地方媒体 政法网群
    中国长安网 最高人民法院 最高人民检察院 公安部 司法部 法制网 新华网 人民网 中国网 光明网 中青网
    联系我们 诚聘英才 广告征订 本站公告 法律声明
    中 国
    互联网协会
    中国文明网
    传播文明
    工业和信息
    化部备案
    不良信息
    举报中心
    北京网络
    行业协会
    网络110
    报警服务
    无限互联网
    业自律同盟
    北京文化市
    场举报热线

    版权所有 Copyrights © 2014-2016 www.legalweekly.cn ALL RIGHTS Reserved 《法治周末》

    技术支持:川程在线   建议使用IE6以上1024*768分辨率浏览