别偷窥我的通讯录

近日，“用户诉今日头条侵犯其隐私权案”开审。

一时间，APP 获取用户权限，涉嫌侵犯用户隐私的话题成为关注焦点。

不得不说，安装手机APP，被要求获取通讯录、位置、电话以及摄像头麦克风等权限，身处大数据时代下的我们，已经司空见惯，见怪不怪。

“我就想用个APP，他们要我这么多权限干什么？”“这些权限会不会泄露个人隐私呢”……

类似疑问，估计大家多少都有，但常年备受“欺凌”的我们，往往是没法儿问！不敢问！更没地儿问！

就因为一个简单的道理：一旦选择拒绝，你就没法下载安装，这就逼着你勾选“始终允许”。

这种APP“越界”索权事件，在被广受诟病的同时，也早引起监管部门的注意，各种监管细则也在逐步细化。

希望今后让我们在享受信息时代带来的便利的时候，不必再担心个人信息被泄露，可以在网海中肆意畅游。

记者高建军

通讯录被窃取？

6月20日上午，“称APP软件擅自上传通讯录‘今日头条’被指侵犯个人隐私”一案在北京市海淀区法院公开开庭，其中原告为今日头条APP用户刘先生，被告为北京字节跳动科技有限公司。

原告认为，今日头条APP在未明确将收集用户个人信息的前提下，擅自上传并保存了他的通讯录，并在他更换手机安装该软件且明确拒绝授权读取通讯录时，依然向他推荐之前通讯录的联系人，此举严重侵犯隐私。违反了信息收集的“合理、必要”原则，用户刘先生请求法院判令被告停止侵权、赔礼道歉并支付精神赔偿金1元。

刘先生向法庭陈述，2018年1月他在注册“今日头条”账号过程中，阅读过注册账号需同意的《用户协议及隐私条款》，在涉及用户个人信息的收集范围时，被告公司仅明确提出了在使用“今日头条”软件及相关服务获取信息的过程中，会涉及到“日志信息”“位置信息”等用户个人信息类型的收集，但完全没提到该APP会读取或上传用户通讯录信息的情况。

“在我更换手机安装使用‘今日头条’APP并明确拒绝授权其读取通讯录时，该APP仍可向我推荐原手机中通讯录好友的联系人信息，在‘推荐’频道下仍可见原手机通讯录中的联系人账号。”刘先生称，这充分说明“今日头条”APP 在未经其允许、未充分告知他的前提下，仍然保有其通讯录内容，并仍可向其推荐之前的通讯录联系人。

刘先生表示，“今日头条”APP擅自上传其通讯录的行为严重侵犯了用户个人隐私。

今日头条代理律师提出，刘先生未提交充分证据证明涉案账号是由他实际使用的，也未证明出现在涉案头条账号添加好友页面推荐人列表中的用户是其通讯录联系人，属其个人隐私信息，因此刘先生并非此案适格主体，无权提起本案诉讼，并称提供服务过程中，读取、上传和存储原告的通讯录信息，事先已对其告知，且得到其明示授权，因此并不侵害其隐私权。因此，被告以事先已充分告知以及通讯录不属于个人隐私为由，不同意原告诉求。

APP“越界”索权

此案件几个争议备受关注。第一，读取和上传通讯录之前，有没有充分告知？原告代理律师称，在第一部手机上使用今日头条APP时，刘先生自始至终都“没有授权过通讯录权限”，也就是说，APP理应无法读取通讯录信息。然而，在原告使用第二部手机安装使用“今日头条”APP，并且明确拒绝授权其读取通讯录时，今日头条APP仍然可以向原告推荐第一部手机中通讯录好友的联系人信息。“唯一的解释就是‘今日头条’在原告不知情的情况下读取并上传、保存了原告的通讯录内容，且当原告在其他设备上登录访问时，仍然能够向原告推荐联系人信息。”

第二，重新授权通讯录是否应覆盖原通讯录？原告在登录第二部手机上的今日头条APP之前就已经收到了好友推荐。为什么没有登录也会收到与用户个人有关的好友推荐？原告认为“被告始终都在以利用通讯录来获取更多用户为目的，这些都没有按照法律规定向被收集方进行明确”。

第三个争议是通讯录算不算用户的个人隐私？原告依据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条规定，“通信联系方式”是“公民个人信息”之一。国家标准《信息安全技术个人信息安全规范》第3 .1条则明确，个人信息包括“通信联系方式”，认为通讯录内容属于个人隐私。

“本案所涉的‘通讯录’，与传统意义上的隐私信息有所差别”，被告在庭上表示，虽然通讯录中包含有个人姓名、电话等信息，但是这些信息并非原告本人的信息，而是其社会网络成员的信息，因此通讯录不属于原告的“隐私信息”。

此案目前正在进一步审理当中。此案立即引发公众广泛关注。面对质疑，今日头条表示，今日头条尊重用户的个人隐私，用户数据必须由用户授权使用，权利属于用户，今日头条也一直严格按照这个标准服务用户。

那些泄密重灾区

相信很多人有过类似的经历——刚在淘宝上浏览完一些咖啡信息，随后另一个新闻资讯客户端就向你推送类似商品广告；刚在社交APP上说想出去聚餐，稍后就收到一堆餐馆广告推荐；刚在购房APP上浏览完毕，信用贷款电话就打了进来……如果有类似遭遇，那你的隐私信息很可能已经泄露。那么谁动了我们的个人信息？

在中央网信办、工信部、公安部、市场监管总局指导下，APP专项治理工作组近日发布的《百款常用APP申请收集使用个人信息权限列表》显示，餐饮外卖、地图导航、网上购物、短视频、金融借贷等近20类共100个APP，基本都会收集用户26项个人信息中的某几项；超过九成APP获取用户精准定位；金融借贷类、工具软件类APP获取用户信息项目相对较多。

需要说明的是，APP不是不能收集用户个人信息，但不能“越界”、过度，不能强制、超范围索要权限。

那么，APP目前收集的个人信息里，哪些属于不宜收集的隐私信息？中国消费者协会此前发布的《100款APP个人信息收集与隐私政策测评报告》显示，多达91款APP列出的权限涉嫌“越界”过度收集用户个人信息。其中，用户位置信息、通讯录信息、手机号码等个人信息是被过度收集或使用的主要内容。这其中，有59款APP 涉嫌过度收集“位置信息”，有28 款A PP涉嫌过度收集“通信录信息”等。

此外，用户照片、财产信息、生物识别信息、工作信息、交易账号信息、交易记录、上网浏览记录、教育信息、车辆信息以及短信信息等均存在被过度使用或收集的现象。

事实上不论是当用户需要时再提示开启权限，还是在一开始就开启权限，一旦安卓用户开启权限后，该权限就会一直处于“开启”状态，除非用户再手动关闭。这是因为相比于苹果ios 系统具有权限“只在APP运行时开启”“始终开启”“不开启”的三个选项，安卓系统的隐私选项颗粒较粗，绝大多数用户只能选择“开启”或“关闭”，这意味着一旦授予后，该权限并不会随应用状态的改变（进入或退出使用状态）而发生变化。

这就意味着，不论是正当还是非正当的目的，只要用户向APP打开权限的大门后，APP也拥有了偷窥用户隐私的技术权限。

不过，对于企业收集这些隐私信息是否属于“越界”行为，也有不同声音。腾讯社会研究中心和DCCI互联网数据中心今年1月发布的《2018年度网络隐私及网络欺诈行为研究分析报告》认为，判断APP是否“越界”获取隐私权限的标准是APP向用户提供的功能是否必须用到相应权限。也就是说，如果确属APP功能需要，且经用户授权同意，那么，APP相关收集行为就不算“越界”。

强制读取为哪般

为规范APP运营者收集、使用个人信息，6月初，全国信息安全标准化技术委员会发布了《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》，明确不得强迫收集个人信息、用户有权拒绝个性化推送等规定，并依据个人信息收集最少够用的原则以及不同种类APP的业务范围，对地图导航、网上购物、餐饮外卖等16类APP收集个人信息的范围给出了参考。

《信息规范》指出，移动互联网应用个人信息收集活动，主要依据《信息安全技术个人信息安全规范》的“个人信息安全基本原则”，遵循权责一致、目的明确、最少够用、选择同意、公开透明、确保安全六个原则。

《信息规范》也将APP“非越界”索取的信息分为了通用功能相关必要信息与必要信息两类。

其中，通用功能相关必要信息是指根据相关法律法规要求，保障移动互联网应用安全风险管控所必需的个人信息，主要包括电话权限等；而必要信息主要包括APP中与基本业务功能直接关联，一旦缺少会导致基本业务功能无法实现或无法正常运行的个人信息，如位置之于导航类APP，姓名之于票务类APP。

针对目前较多APP读取用户通讯录的要求，《信息规范》也给出了明确的范围限制。比如金融借贷类应用，《信息规范》要求，应允许用户手动输入两位紧急联系人信息，而不应强制读取用户的通讯录；即时通讯社交应用，应该允许用户手动添加好友，而不应强制读取用户的手机通讯录。

《信息规范》中还指出，浏览、搜索、点击等操作记录通常是非必要信息，收集时应告知用户并征得其同意；保存和使用个人上网记录时，对个人信息进行去标识化处理；使用个人上网记录用于分析用户画像进行个性化展示和推荐时，告知用户使用目的，并提供用户退出定向推送模式选项。

以新闻资讯类应用为例，其基本业务功能必要信息仅为关注的账号和自媒体用户信息。随着新闻资讯应用的发展，也存在以个性化推荐资讯内容为核心业务模式的聚合类新闻应用，其需收集用户的浏览操作记录，以便向用户推送可能感兴趣的内容。根据《信息规范》，该业务功能应告知用户并征得其同意，如果用户拒绝，APP应提供让其退出定向推送模式的渠道。

聚焦

监管越发细化

在法律法规上，目前针对APP中个人隐私保护的条例有逐渐细化与严厉的趋势。5月28日，国家互联网信息办公室发布《数据安全管理办法（征求意见稿）》，对公众关注的诸多问题进行了直接回应。对于规范个人敏感信息收集方式，《办法》规定，网络运营者以经营为目的收集重要数据或个人敏感信息的，应向所在地网信部门备案；为约束定向精准推送广告，《办法》规定，网络运营者应当以明显方式标明“定推”字样；针对APP强迫授权或默认勾选等，《办法》规定，网络运营者不得以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。

此外，由APP专项治理工作组起草的《APP违法违规收集使用个人信息行为认定方法（征求意见稿）》也在5月26日结束意见反馈。这份《认定方法》对APP运营商7种违规收集使用个人信息情形进行了规定，被认为是判定APP是否“越界”的重要标准，包括没有公开收集使用规则；没有明示收集使用个人信息的目的、方式和范围；未经同意收集使用个人信息；违反必要性原则收集与其提供的服务无关的个人信息；未经同意向他人提供个人信息；未按法律规定提供删除或更正个人信息功能；侵犯未成年人在网络空间合法权益。

针对上述7种情形，意见稿进一步将APP没有隐私政策、用户协议情形，进入APP主功能界面后，多于4次点击、滑动才能访问到隐私政策，在APP安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政策等纳入违法违规行为。

相信随着人们个人隐私保护意识的逐步提高以及相关规定落地，势必会对众多APP运营商在个人信息保护方面作出更多的改变，让我们在享受信息时代带来的便利的时候，不必再担心个人信息被泄露。

新闻推荐

贵州儿童疑遭性侵发酵：网友称月初曾报警 各地警方连夜核查

6月26日晚，有网友上传图片爆料称，贵州省某地疑似有幼儿园和孤儿院内的儿童被成人性侵，并用“疑似幼儿园孤儿院被重金贿赂养...