以金融借贷类的最少信息收集范围为例,很多企业的收集范围显然是超出上述范围的。经过工信部这一轮专项整治后,不少企业应该会有所收敛,但不少企业条款依然有“概括性”表述,消费者对这类偏向概括授权的条款防不胜防,陷入被动。如某些APP“可获得您联系人的相关信息”的表述,即属于概括性表述。具体是指多少相关联系人?是包含整个通讯录的联系人,还是仅仅是两个紧急联系人?这里的差距就很大了。
再举个更行业的例子:
SDK厂商放在过去,是一个很吃香的所谓“大数据厂商”,这些服务大体上包括:通知类SDK、埋点日志类SDK、游戏语音类SDK、驱动类SDK、智能识别类SDK、设备指纹SDK、支付SDK等。
APP应用的迅速铺开,SDK有不小贡献。但是,SDK厂商如果只靠卖SDK,盈利能力是有限的,所以很多SDK厂商都会有关联的大数据公司,做数据类的增值业务。
这就涉及中间截留数据的问题,而SDK厂商能不能中间截留数据?这在业内看来,一直没有太明确的界限。SDK本身并不是一个完整的软件服务,用户更多的情况下其实对此是未知和陌生的。
举例来说,用户下载了应用市场上的某个APP,提示授权抓取地理位置等数据,对用户来说,只会意识到自己的手机数据被这个APP抓取。但是实际情况则是,这个APP采集数据用的很可能是第三方的SDK,比如埋点用A的、PUSH用B的、设备指纹用C的……
那么,问题就来了,ABC三者是否有权限来缓存这个过程中抓取的用户数据呢?如果缓存了,是否在授权协议里面有明示?如果授权明示缓存了,是否可以用于该APP服务范围的其他用途,这个过程又该如何规范管理?
02
你我都该提高警惕
罗马总不是一天建成的,行业的规范发展也一样,都是边发展边规范。
从《网络安全法》到去年的《信息安全技术 移动互联网应用(APP)手机个人信息基本规范》(草案)公开征求意见,再到各部位联合下发的《APP违法违规收集使用个人信息行为认定方法》、《移动互联网应用程序(APP)收集使用个人信息评估指南》等文件来看,足见监管规范行业发展的决心。
工信部在近日挂出的整治通知,还有个细节不容忽视:提醒消费者关于个人信息保护的投诉,也有明确投诉路径:中国互联网协会应通过互联网信息服务投诉平台(https://ts.isc.org.cn/)或12321举报中心接受群众投诉,及时汇总处理用户反映的相关问题。
正所谓,信息化时代是我家,环境靠大家。
文章TAG:
