评论>

“读取用户通讯录”需要更加严格规范

木须虫

2019-06-13 09:09:06中国商报/中国商网 收藏0 评论0 字数954 分享

中国商报/中国商网(木须虫)近日,全国信息安全标准化技术委员会发布了《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》,其中规范了App收集个人信息的原则,应遵循目的明确、最少够用、选择同意、确保安全等原则,还依据“最少够用”的原则给出了16类用户常用App的基本业务功能相关必要信息,包括金融类App不得强制读取用户通讯录。

应该说,建立移动互联网应用基本业务功能必要信息规范是很有意义的,一方面,它从标准的角度确定了App涉及个人信息收集的基本原则和双方的权利边界,如用户授权、平台“最少够用”,即自愿与量需而取;另一方面也给行业提供了基本遵循,同时还为推进相关法规的完善积累了经验。

不过,与其他15类用户常用App的基本业务功能相关必要信息相比,用户通讯录显然超出了个人信息的范畴。从表面上看,通讯录为个人所掌握,但通讯录基本上都是用户存储在手机中的家人、朋友等的联系方式。如果从规范确立的“选择同意”原则来看,相信没有任何通讯录上的联系人愿意被授权,这是典型的“他权利”,明显不在此规范标准的调节范围。

此外,从授权读取和实际使用用户通讯录来说,存在明显的侵权行为,特别是金融类App采集用户关联联系人通讯录的目的通常是用于风控,即此举让其中的联系人充当了信用担保的“人质”,未经联系人同意和授权,这无异于“绑架”,也因此出现了很多恶意逃废网络贷款的现象,导致针对通讯录上与关联人员关系比较密切的联系人,陷入暴力催债、莫名骚扰的境遇,且不说这类手段涉嫌违法犯罪,于受害人而言其实也是权利之外的无辜之殃。

正因如此,读取用户通讯录不能只是“不得强制读取”,也不能只是限于金融类App,因为这种针对获得权利与采集范围的局部限制会使得规范形同虚设,毕竟利用通讯担保“信用”建立在非正义的目的基础之上,一些用户为了服务的便利不会在意强制不强制。从这个角度来说,又与App个人信息收集“必需而最少”的原则明显相悖,因为非正义目的和非法手段本就该排除在“必需”之外。

所以,读取用户通讯录应当被禁止,推而论之,在网络App平台进行信息采集,涉及与使用者个人信息相交集的他人信息安全需要区别保护,不应变成平台与用户双向的交易,不能放任“他权利”的贩卖。当然,这还有赖于进一步的立法廓清是非、厘清属性、划清边界。

责任编辑:寇未南 除中国商报、中国商网署名文章外,其他文章为作者独立观点,不代表中国商网立场