最有看点的互联网金融门户

最有看点的互联网金融门户
国内资讯基于互联网平台的金融业务

支付宝“隐私门”透露的诸多问题

本文共3433字,预计阅读时间122

写在前面:

支付宝安卓版APP,到底有没有自动收集用户个人信息并上传至服务器,这需要进行专门的实验室测试。

但是,从实际使用来看,支付宝安卓版APP,特定版本在特定系统之内,确实存在未登陆状态、频繁弹出申请调用相关系统权限(拍照、录音等)的现象,而这种不当行为,确实可能给用户个人信息保护产生不利影响,亟待支付宝及时调整相关产品设计。

支付宝又上头条了!

春节期间支付宝、微信支付的红包大战硝烟尚未散尽,如今,支付宝再度迎来“隐私门”拷问。

日前,有用户发文称,“支付宝安卓版每隔X分钟(服务器指定)会在后台开启摄像头拍照,录音X秒,然后上传到服务器上,同时也会有通讯录,通话记录,附近基站和WiFi等信息。”

对此,支付宝通过官方微博回应称,调用摄像头拍照、录音这样的权限,是因为扫描二维码、给好友发送语音时需要用到。所谓的“每隔X分钟会在后台开启摄像头拍照、录音X秒”,是毫无根据的造谣,申请摄像头权限不等于实际启动摄像头。

与此同时,支付宝还强调,支付宝只申请业务需要的权限,不会做额外的信息采集和后台操作,更不会侵犯、泄露任何用户隐私信息。

言下之意,支付宝并不承认自己的安卓版APP存在权限申请不当或涉嫌侵犯用户隐私的可能,也不承认APP做了“过多”的信息收集。

那么,支付宝APP在安卓手机上频繁自动(自启动或静默启动)申请调用相关系统权限(拍照、录音等),是否存在不当?会否存在涉嫌侵犯用户隐私的可能?对于各类APP应用又该如何加强监管?

权限调用:是安卓系统瑕疵还是支付宝不当?

支付宝通过官方微博介绍说,支付宝在用户登录后,会提前触发相关权限的授权申请,这样用户在使用时,不会被系统提示的授权申请打断,在Android6.0以下,系统没有提供标准的权限提示和检查接口,因此采用提前触发权限的方式,这种设置,会形成帖子里出现的启动时申请摄像头和录音权限的情况。与此同时,支付宝称,会在接下来的版本中优化这个体验,避免用户误解。

显然,根据支付宝的介绍或说明,支付宝安卓版APP触发系统权限申请的条件或前提是,1)用户登录支付宝之后;2)用户系统为Android6.0以下版本。

换言之,如果不满足上述两个条件,支付宝安卓版APP是不会主动申请获得相应系统权限的。

作为安卓手机用户,笔者的实际使用体验与支付宝的回应或说明,有几点偏差。

首先,“权限调用”请求频发发出并非只发生在支付宝登陆时。笔者有一台备用的智能手机(系统为Android5.1.1版本)主要用于观看视频且未安装SIM卡,因此,该手机里下载或预装的支付宝APP(版本号为9.5.1.011302)从未使用过。

20160226072838_71200 第1张

20160226072858_43674 第2张

但笔者在打开优酷APP准备观看视频时,手机会弹出有关支付宝申请调用“拍照、录音”权限的申请,如果选择“拒绝”,下次打开优酷APP时还是弹出类似权限调用请求。

20160226072913_15647 第3张

20160226072926_89470 第4张

其次,“权限调用”请求发出时并未使用相应功能。支付宝回应称,调用摄像头拍照、录音这样的权限,是因为扫描二维码、给好友发送语音时需要用到。

20160226072943_47718 第5张

20160226072952_25040 第6张

诚如前述,笔者备用的智能手机,从未登陆过支付宝APP,也未使用支付宝有关“扫码或发送语音”功能,但是,支付宝还是在频繁申请调用“拍照、录音”等系统权限,所谓频繁就是打开优酷APP时,不定时会弹出相关调用“拍照、录音”权限的申请提示。

简单说,按照支付宝的提示,权限调用发生的时间应该是在用户使用支付宝相关功能时,如此前未获得授权则弹出权限申请请求。但实际情况与支付宝官方回应的情形还是有一些差别。

信息收集:应守住“合法、正当、必要”底线

根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》,类似支付宝等网络服务提供者在业务活动中收集、使用公民个人电子信息,应当遵循“合法、正当、必要的原则”、“明示收集、使用信息的目的、方式和范围”、“并经被收集者同意”等。

显然,支付宝APP调用手机相关权限,申请权限获得用户同意后,必然会在用户使用过程中收集、使用个人信息。

从实际情况来看,支付宝APP弹出权限使用提示,似乎满足了“经被申请者同意”的条件。

但是,是否遵循了“合法、正当、必要”的原则,则存在很大争议。尤其是,支付宝安卓版APP在用户未开启或未使用相应功能时,支付宝自动触发“拍照、录音”等与用户个人信息甚至隐私信息密切的功能权限请求,不知情的用户很容易因为误点击,不小心开启了相应权限调用,而且此时的涉隐私信息的系统权限申请是否“正当、必要”,值得进一步探讨。

此外,支付宝在调用智能手机系统权限时,对可能产生的用户信息“收集、使用”的方式和范围,存在明示不全面或说明不充分。

简单说,如果没有这次“隐私门”事件,支付宝此番未出面正式回应,大多数人不清楚作为一个支付工具,支付宝为什么需要调用“相机、录音”等系统权限、为什么可能自动拍照或录音等收集用户信息。

由此可见,按照有关个人信息收集、使用需遵循“合法、正当、必要”原则的要求,包括支付宝在内的很多APP都需要调整自身的权限调用请求策略,让用户更加清晰的明白“什么时候授权”、“什么情况调用”、“采集那些信息”、“信息如何使用”等等。

加强监管:避免APP成为侵害用户权益工具

当前,国内对于APP的监管还有一些空白亟待填补,很多有关APP的监管要求散落在一些指导意见或通知之中。

我国最早关于APP(官方称为“移动智能终端应用软件”)的管理要求,可以追溯到2012年。

由工业和信息化部制定、2012年1月1日起施行的《移动互联网恶意程序监测与处置机制》,首度从“恶意程序”角度对各类不当APP应用加以规范。

按照此机制,“存在窃听用户通话、窃取用户信息、破坏用户数据、擅自使用付费业务、发送垃圾信息、推送广告或欺诈信息、影响移动终端运行、危害互联网网络安全等恶意行为”视为“恶意程序”。

随后,2013年11月1日起执行的工业和信息化部《关于加强移动智能终端进网管理的通知》中规定,“生产企业申请移动智能终端进网许可时,应当在申请材料中提供操作系统版本、预置应用软件基本配置信息”,并对“预装应用软件”划定“红线”,要求“不得在移动智能终端中预置5类应用软件,包括:

(一)未向用户明示并经用户同意,擅自收集、修改用户个人信息的;

(二)未向用户明示并经用户同意,擅自调用终端通信功能,造成流量消耗、费用损失、信息泄露等不良后果的;

(三)影响移动智能终端正常功能或通信网络安全运行的;

(四)含有《中华人民共和国电信条例》禁止发布、传播的信息内容的;

(五)其他侵害用户个人信息安全和合法权益以及危害网络与信息安全的。

此外,2015年11月18日,工业和信息化部发布《移动智能终端应用软件(APP)预置和分发管理暂行规定》(征求意见稿),面向公众征求意见,该规定重点从备受关注的APP“预装”和“分发”(下载)环节提出管理要求。

根据《移动智能终端应用软件(APP)预置和分发管理暂行规定》(征求意见稿),在权限调用方面,“移动智能终端应用软件必须符合相关标准要求,不得调用与所提供服务无关的终端功能”;在应用开启方面;“未经明示且经用户同意,不得强制开启应用软件”;在明示规则方面,“应通过用户提示、企业网站等方式明示所提供移动智能终端应用软件的信息,包括名称、功能描述、卸载方法、开发者信息、软件安装及运行所需权限列表等,明确告知用户应用软件收集、使用用户个人信息的内容、目的、方式和范围等。”

显然,对照上述要求,当前支付宝安卓版APP确实存在一些有待改进的地方。与此同时,由于相关监管要求不明确或立法规格不高,使得的并未引起广大APP开发者的重视,此外,当前对APP申请系统权限或调用相应功能的范围及正当性、必要性缺乏必要标准或管理要求,也使得各类APP乱象持续上演。

而这些问题,一方面,亟待相关部门加快监管政策或法律制定,加强对各类APP应用的规范和管理。另一方面,也需要各类APP厂商加强自律,参照相应要求,或以更高的要求不断改善用户体验,让用户更加放心的使用各类新应用或新功能。


用微信扫描可以分享至好友和朋友圈

扫描二维码或搜索微信号“iweiyangx”
关注未央网官方微信公众号,获取互联网金融领域前沿资讯。

发表评论

发表评论

您的评论提交后会进行审核,审核通过的留言会展示在下方留言区域,请耐心等待。

评论

您的个人信息不会被公开,请放心填写! 标记为的是必填项

取消

银联银行再战移动支付 银行业统一APP“云闪付”正式发布

陈月石 | 澎湃 1天前

非洲掀起金融科技热潮

吕林倩 12-05

香港人为何看不懂支付宝?

王新喜 | 钛媒体 11-25

蚂蚁金服排查支付宝合作商户 贷款年利率不得超24%

佚名 | 第一财经 11-24

支付圈、生态圈、场景圈……各种圈的重合点在哪里?

李虹含 11-12

版权所有 © 清华大学五道口金融学院互联网金融实验室 | 京ICP备17044750号-1