App到底对我们手机做了哪些操作?

弘连网络

共 3468字,需浏览 7分钟

 ·

2021-11-03 21:38

引言

前一段时间,关于微信的一个话题#微信在后台反复读取用户相册#上了热搜,有用户发现微信会在未主动使用的情况下后台扫描用户的相册。当晚微信也进行了相关的回应如下: 

2021年11月1日,《中华人民共和国个人信息保护法》(下文简称《个保法》)正式开始施行,这是我国在信息安全领域一项重要法律,也是我国首部针对个人信息保护的专门法。从去年10月个保法草案公开征求意见开始,就引起了社会各界的广泛关注,尤其是互联网行业。

作为个人用户,个保法赋予了我们哪些权利,对于App这些个人信息处理者又有哪些要求?

个保法部分要点

  • 很多App我们平时在使用时,它们会申请跟功能几乎无关的权限,而且不点击允许,就无法正常使用。个保法第16条针对这种情况进行了明确规定: 

个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
  • 当然也有一部分特例,个保法第13条(二~七)中提到,符合下列情形之一的,个人信息处理者方可处理个人信息:

(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
  • 三最(个保法第6、19条),在处理个人信息应当采取对个人权益影响最小的方式、收集范围应当限于实现处理目的的最小的范围、保存期限应当为实现处理目的所必要的最短的时间进行了规定:

第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
第十九条 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。
  • 个人信息处理者在处理个人信息之后,个保法也根据多种场景,提出多种机制(个保法第14、15、16条):

第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。 
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。 
第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。 
个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。 
第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
  • 个人信息处理者在处理个人信息之前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知(个保法第17条)

第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。

篇幅有限,就不详细介绍,就像个保法总则写的那样,为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用。相信随着个保法正式施行,我们大家的个人信息安全会得到充分的保障。

履行个人信息保护职责的部门

个保法第六章(第60-65条)主要介绍了履行个人信息保护职责的相关部门,主要是: 

第六十条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。
前两款规定的部门统称为履行个人信息保护职责的部门。
第六十三条 履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:
(一)询问有关当事人,调查与个人信息处理活动有关的情况;
(二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;
(三)实施现场检查,对涉嫌违法的个人信息处理活动进行调查;
(四)检查与个人信息处理活动有关的设备、物品;对有证据证明是用于违法个人信息处理活动的设备、物品,向本部门主要负责人书面报告并经批准,可以查封或者扣押。
履行个人信息保护职责的部门依法履行职责,当事人应当予以协助、配合,不得拒绝、阻挠。
第六十四条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。
履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。

如何对App的个人信息处理活动进行调查?

方法一:Android自带的隐私权限管理

国内手机厂商定制的ROM中包含了很多针对我们用户隐私权限相关的功能,以MIUI为例:

我们可以很清晰地了解到每个应用何时获取了我们什么信息,做了哪些事情。

更多细节可以这里了解

小米隐私  

https://privacy.miui.com

华为EMUI  

https://consumer.huawei.com/cn/emui10-1/

ColorOS  

https://www.coloros.com/feature/coloros12#SecurityPageA


方法二:iOS 15  App 隐私报告

相比Android阵营,苹果在App隐私管理上稍慢一些,最新的iOS 15.2及以上版本的苹果设备通过依次点击「设置 – 隐私 – App 隐私报告 – 打开 App 隐私报告」便能开启App 隐私报告功能。


方法三:专业取证软件

作为取证工作者,我们平时工作中也会接触很多应用需要分析,尤其是分析这些应用获取了用户手机的哪些权限。通过雷电APP智能分析,可以很方便的知道应用中可能会获取哪些权限。

iOS APP行为分析

Android APP动态监控

写在最后

《中华人民共和国个人信息保护法》今天正式开始施行,相信在法律法规的不断完善、行业标准的不断推行,监管部门的不断努力,手机厂商和开发者源头上的自我管理之下,我们的隐私会得到更加合理的保护。

如果你曾被某个应用侵害个人信息权益、受到违法和不良信息的侵扰,不妨向有关部门提交相关材料,维护自己的合法权益,共同维护健康的互联网生态。


中央网信办(国家互联网信息办公室)违法和不良信息举报中心

https://www.12377.cn

12321 网络不良与垃圾信息举报受理中心

https://www.12321.cn

App 专项治理工作组

http://pip.tc260.org.cn/jbxt/privacy/ysjb

中国扫黄打非网

http://www.shdf.gov.cn/shdf/channels/740.html
评论赠书活动

本文下方评论留言,点赞数最高的10位读者,可以获赠中国法制出版社出版的《个人信息保护法理解与适用》一本,截止明天(2021年11月2日)下午五点,感谢大家阅读。


浏览 90
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报