在2021年第一批通报中,工信部表示,在其组织的十批次检测中,腾讯应用宝、小米应用商店、豌豆荚、OPPO 软件商店、华为应用市场发现问题分别占比 22.3%,12.0%,10.3%,9.9%,8.8%,平台管理主体责任落实不到位。
事实上,各大手机应用商店都有自己的审核标准。例如《华为应用市场审核指南》隐私政策显示,应用访问、收集、使用或披露任何个人数据,需经用户的同意或遵守其他适用的法律法规;应用收集和使用个人数据须遵守数据最小化原则;应用申请和使用权限须遵守权限最小化原则等。
但在实践中,应用商店未必能将审核标准落到实处。某互联网大厂一位不愿具名的安全工程师向中新经纬记者透露,目前应用商店的审查确实比较粗糙,主要原因是相关隐私标准一直在变,导致应用市场也拿不准,“有时候就睁一只眼闭一只眼上架了”。
上述安全工程师透露,开发者还可以通过某些技术操作,使App绕过应用市场的审核。“一些App在上架应用市场的时候,获取隐私的按钮是关闭的,但用户下载到手机后就自动打开了。不过这是少数行为。”
另有不愿具名的程序开发者向中新经纬记者表示,从技术上来说,应用商店可以审查出一个App可以获取用户哪些权限。一般情况下,上架应用商店的App都无法擅自获取用户的通讯、定位、麦克风权限,这些权限获取均需要经过用户同意,但不排除App强制用户开启,即不开启无法使用该App,或找借口骗用户开启,这些应用商店审查不出来。
应用商店需要承担责任吗?
中新经纬记者注意到,早在2016年6月,国家互联网信息办公室就发布了《移动互联网应用程序信息服务管理规定》,国家互联网信息办公室有关负责人就此规定答记者问时指出,“互联网应用商店服务提供者应当对应用程序提供者履行‘四项管理责任’”。其中一项责任就是“督促应用程序提供者保护用户信息,完整提供应用程序获取和使用用户信息的说明,并向用户呈现。”
中国互联网协会法治工作委员会副秘书长胡钢在接受中新经纬采访时表示,新印发的《常见类型移动互联网应用程序必要个人信息范围规定》将于5月1日施行,明确了39种常见类型App的必要个人信息范围,其中13类App无须个人信息,即可使用基本功能服务。
总的来说,这条新规更精准、更有力也更有持久性,同时也对App开发者提出了更高的要求。
“App要获取哪些权限应主动、详尽告知应用商店,还应请第三方机构对App相关信息、权限获取功能进行检测,这些细节应在应用商店展示,应用商店做好把关者的角色。”胡钢表示,“应用商店参与了App的分发、销售环节,与开发者是利益共同体,App出现问题应用商店无法独善其身,是共同责任人,应承担连带责任。”
胡钢表示,目前对侵害用户权益App且到期未整改的处罚只停留在下架层面,未来有必要加大处罚力度。“非法、过度获取或使用个人信息达到一定量,是否可以考虑停止其运营并追究其刑事责任,这是应该积极探讨的。”