长期以来,网友频繁举报一类问题,就是刚刚用手机号码注册并登录了App,浏览了一些商品或岗位信息,随后一段时间内接连收到几十个骚扰电话,内容涉及到诸如,汽车营销类4S店销售电话甚至是从未浏览过的车型经销商、楼盘售卖类询问买房意向推销房源中介信息、求职招聘类对基于个人简历信息的狂轰滥炸、网络借贷类的所谓低价贷款,股票推荐配置等等。更让网友吃惊的事,其中很多推销人员还能准确说出个人姓名、性别、最近上网的浏览记录、工作履历等。
这种利用电话过度营销,甚至不排除其中夹在不法分子的诈骗电话,引起广大网民的强烈不适和反感,网友怀疑是App将手机号码和搜索记录等个人信息“贩卖”给经销商,或者个人信息在某个环节泄露了。那么到底是哪些环节的原因造成这种现状,我们来做简要的分析。
现象分析
从App的下载安装、注册登录等环节涉及的个人信息来分析,之所以手机号码和浏览记录被用于“骚扰式”营销,主要是以下环节的原因造成的。一是从技术方法上,App可以通过调用“电话权限”“一键登录”等方式获取手机号。通常,App申请电话权限一般用于标记用户、业务风控等目的,或实现在App内的接听拨打电话功能,但同时也可以通过其中的子权限“READ_PHONE_NUMBERS”读取本机电话号码。而用户一旦开启该权限,App就有可能通过该方式拿到手机号码。“手机号一键登录”功能是运营商提供的一种服务,方便用户完成注册流程,省去输入账号密码的方便,而使用这种方式登录,由于过于方便,很多人没能意识到手机号已经提供出去了。
二是从履责要求上,App等获取手机号是满足“前台匿名,后台实名”的账号实名制管理要求。注册账号成为很多App等提供服务的前提,长久以来是行业惯例,而如今,账号体系基本都采取了使用手机号注册的方式,这与办理手机号码必须实名登记的原因密不可分。根据有关政策法规倡导的实名身份核验方式,手机号成为“前台匿名,后台实名”的一种可行方案。同时,手机号几乎成了每个网民的必备信息,无需额外注册,且能用于接收验证码,这样的特性使其成为了账号体系的“最优解”。如此,手机号便成了绝大部分应用程序所“必然”收集的个人信息。
三是从收集使用规则上,App通常把使用手机号码作为商业营销的目的“模糊化”“宽泛化”。在检测评估过程中,我们发现不少App为了达到商业推广的目的,而大量使用表达模糊、扩大范围式的固定话术来兜底营销活动中对手机号码的收集、使用、共享等环节的风险。如“当您选择参加我们举办的有关营销活动时,根据活动需要您可提供姓名、联系方式…”,究竟怎样才算是参加了App中的营销活动,是不是用户仅浏览了相关商品信息,就视为参加了营销活动,就可以直接将收集的手机号码共享给合作伙伴呢?这种不清晰的规则,对手机号码的使用范围限制几乎没有作用。
四是安全水平差、管理不善等原因导致个人信息的泄露后被他人用于“骚扰”“诈骗”。手机号码的泄露有很多渠道,常见的有管理不善给了“内鬼”贩卖个人信息的可乘之机,安全防护不过关被“黑客”拖库盗走个人信息,企业不遵守与用户的约定向第三方非法提供个人信息,对外展示大屏、快递单信息等未作脱敏处理,线下随手的营销登记、预约记录被挪作他用等等。而且,随着人工智能越来越应用广泛,智能客服机器人也成为了进行过度营销的“骚扰源”,由于机器人效率高、成本低,即使没有掌握泄露的手机号,仅使用按地域等划分方式随机生成的号码拨打也成为可能。
现象点评
手机号码作为每位网民几乎都拥有的个人信息,企业之所以几乎都会选择收集手机号码,是因为其确实“好用”,既能满足账户注册和管理要求(包括验证码登录、找回密码),也能满足有关政策制度的实名注册要求,还能用于“营销”“回访”等。因此,可以说,手机号码是被收集最广泛的信息,当然也是被泄露最多的信息,如何进行违法违规收集使用手机号码的治理可谓是难上加难。从可采取的措施来看,可以从三个角度出发开展工作:
一是从收集侧出发,最好的措施就是要少收、或收集同样具有实名特性,但无法用于骚扰用户的替代信息。少收是指除非是在有关法律法规、政策规章等有明确要求的时候才进行收集,比如浏览模式下即可提供基本功能服务的App则不应该强制用户使用手机号注册后提供服务。12月1日,公开征求意见的《常见类型移动互联网应用程序(App)必要个人信息范围》中指出,很多服务类型在用户不需要提供手机号码等实名信息的情况下应能提供基本功能服务。替代信息是指用去标识化等方式处理的个人身份信息作为App注册登录的账户标识,既可以完成身份核验又能防止被用于拨打骚扰电话等目的,如基于网证的网络可信身份认证的间接核验方式,避免了向App提交原始身份信息,从而大大减少被泄露的风险和滥用的可能。二是从使用侧出发,必须非常明确收集手机号码的使用目的,限制使用范围。如果说,收集手机号码是用于账户管理,或者身份核验,那么在用于商业营销场景前,应单独或再次告知用户使用的目的、方式、范围,并征得个人信息主体的明示同意。根据《App违法违规收集使用个人信息行为认定方法》,不管是采用默认目的捆绑、用户不知情的情况下更改目的等方式,均属于“未明示收集使用个人信息的目的、方式和范围”的情形。赋予用户拒绝或撤回同意的权利非常重要,《全国人民代表大会常务委员会关于加强网络信息保护的决定》就指出,电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息;《App违法违规收集使用个人信息行为认定方法》也指出,未向用户提供撤回同意收集个人信息的途径、方式的,可被认定为“未经用户同意收集使用个人信息”的情形。对于用户来说,并非不是不能理解商家的“首次营销”行为,而是反感在明确拒绝前提下的反复骚扰和超出预期外的第三方骚扰。三是从监管侧出发,2018年以来,多部门频繁出手,重点对商业营销类、恶意骚扰类和违法犯罪类骚扰电话进行整治,三大运营商也参与其中利用技术平台拦截骚扰电话。随着有关部门持续关注骚扰电话治理,将进一步挤压滥用电话营销的现象,推动营销活动贴合发展需要,便捷民众生活。从某种意义上来看,市场营销和个人信息保护有着矛盾性,但不可否认的是,无论哪个都是用户的需求,而我们需要做的是如何把握好平衡。这就需要App在充分保障用户权益的基础上,应用好数据这个重要的生产要素。数据使用“有术”“有度”“有利”,才能释放数据价值,保障数据安全,这是需要持续探索的方向。
(本文部分图片来源于互联网,作者:App治理工作组 宋杰)