中國(guó)消費(fèi)者報(bào)報(bào)道(記者武曉莉)12月20日,,國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心點(diǎn)名存在隱私不合規(guī)行為的17款A(yù)PP,其中包括哈啰出行,、和訊財(cái)經(jīng)等在內(nèi)的15款A(yù)PP“未向用戶明示申請(qǐng)的全部隱私權(quán)限”,。
一年來(lái),,多部門聯(lián)手依法對(duì)APP侵犯?jìng)€(gè)人隱私問(wèn)題進(jìn)行集中治理。日前,,國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心,、中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)基于“APP收集使用個(gè)人信息監(jiān)測(cè)平臺(tái)”“APP舉報(bào)受理平臺(tái)”的監(jiān)測(cè)數(shù)據(jù),發(fā)布《APP違法違規(guī)收集使用個(gè)人信息監(jiān)測(cè)分析報(bào)告》(以下簡(jiǎn)稱《報(bào)告》),,指出目前強(qiáng)制收集非必要個(gè)人信息問(wèn)題明顯減少,,但啟動(dòng)彈窗索要無(wú)關(guān)權(quán)限仍多發(fā);超范圍收集個(gè)人信息行為治理成效初顯,但仍須緊盯敏感權(quán)限聲明超出必要范圍等7類隱蔽問(wèn)題,。
彈窗索要無(wú)關(guān)權(quán)限仍多發(fā)
細(xì)心的用戶可能會(huì)發(fā)現(xiàn),,諸如微信、前程無(wú)憂51Job等頭部APP的最新版本,,啟動(dòng)時(shí)已不再索要存儲(chǔ),、設(shè)備等無(wú)關(guān)權(quán)限。據(jù)《報(bào)告》統(tǒng)計(jì),,目前全國(guó)主流安卓應(yīng)用商店在架APP的去重后總數(shù)為112萬(wàn)款,,而APP強(qiáng)制要求收集個(gè)人信息是用戶普遍反感的違規(guī)行為之一。今年以來(lái),,APP強(qiáng)制要求用戶打開非必要權(quán)限,、強(qiáng)制要求用戶填寫非必要個(gè)人信息等典型違規(guī)行為明顯減少,監(jiān)測(cè)發(fā)現(xiàn)僅有1%的中小應(yīng)用殘留此問(wèn)題,。
《報(bào)告》顯示,,盡管很多APP不再?gòu)?qiáng)制收集個(gè)人信息,但仍存在首次啟動(dòng)時(shí)彈窗索要多個(gè)無(wú)關(guān)權(quán)限的問(wèn)題,,由此產(chǎn)生的投訴舉報(bào)也比較集中,,用戶對(duì)此較為反感。據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心相關(guān)人士介紹,,目前量大面廣的APP已將啟動(dòng)時(shí)索要權(quán)限改為在用戶觸發(fā)特定功能時(shí)再索要對(duì)應(yīng)權(quán)限,,改善了用戶體驗(yàn)。監(jiān)測(cè)顯示,在華為,、小米,、vivo、OPPO,、騰訊等主流品牌的應(yīng)用商店近3個(gè)月新上架的應(yīng)用中,,每月平均有近1000款應(yīng)用存在此問(wèn)題。
主流應(yīng)用商店APP啟動(dòng)彈窗索要多個(gè)無(wú)關(guān)權(quán)限問(wèn)題分布情況
數(shù)據(jù)來(lái)源:《APP違法違規(guī)收集使用個(gè)人信息監(jiān)測(cè)分析報(bào)告》
“由于APP數(shù)量非常多,,推陳出新頻率高,,而且APP的個(gè)人信息收集行為和方式也在不斷變化,監(jiān)管部門很難做到全覆蓋監(jiān)管,,很容易出現(xiàn)覆蓋范圍過(guò)窄的情況,。”TalkingData法務(wù)合規(guī)負(fù)責(zé)人兼數(shù)據(jù)合規(guī)官葛夢(mèng)瑩對(duì)《中國(guó)消費(fèi)者報(bào)》記者說(shuō),“針對(duì)海量APP收集,、使用個(gè)人信息的情況,,《個(gè)人信息保護(hù)法》提出了從關(guān)鍵環(huán)節(jié)入手的監(jiān)管思路,即首次區(qū)分了一般的個(gè)人信息處理者和充當(dāng)‘守門人’角色的操作系統(tǒng),、應(yīng)用程序分發(fā)平臺(tái),、大型APP平臺(tái)等個(gè)人信息處理者(以下簡(jiǎn)稱超大平臺(tái))。這其中就包括了上述應(yīng)用商店,,因?yàn)閼?yīng)用商店是眾多APP進(jìn)行個(gè)人信息收集處理的必要通道,,從應(yīng)用商店這個(gè)關(guān)鍵環(huán)節(jié)入手,對(duì)其提出增強(qiáng)個(gè)人信息保護(hù)的要求,,例如要求超大平臺(tái)建立外部監(jiān)督委員會(huì),,主動(dòng)引入對(duì)內(nèi)部信息處理行為的社會(huì)監(jiān)督,主動(dòng)承擔(dān)對(duì)平臺(tái)生態(tài)中各方個(gè)人信息處理行為的監(jiān)督,,并發(fā)布社會(huì)責(zé)任報(bào)告等多種手段來(lái)杜絕APP強(qiáng)制收集非必要個(gè)人信息的問(wèn)題,。”
超限收集含7類隱蔽問(wèn)題
互聯(lián)網(wǎng)時(shí)代,大家都有被精準(zhǔn)推送的體驗(yàn),。采訪中,,中國(guó)廣告協(xié)會(huì)法律咨詢委員會(huì)常務(wù)委員杜東為對(duì)《中國(guó)消費(fèi)者報(bào)》記者說(shuō),由于手機(jī)屏幕空間有限,,平臺(tái)算法必須在海量信息中找到用戶感興趣和有價(jià)值的信息,。通過(guò)完全自動(dòng)化的決策過(guò)程,推薦系統(tǒng)在自動(dòng)分析,、評(píng)估個(gè)人行為習(xí)慣,、興趣愛好或者經(jīng)濟(jì)、健康,、信用狀況后進(jìn)行決策,,并向用戶展示,。
《報(bào)告》顯示,部分APP出于精準(zhǔn)用戶畫像,、推廣營(yíng)銷等商業(yè)目的,,想方設(shè)法地超出實(shí)現(xiàn)功能的必要范圍,進(jìn)而收集更多個(gè)人信息,。目前,超限收集個(gè)人信息主要包括7類隱蔽問(wèn)題:
敏感權(quán)限聲明超出必要范圍,。少量APP在未提供實(shí)際功能的情況下,,仍然聲明了相關(guān)敏感權(quán)限,存在熱更新后調(diào)用和SDK(軟件開發(fā)工具包)調(diào)用權(quán)限的風(fēng)險(xiǎn),。
權(quán)限索取超出必要范圍,。一些APP超出當(dāng)前功能需要索取權(quán)限,例如,,有的電話攔截功能只需3項(xiàng)敏感權(quán)限即可實(shí)現(xiàn),,而應(yīng)用卻索要了短信、存儲(chǔ),、通訊錄等7項(xiàng)敏感權(quán)限,。
收集數(shù)據(jù)的敏感性超出必要范圍。一些APP在使用低敏感性數(shù)據(jù)即可實(shí)現(xiàn)功能的情況下,,仍然收集高敏感性數(shù)據(jù),。例如,普通的天氣查詢功能只需要城市或地區(qū)級(jí)的粗略位置信息即可,,但有的天氣查詢APP卻超范圍地索要精準(zhǔn)位置等敏感個(gè)人信息,。
收集數(shù)據(jù)的具體內(nèi)容超出必要范圍。一些APP在僅需部分?jǐn)?shù)據(jù)內(nèi)容即可實(shí)現(xiàn)功能的情況下,,收集了全部?jī)?nèi)容,。例如,查找好友功能只需匿名化后的手機(jī)號(hào)碼即可實(shí)現(xiàn),,不應(yīng)超范圍地收集通訊錄聯(lián)系人的姓名,、郵箱、地址等內(nèi)容,。
收集方式超出必要范圍,。APP收集個(gè)人信息的方式包括單次讀取、本地存儲(chǔ),、上傳云端等,,這些方式對(duì)個(gè)人的影響程度依次遞增,而APP應(yīng)在滿足功能需求的前提下,,選擇影響程度最低的收集方式,。例如,,只需單次讀取或本地存儲(chǔ)即可實(shí)現(xiàn)的功能,不應(yīng)默認(rèn)使用上傳云端,。
收集頻率超出必要范圍,。有的APP收集每項(xiàng)個(gè)人信息的頻率明顯超出當(dāng)前功能的必要范圍,例如,,運(yùn)動(dòng)健身類應(yīng)用在用戶觀看視頻等無(wú)關(guān)功能時(shí),,也每分鐘獲取位置信息近百次,明顯超出了必要范圍,。
收集場(chǎng)景超出必要范圍,。很多APP除了在功能必需的合理場(chǎng)景收集信息,還在啟動(dòng),、自啟動(dòng),、后臺(tái)運(yùn)行、使用不相關(guān)功能等其他場(chǎng)景收集信息,,違反了必要原則,。
中小應(yīng)用常頻繁索權(quán)
APP的下載量集中在頭部應(yīng)用,從百萬(wàn)級(jí)到億級(jí)的,,總共只占APP總數(shù)的3.4%,,97%左右的都是中小應(yīng)用?!秷?bào)告》顯示,,恰恰是中小應(yīng)用的“知情同意”問(wèn)題較多,集中表現(xiàn)為同意前收集,、頻繁索權(quán)等,。
知情同意是處理個(gè)人信息的基本前提條件之一。目前常見違規(guī)問(wèn)題集中表現(xiàn)為4類:
征得用戶同意前收集個(gè)人信息,。監(jiān)測(cè)發(fā)現(xiàn),,2萬(wàn)中小應(yīng)用樣本在同意隱私政策前將用戶ID等信息上傳至云端服務(wù)器,4.4萬(wàn)中小應(yīng)用樣本沒(méi)有向用戶提供明確的隱私政策拒絕選項(xiàng),。
用戶拒絕后頻繁征求用戶同意,,干擾用戶正常使用。13萬(wàn)存量中小應(yīng)用樣本在用戶明確拒絕授權(quán)后,,仍然在使用過(guò)程中頻繁索取權(quán)限,,或者在用戶下次進(jìn)入應(yīng)用時(shí)再次索取權(quán)限。人工抽驗(yàn)顯示,,近3個(gè)月新上架的應(yīng)用仍普遍存在頻繁索權(quán)的問(wèn)題,。
誘導(dǎo)用戶同意,收集個(gè)人信息,。例如以簽到,、福利等為理由誘導(dǎo)用戶提供姓名,、手機(jī)號(hào)、住址,,以“絕不收集隱私信息”等欺騙性提示誘導(dǎo)用戶安裝使用APP等,。
個(gè)人信息進(jìn)行定向推送但無(wú)法關(guān)閉。有27萬(wàn)個(gè)應(yīng)用樣本聲明,,會(huì)利用個(gè)人信息進(jìn)行定向推送,,但人工抽驗(yàn)卻發(fā)現(xiàn),除了新聞資訊,、網(wǎng)絡(luò)直播,、短視頻等部分類別外,大多未提供關(guān)閉定向推送的選項(xiàng),。此外,部分APP盡管提供了關(guān)閉選項(xiàng),,但仍存在為關(guān)閉選項(xiàng)強(qiáng)制設(shè)定為期幾個(gè)月的有效期,,到期后自動(dòng)恢復(fù)定向推送;關(guān)閉選項(xiàng)極其隱蔽,普通用戶難以發(fā)現(xiàn);關(guān)閉定向推送后并不生效等問(wèn)題,。
隱私政策晦澀隱蔽問(wèn)題突出
監(jiān)測(cè)發(fā)現(xiàn),,存在無(wú)隱私政策問(wèn)題的APP占比已由2019年最高的26%下降至今年的6.7%。平臺(tái)企業(yè)公開收集使用規(guī)則的意識(shí)顯著增強(qiáng),,小米,、華為等頭部品牌的應(yīng)用商店已加強(qiáng)無(wú)隱私政策問(wèn)題應(yīng)用的審核力度,對(duì)存在該問(wèn)題的8.1萬(wàn)個(gè)存量應(yīng)用進(jìn)行了下架處理,。在近3個(gè)月新上架的頭部應(yīng)用程序中,,此問(wèn)題已基本清零,但部分中小應(yīng)用商店審核機(jī)制尚未健全,,仍有7.8萬(wàn)款存量問(wèn)題須進(jìn)行下架清理,。
《報(bào)告》顯示,明示收集行為日趨受到重視,,但未明示敏感數(shù)據(jù)收集與“一攬子”同意問(wèn)題仍突出,。監(jiān)測(cè)數(shù)據(jù)與人工抽驗(yàn)結(jié)果都顯示,隱私政策存在隱瞞個(gè)人信息收集行為,、“一攬子”同意等較為突出的違規(guī)問(wèn)題,,其中包括隱瞞敏感個(gè)人信息收集行為;隱瞞個(gè)人信息對(duì)外共享行為;要求“一攬子”地同意隱私政策全部條款,甚至不合理?xiàng)l款,。
葛夢(mèng)瑩指出:“隱私政策是用戶感知最為明顯的重要手段,,是APP所必備的。隱私政策寫得過(guò)于晦澀難懂,,也是廣受個(gè)人用戶詬病的問(wèn)題,。”對(duì)于隱私政策的寫法,、展示方式等,也需要嚴(yán)格遵守相關(guān)法律法規(guī)和國(guó)家標(biāo)準(zhǔn),,例如除落實(shí)《個(gè)人信息保護(hù)法》的相關(guān)要求外,,還須充分考慮個(gè)人用戶的閱讀習(xí)慣,并且切實(shí)保障用戶權(quán)利的行使,,這也是接下來(lái)APP的合規(guī)工作整治重點(diǎn),。她補(bǔ)充說(shuō):“目前比較具有參考性和可執(zhí)行性的隱私政策模板還是GB/T352732020《個(gè)人信息安全規(guī)范》的附錄D,這也是被APP廣泛應(yīng)用的模板,。同時(shí),,《個(gè)人信息安全規(guī)范》的附錄C也明確了基本業(yè)務(wù)功能和拓展業(yè)務(wù)功能的設(shè)計(jì)思路,并且在其注釋中闡明,,如果重新劃分產(chǎn)品功能,,宜再次告知并征得同意,而這也在一定程度上呼應(yīng)了《個(gè)人信息保護(hù)法》第十四條的規(guī)定,。同時(shí),,正在編制中的《互聯(lián)網(wǎng)平臺(tái)及產(chǎn)品服務(wù)隱私協(xié)議要求》將對(duì)隱私政策提出具有可執(zhí)行性的要求。”
此外,,《報(bào)告》顯示,,目前APP賬號(hào)基本具備注銷功能,但仍須重視其設(shè)置不合理注銷條件等違規(guī)情形,。中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)安中心測(cè)評(píng)實(shí)驗(yàn)室副主任何延哲對(duì)《中國(guó)消費(fèi)者報(bào)》記者說(shuō),,目前,相關(guān)人員已在對(duì)包括小程序在內(nèi)的賬號(hào)注銷問(wèn)題進(jìn)行研究,。
官方微信公眾號(hào)
官方微博
