中國消費者報報道(記者武曉莉)12月20日,,國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心點名存在隱私不合規(guī)行為的17款A(yù)PP,,其中包括哈啰出行,、和訊財經(jīng)等在內(nèi)的15款A(yù)PP“未向用戶明示申請的全部隱私權(quán)限”。
一年來,,多部門聯(lián)手依法對APP侵犯個人隱私問題進行集中治理,。日前,,國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心,、中國網(wǎng)絡(luò)空間安全協(xié)會基于“APP收集使用個人信息監(jiān)測平臺”“APP舉報受理平臺”的監(jiān)測數(shù)據(jù),發(fā)布《APP違法違規(guī)收集使用個人信息監(jiān)測分析報告》(以下簡稱《報告》),,指出目前強制收集非必要個人信息問題明顯減少,,但啟動彈窗索要無關(guān)權(quán)限仍多發(fā);超范圍收集個人信息行為治理成效初顯,但仍須緊盯敏感權(quán)限聲明超出必要范圍等7類隱蔽問題,。
彈窗索要無關(guān)權(quán)限仍多發(fā)
細心的用戶可能會發(fā)現(xiàn),,諸如微信、前程無憂51Job等頭部APP的最新版本,,啟動時已不再索要存儲,、設(shè)備等無關(guān)權(quán)限。據(jù)《報告》統(tǒng)計,,目前全國主流安卓應(yīng)用商店在架APP的去重后總數(shù)為112萬款,,而APP強制要求收集個人信息是用戶普遍反感的違規(guī)行為之一。今年以來,,APP強制要求用戶打開非必要權(quán)限,、強制要求用戶填寫非必要個人信息等典型違規(guī)行為明顯減少,監(jiān)測發(fā)現(xiàn)僅有1%的中小應(yīng)用殘留此問題,。
《報告》顯示,,盡管很多APP不再強制收集個人信息,但仍存在首次啟動時彈窗索要多個無關(guān)權(quán)限的問題,,由此產(chǎn)生的投訴舉報也比較集中,,用戶對此較為反感。據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心相關(guān)人士介紹,,目前量大面廣的APP已將啟動時索要權(quán)限改為在用戶觸發(fā)特定功能時再索要對應(yīng)權(quán)限,,改善了用戶體驗。監(jiān)測顯示,,在華為,、小米、vivo,、OPPO,、騰訊等主流品牌的應(yīng)用商店近3個月新上架的應(yīng)用中,每月平均有近1000款應(yīng)用存在此問題,。
主流應(yīng)用商店APP啟動彈窗索要多個無關(guān)權(quán)限問題分布情況
數(shù)據(jù)來源:《APP違法違規(guī)收集使用個人信息監(jiān)測分析報告》
“由于APP數(shù)量非常多,,推陳出新頻率高,,而且APP的個人信息收集行為和方式也在不斷變化,監(jiān)管部門很難做到全覆蓋監(jiān)管,,很容易出現(xiàn)覆蓋范圍過窄的情況,。”TalkingData法務(wù)合規(guī)負責(zé)人兼數(shù)據(jù)合規(guī)官葛夢瑩對《中國消費者報》記者說,“針對海量APP收集,、使用個人信息的情況,,《個人信息保護法》提出了從關(guān)鍵環(huán)節(jié)入手的監(jiān)管思路,即首次區(qū)分了一般的個人信息處理者和充當(dāng)‘守門人’角色的操作系統(tǒng),、應(yīng)用程序分發(fā)平臺,、大型APP平臺等個人信息處理者(以下簡稱超大平臺)。這其中就包括了上述應(yīng)用商店,,因為應(yīng)用商店是眾多APP進行個人信息收集處理的必要通道,,從應(yīng)用商店這個關(guān)鍵環(huán)節(jié)入手,對其提出增強個人信息保護的要求,,例如要求超大平臺建立外部監(jiān)督委員會,,主動引入對內(nèi)部信息處理行為的社會監(jiān)督,主動承擔(dān)對平臺生態(tài)中各方個人信息處理行為的監(jiān)督,,并發(fā)布社會責(zé)任報告等多種手段來杜絕APP強制收集非必要個人信息的問題,。”
超限收集含7類隱蔽問題
互聯(lián)網(wǎng)時代,大家都有被精準(zhǔn)推送的體驗,。采訪中,,中國廣告協(xié)會法律咨詢委員會常務(wù)委員杜東為對《中國消費者報》記者說,由于手機屏幕空間有限,,平臺算法必須在海量信息中找到用戶感興趣和有價值的信息,。通過完全自動化的決策過程,推薦系統(tǒng)在自動分析,、評估個人行為習(xí)慣,、興趣愛好或者經(jīng)濟、健康,、信用狀況后進行決策,,并向用戶展示。
《報告》顯示,,部分APP出于精準(zhǔn)用戶畫像,、推廣營銷等商業(yè)目的,想方設(shè)法地超出實現(xiàn)功能的必要范圍,,進而收集更多個人信息,。目前,超限收集個人信息主要包括7類隱蔽問題:
敏感權(quán)限聲明超出必要范圍,。少量APP在未提供實際功能的情況下,,仍然聲明了相關(guān)敏感權(quán)限,,存在熱更新后調(diào)用和SDK(軟件開發(fā)工具包)調(diào)用權(quán)限的風(fēng)險。
權(quán)限索取超出必要范圍,。一些APP超出當(dāng)前功能需要索取權(quán)限,,例如,有的電話攔截功能只需3項敏感權(quán)限即可實現(xiàn),,而應(yīng)用卻索要了短信,、存儲、通訊錄等7項敏感權(quán)限,。
收集數(shù)據(jù)的敏感性超出必要范圍,。一些APP在使用低敏感性數(shù)據(jù)即可實現(xiàn)功能的情況下,,仍然收集高敏感性數(shù)據(jù),。例如,普通的天氣查詢功能只需要城市或地區(qū)級的粗略位置信息即可,,但有的天氣查詢APP卻超范圍地索要精準(zhǔn)位置等敏感個人信息,。
收集數(shù)據(jù)的具體內(nèi)容超出必要范圍。一些APP在僅需部分數(shù)據(jù)內(nèi)容即可實現(xiàn)功能的情況下,,收集了全部內(nèi)容,。例如,查找好友功能只需匿名化后的手機號碼即可實現(xiàn),,不應(yīng)超范圍地收集通訊錄聯(lián)系人的姓名,、郵箱、地址等內(nèi)容,。
收集方式超出必要范圍,。APP收集個人信息的方式包括單次讀取、本地存儲,、上傳云端等,,這些方式對個人的影響程度依次遞增,而APP應(yīng)在滿足功能需求的前提下,,選擇影響程度最低的收集方式,。例如,只需單次讀取或本地存儲即可實現(xiàn)的功能,,不應(yīng)默認使用上傳云端,。
收集頻率超出必要范圍。有的APP收集每項個人信息的頻率明顯超出當(dāng)前功能的必要范圍,,例如,,運動健身類應(yīng)用在用戶觀看視頻等無關(guān)功能時,也每分鐘獲取位置信息近百次,,明顯超出了必要范圍,。
收集場景超出必要范圍,。很多APP除了在功能必需的合理場景收集信息,還在啟動,、自啟動,、后臺運行、使用不相關(guān)功能等其他場景收集信息,,違反了必要原則,。
中小應(yīng)用常頻繁索權(quán)
APP的下載量集中在頭部應(yīng)用,從百萬級到億級的,,總共只占APP總數(shù)的3.4%,,97%左右的都是中小應(yīng)用?!秷蟾妗凤@示,,恰恰是中小應(yīng)用的“知情同意”問題較多,集中表現(xiàn)為同意前收集,、頻繁索權(quán)等,。
知情同意是處理個人信息的基本前提條件之一。目前常見違規(guī)問題集中表現(xiàn)為4類:
征得用戶同意前收集個人信息,。監(jiān)測發(fā)現(xiàn),,2萬中小應(yīng)用樣本在同意隱私政策前將用戶ID等信息上傳至云端服務(wù)器,4.4萬中小應(yīng)用樣本沒有向用戶提供明確的隱私政策拒絕選項,。
用戶拒絕后頻繁征求用戶同意,,干擾用戶正常使用。13萬存量中小應(yīng)用樣本在用戶明確拒絕授權(quán)后,,仍然在使用過程中頻繁索取權(quán)限,,或者在用戶下次進入應(yīng)用時再次索取權(quán)限。人工抽驗顯示,,近3個月新上架的應(yīng)用仍普遍存在頻繁索權(quán)的問題,。
誘導(dǎo)用戶同意,收集個人信息,。例如以簽到,、福利等為理由誘導(dǎo)用戶提供姓名、手機號,、住址,,以“絕不收集隱私信息”等欺騙性提示誘導(dǎo)用戶安裝使用APP等。
個人信息進行定向推送但無法關(guān)閉,。有27萬個應(yīng)用樣本聲明,,會利用個人信息進行定向推送,但人工抽驗卻發(fā)現(xiàn),,除了新聞資訊,、網(wǎng)絡(luò)直播,、短視頻等部分類別外,大多未提供關(guān)閉定向推送的選項,。此外,,部分APP盡管提供了關(guān)閉選項,但仍存在為關(guān)閉選項強制設(shè)定為期幾個月的有效期,,到期后自動恢復(fù)定向推送;關(guān)閉選項極其隱蔽,,普通用戶難以發(fā)現(xiàn);關(guān)閉定向推送后并不生效等問題。
隱私政策晦澀隱蔽問題突出
監(jiān)測發(fā)現(xiàn),,存在無隱私政策問題的APP占比已由2019年最高的26%下降至今年的6.7%,。平臺企業(yè)公開收集使用規(guī)則的意識顯著增強,小米,、華為等頭部品牌的應(yīng)用商店已加強無隱私政策問題應(yīng)用的審核力度,,對存在該問題的8.1萬個存量應(yīng)用進行了下架處理。在近3個月新上架的頭部應(yīng)用程序中,,此問題已基本清零,,但部分中小應(yīng)用商店審核機制尚未健全,仍有7.8萬款存量問題須進行下架清理,。
《報告》顯示,明示收集行為日趨受到重視,,但未明示敏感數(shù)據(jù)收集與“一攬子”同意問題仍突出,。監(jiān)測數(shù)據(jù)與人工抽驗結(jié)果都顯示,隱私政策存在隱瞞個人信息收集行為,、“一攬子”同意等較為突出的違規(guī)問題,,其中包括隱瞞敏感個人信息收集行為;隱瞞個人信息對外共享行為;要求“一攬子”地同意隱私政策全部條款,甚至不合理條款,。
葛夢瑩指出:“隱私政策是用戶感知最為明顯的重要手段,,是APP所必備的。隱私政策寫得過于晦澀難懂,,也是廣受個人用戶詬病的問題,。”對于隱私政策的寫法、展示方式等,,也需要嚴格遵守相關(guān)法律法規(guī)和國家標(biāo)準(zhǔn),,例如除落實《個人信息保護法》的相關(guān)要求外,還須充分考慮個人用戶的閱讀習(xí)慣,,并且切實保障用戶權(quán)利的行使,,這也是接下來APP的合規(guī)工作整治重點。她補充說:“目前比較具有參考性和可執(zhí)行性的隱私政策模板還是GB/T352732020《個人信息安全規(guī)范》的附錄D,,這也是被APP廣泛應(yīng)用的模板,。同時,,《個人信息安全規(guī)范》的附錄C也明確了基本業(yè)務(wù)功能和拓展業(yè)務(wù)功能的設(shè)計思路,并且在其注釋中闡明,,如果重新劃分產(chǎn)品功能,,宜再次告知并征得同意,而這也在一定程度上呼應(yīng)了《個人信息保護法》第十四條的規(guī)定,。同時,,正在編制中的《互聯(lián)網(wǎng)平臺及產(chǎn)品服務(wù)隱私協(xié)議要求》將對隱私政策提出具有可執(zhí)行性的要求。”
此外,,《報告》顯示,,目前APP賬號基本具備注銷功能,但仍須重視其設(shè)置不合理注銷條件等違規(guī)情形,。中國電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)安中心測評實驗室副主任何延哲對《中國消費者報》記者說,,目前,相關(guān)人員已在對包括小程序在內(nèi)的賬號注銷問題進行研究,。
官方微信公眾號
官方微博
