12月20日(ri),國家計算機網絡應急技術處理(li)協調中(�������zhong)(zhong)心(xin)點名存在隱私(si)(si)不合規行為的17款APP,其(qi)中(zhong)(zhong)包括哈啰出行、和(he)訊財經等在內的15款APP“未向(x�������iang)用戶明示申(shen)請的全部隱私(si)(si)權限(xian)”。
一年來,多(duo)部門聯手依(yi)法(fa)對APP侵(qin)犯(fan)個(ge)人(ren)(ren)隱私問題(ti)進������行集中治(zhi)理。日前,國(guo)家計算機網(wang)絡(luo)應急技術(shu)處理協調中心、中國(guo)網(wang)絡(luo)空間安全(quan)協會基(ji)于(yu)“APP收集使用(yong)個(ge)人(ren)(ren)信息(xi)監測平(ping)臺”“APP舉報(bao)受(shou)理平(ping)臺”的監測數據,發布《APP違(wei)法(fa)違(wei)規收集使用(yong)個(ge)人(ren)(ren)信息(xi)監測分析報(bao)告(gao)》(以下簡稱《報(bao)告(gao)》),指出目前強制(zhi)收集非(fei)必要(yao)個(ge)人(ren)(ren)信息(xi)問題(ti)明(ming)顯(xian)減少,但啟動彈窗索(suo)要(yao)無關(guan)權(quan)限仍多(duo)發;超(chao)范(fan)圍收集個(ge)人(ren)(ren)信息(xi)行為治(zhi)理成效(xiao)初(chu)顯(xian),但仍須緊盯敏感權(quan)限聲明(ming)超(chao)出必要(yao)范(fan)圍等7類(lei�������)隱蔽問題(ti)。
細心(xin)的用(yong)(yong)戶(hu)可能會(hui)發現(xian),諸如微信(xin)、前程無憂51Job等(deng)(deng)頭部APP的最(zui)新(xin)版本,啟動時已(yi)不再(zai)索要(yao)(yao)存儲、設備(bei)等(deng)(deng)無關權(quan)限。據(ju)《報告》統(tong)計(ji),目(mu)前全國主流安卓(zhuo)應(ying)用(yong)(yong)商店(dian)在架APP的去重(zhong)后總數為112萬款(ku�������an),而APP強制要(yao)(yao)求(qiu)收集(ji)個(ge)人(ren)信(xin)息是用(yong)(yong)戶(hu)普遍反感的違(wei)規行(xing)為之一(������yi)。今年以來,APP強制要(yao)(yao)求(qiu)用(yong)(yong)戶(hu)打開非必要(yao)(yao)權(quan)限、強制要(yao)(yao)求(qiu)用(yong)(yong)戶(hu)填寫非必要(yao)(yao)個(ge)人(ren)信(xin)息等(deng)(deng)典型違(wei)規行(xing)為明顯(xian)減(jian)少,監測(ce)發現(xian)僅(jin)有1%的中小應(ying)用(yong)(yong)殘留此(ci)問題。
《報(bao)告》顯(xian)示,盡(jin)管很(hen)多(duo)APP不再強制收集個人(ren)信(xin)息(xi),但(dan)仍存在(zai)(zai)首次啟動時(shi)彈窗索(suo)要(yao)多(duo)個無關權限(xian)(xian)的(de)問(wen)題(ti),由此(ci)產生(sheng)的(de)投訴(su)舉報(bao)也比較(jiao)集中,用戶對(dui)此(ci)較(jiao)為(wei)反感。據國家計算機(ji)網絡應(ying)急技術處理協調中心相關人(ren)士介紹,目(mu)前量(liang)大面廣的(de)APP已將啟動時(shi)索(suo)要(yao)權限(xian)(xian)改(gai)(gai)為(wei)在(zai)(����zai)用戶觸發特(te)定(ding)功能時(shi)再索(suo)要(yao)對(dui)應(ying)權限(xian)(xian),改(gai)(gai)善了用戶體驗。監(jian)測(ce)顯(xian)示,在(zai)(zai)華為(wei)、小(xiao)米、vivo、OPPO、騰訊(xun)等(deng)主流(liu)品牌的(de)應(ying)用商店近3個月新上架的(de)應(ying)用中,每月平均有近1000款應(ying)用存在(zai)(zai)此(ci)問(wen)題(ti)。
“由于APP數量非常多,������推陳(chen)出(chu)新頻率(lv)高,而且APP的(de)個(ge)人信(xin)息(xi)收集(ji)行(xing)為和方(fang)式(shi)也在不斷變化,監(jian)(jian)(jian)(jian)管部(bu)�������門(men)很難(nan)做到(dao)全覆(fu)蓋(gai)(gai)監(jian)(jian)(jian)(jian)管,很容(rong)易出(chu)現(xian)覆(fu)蓋(gai)(gai)范圍過窄(zhai)的(de)情(qing)況。”TalkingData法務合(he)規(gui)負責人兼(jian)數據合(he)規(gui)官葛夢瑩對《中國消(xiao)費者(zhe)報(bao)》記者(zhe)說,“針(zhen)對海量APP收集(ji)、使用(yong)個(ge)人信(xin)息(xi)的(de)情(qing)況,《個(ge)人信(xin)息(xi)保護法》提出(chu)了(le)從關(guan)鍵環(huan)節入(ru)手的(de)監(jian)(jian)(jian)(jian)管思路,即(ji)首次區分了(le)一(yi)般的(de)個(ge)人信(xin)息(xi)處理者(zhe)和充當‘守門(men)人’角色的(de)操(cao)作系統、應(ying)用(yong)程序分發平臺(tai)、大型(xing)APP平臺(tai)等(deng)個(ge)人信(xin)息(xi)處理者(zhe)(以(yi)下簡(jian)稱超(chao)大平臺(tai))。這其(qi)中就包括了(le)上述(shu)應(ying)用(yong)商(shang)店(dian),因(yin)為應(ying)用(yong)商(shang)店(dian)是眾多APP進行(xing)個(ge)人信(xin)息(xi)收集(ji)處理的(de)必要通(tong)道(dao),從應(ying)用(yong)商(shang)店(dian)這個(ge)關(guan)鍵環(huan)節入(ru)手,對其(qi)提出(chu)增強個(ge)人信(xin)息(xi)保護的(de)要求,例如(ru)要求超(chao)大平臺(tai)建立外(wai)部(bu)監(jian)(jian)(jian)(jian)督(du)委員(yuan)會(hui),主動(dong)(dong)引入(ru)對內部(bu)信(xin)息(xi)處理行(xing)為的(de)社(she)會(hui)監(jian)(jian)(jian)(jian)督(du),主動(dong)(dong)承擔對平臺(tai)生態中各方(fang)個(ge)人信(xin)息(xi)處理行(xing)為的(de)監(jian)(jian)(jian)(jian)督(du),并(bing)發布社(she)會(hui)責任報(bao)告(gao)等(deng)多種手段來杜絕APP強制收集(ji)非必要個(ge)人信(xin)息(xi)的(de)問(wen)題。”
超限收集含7類(lei)隱蔽問(wen)題(ti)
互聯網(wang)時(shi)代,大家都有(you)被精準推送的(de)體驗(yan)。采(cai)訪中(zhong)(zhong),中(zhong)(zhong)國廣告協會法(fa)律咨詢委(wei)員(yuan)會常務委(wei)員(yuan)杜東為對(dui)《中(zhong)(zhong)國消費者報》記者說,由于(yu)手機屏幕空間有(you)限(xian),平臺算(suan)法(fa)必(bi)須在海量(liang)信息中(zhong)(zhong)找到用戶(hu)感興趣和有(you)價值的(de)信息。通(to�����ng)過完全自動(dong)(dong)化的(de)決策過程(cheng),推薦系(xi)統在自動(dong)(dong)分析、評估個人(ren)行為習慣、興趣愛好(hao)或(huo)者經濟、健康、信用狀況后進行決策,并(bing)向用戶(hu)展示(shi)。
《報告(������gao)》顯(xian)示(shi),部(bu)分APP出(chu)于精準用(yong)戶畫像、推(tui)廣營銷等商業(ye)目(mu)的(de),想方設法(fa)地超(chao)出(chu)實(shi)現(xian)功能(neng)的(de)必要(yao)范�������圍,進(jin)而收集更多個(ge)(ge)人(ren)(ren)信(xin)息。目(mu)前,超(chao)限收集個(ge)(ge)人(ren)(ren)信(xin)息主要(yao)包括7類隱(yin)蔽問(wen)題(ti):
敏感權(quan)限(xian)聲明超出必要范圍。少量APP在(zai)未(wei)提供實際功能(neng)的情況下(xia),仍然(ran)聲������明了相關敏感權(quan)限(xian),存在(zai)熱更(geng)新后(hou)調(diao)用和SDK(軟件開發工具包)調(diao)用權(quan)限(xian)的風險。
權(quan)(quan)限(xian)(xian)(xian)索(suo)取超出(chu)(chu)必要范圍。一些APP超出(chu)(chu)當前功(gong)能需要索(suo)取權(quan)(quan)限(xian)(xian)(xian),例(li)如,有的電話(hua)攔截功(gong)能只需3項敏(min)感權(quan)(quan)限(xian)(xian)(xian)即可實現,而(er)應用卻索(suo)要了短信、存儲、通(tong)訊(xun)錄等7項������敏(min)感權(quan)(quan)限(xian)(xian)(xian)。
收集數據的(de)(de)敏感性超出必要范圍(wei)。一些APP在使用低敏感性數據即(ji)可(ke)實現(xian)功能的(de)(de)情(qing)況下,仍(reng)然收集高敏感性數據。例如(ru),普(pu)通的(de)(de)天(tian)氣(qi)(qi)查詢功能只需要城市或地(di)區級(ji)的�������(de)(de)粗略(lve)位(wei)置(zhi)信(xin)息(xi)即(ji)可(ke),但有的(de)(de)天(tian)氣(qi)(qi)查詢APP卻超范圍(wei)地(di)索要�������精準位(wei)置(zhi)等敏感個(ge)人信(xin)息(xi)。
收集(ji)數據(ju)的具體內容超出必要(yao)范圍(wei)。一(yi)些APP在僅需部(bu)分(fen)數據(ju)內容即可實(shi)現功能的情況下,收集(ji)了全部(bu)內容。例(li)如,查找好友功能只需匿名(ming)化后的手機號碼即可實(s�������hi)現,不應超范圍(wei)地收集(ji)通(tong)訊錄聯系(xi)人的姓名(ming)、郵箱、地址�����等(deng)內容。
收(shou)集方式(shi)超出必(bi)要范圍。APP收(shou)集個人(ren)信(xin)息的(de)方式(shi)包括(kuo)單次(ci)讀取、本(ben)地存儲、上傳云端(duan)等,這些(xi������e)方式(shi)對個人(ren)的(de)影響程(cheng)度(du)依次(ci)遞(di)增,而APP應在滿足功(gong)能需(xu)求的(de)前提下,選擇影響程(cheng)度(du)最低的(de)收(shou)集方式(shi)。例如,只需(xu)單次(ci)讀取或(huo)本(ben)地存儲即可實現(xian)的(de)功(gong)能,不應默認(ren)使用上傳云端(duan)。
收集頻率(lv)超出必(bi)要(yao)范圍(wei)。有的APP收集每(mei)項個人信(xin)(xin)息(xi)的頻率(lv)明顯超出當前功(gong)能的必(bi)要(yao)范圍(wei),例如,運(yun)動健身類應用(yon��������g)在用(yong)戶觀看視頻等無關功(gong)能時,也每(mei)分鐘獲取位置信(xin)(xin)息(xi)近百次,明顯超出了必(bi)要(yao)范圍(wei)。
收集(ji)場(chang)景超出必(bi)要范圍。很多APP除(chu)了在(zai)功能必(bi)需(xu)的(de)合理場(ch������ang)景收集(ji)信息,還在(zai)啟動、自啟動、后臺運行(xing)、使用���不相關功能等(deng)其他(ta)場(chang)景收集(ji)信息,違反了必(bi)要原則(ze)。
APP的(de)(de)下載量集(ji)(ji)中(zhong)(zhong)在頭部應(ying)用,從百(bai)萬級到(dao)億級的(de)(de),總共只占APP總數的(de)(de)3.4%,97%左右的(de)(de)都是(shi)中(zho����ng)(zhong)小(xiao)應(ying)用。《報告(gao)》顯示,恰(qia)恰(qia)是(shi)中(zhong)(zhong)小(xiao)應(ying)用的(de)(de)“知情同(tong)意”問題較多,集(ji)(ji)中(zhong)(zhong)表(biao)現為同(tong)意前收集(ji)(������ji)、頻(pin)繁索(suo)權等。
知情同意(yi)是處理個人(ren)信息(������xi)的基本(ben)前(qian)提條(tiao)������件(jian)之一。目前(qian)常見違(wei)規問(wen)題集中表現(xian)為4類:
征得用(yong)(yong)戶(hu)(hu)同意前收集個人信息(xi)(xi)。監(jian)測發現,2萬中小(xiao)應用(yong)(yong)樣(yang)本在同意隱私(si)(si)政策前將用(yong)(yong)戶(hu)(hu)ID等信息(xi)(xi)上傳至云端服務器,4.4萬中小(xiao)應用(yong)(yong)樣(yang)本沒有�����(you)向用(yong)(yong)戶(hu)(hu)提(ti)供明(ming)確的隱私(si)(si)政策拒(ju)絕������選項。
用(yong)(yong)(yong)(yong)戶(hu)(hu)拒絕后(h������ou)頻(pin)(pin)繁(fan)征求用(yong)(yong)(yong)(yong)戶(hu)(hu)同意,干擾用(yong)(yong)(yong)(yong)戶(hu)(hu)正(zheng)常使用(yong)(yong)(yong)(yong)。13萬存(cun)量(liang)中小(xiao)應用(yong)(yong)(yong)(yong)樣本在用(yong)(yong)(yong)(yong)戶(hu)(hu)明(ming)確(que)拒絕授權(quan)后(hou),仍(reng)然(ran)在使用(yong)(yong)(yong)(yong)過程(cheng)中頻(pin)(pin)繁(fan)索取權(quan)限,或者在用(yong)(yong)(yong)(yong)戶(hu)(hu)下次(ci)進(jin)入應用(yong)(yong)(yong)(yong)時(shi)再次(ci)索取權(quan)限。人工(gong)抽驗(yan)顯示,近3個月新上架的應用(yong)(yong)(yong)(yong)仍(reng)普遍存(cun)在頻(pin)(pin)繁(fan)索權(quan)的問題。
誘(you)導用(yong)戶(hu)同意(yi),收(shou)集個人信息。例如(ru)以簽到�����、福利(li)等(deng)為理(li)由誘(you)導用(yong)戶(hu)提供姓名(ming)、手(shou)機(ji)號、住(zhu)����址,以“絕不收(shou)集隱私信息”等(deng)欺騙性提示誘(you)導用(yong)戶(hu)安裝使用(yong)APP等(deng)。
個(ge)(ge)人信息(xi)進行定(ding)向(xiang)推送(song)但無(wu)法關(guan)(guan)閉(bi)。有(you)27萬個(ge)(ge)應(ying)用(yong)(yong)樣(yang)本聲明(ming),會利用(yong)(yong)個(ge)(ge)人信息(xi)進行定(ding)向(xiang)推送(song),但人工(gong)抽驗卻發現,除(chu)了新聞資訊(xun)、網絡直(zhi)播、短視頻等(deng)部(bu�������)分類(lei)別外(wai),大多未(wei)提供(gong)關(guan)(guan)閉(bi)定(ding)向(xiang)推送(song)的選(xu�����an)項。此外(wai),部(bu)分APP盡(jin)管提供(gong)了關(guan)(guan)閉(bi)選(xuan)項,但仍(reng)存在為關(guan)(guan)閉(bi)選(xuan)項強制設(she)定(ding)為期(qi)幾個(ge)(ge)月的有(you)效期(qi),到期(qi)后(hou)自動恢復(fu)定(ding)向(xiang)推送(song);關(guan)(guan)閉(bi)選(xuan)項極(ji)其(qi)隱(yin)蔽,普通用(yong)(yong)戶(hu)難以(yi)發現;關(guan)(guan)閉(bi)定(ding)向(xiang)推送(song)后(hou)并(bing)不生效等(deng)問題(ti)。
隱(yin)私政(zheng)策晦澀(se)隱(yin)蔽問題突出
監測發(fa)現,存(cun)在無(wu)隱私政策(ce)問(wen)題(ti)(ti)的(de)APP占比(bi)已由(you)2019年最高的(de)26%下(xia)降至今年的(de)6.7%。平臺企(qi)業公開收集(ji)使用(yong)規(gui)則(ze)的(de)意識顯著增(zeng)強,小米、華(hua)為等頭部品牌的(de)應(ying)用(yong)商店(dian)(dian)已加強無(wu)隱私政策(ce)問(wen)題(ti)(ti)應(ying)用(yong)的(de)審核力度,對������(dui)�������存(cun)在該問(wen)題(ti)(ti)的(de)8.1萬個(ge)存(cun)量(liang)應(ying)用(yong)進行了(le)下(xia)架(jia)處理。在近3個(ge)月新上架(jia)的(de)頭部應(ying)用(yong)程序中(zhong),此(ci)問(wen)題(ti)(ti)已基本清零,但部分中(zhong)小應(ying)用(yong)商店(dian)(dian)審核機制尚未健(jian)全(quan),仍有7.8萬款存(cun)量(liang)問(wen)題(ti)(ti)須進行下(xia)架(jia)清理。
《報告》顯示,明示收集行為日趨受到重視,但未明示敏感數據收集與“一攬子”同意問題仍突出。監測數據與人工抽驗結果都顯示,隱私政策存在隱瞞個人信息收集行為、“一攬子”同意等較為突出的違規問題,其中包括隱瞞敏感個人信息收集行為;隱瞞個人信息對外共享行為;要求“一攬子”地同意隱私政策全部條款,甚至不合理條款。威之德信息APP軟件開發公司
葛夢瑩(ying)指出:“隱私(si)政(zheng)策(ce)(ce)是(shi)(shi)用(yong)(yong)戶(hu)感知最為明(ming)顯的(de)(de)(de)(de)(de)重(zhong)要手段,是(shi)(shi)APP所必備的(de)(de)(de)(de)(de)。隱私(si)政(zheng)策(ce)(ce)寫得過于晦澀(se)難懂,也是(shi)(shi)廣受(shou)個(ge)人用(yong)(yong)戶(hu)詬病的(de)(de)(de)(de)(de)問(wen)題。”對于隱私(si)政(zheng)策(ce)(ce)的(de)������(de)(de)(de)(de)寫法、展(zhan)示方式等,也需要嚴格遵守相關(guan)法律法規和(he)國家(jia)標準(zhun),例如除落(luo)實(shi)《個(ge)人信(xin)息(xi)(xi)保(bao)護法》的(de)(de)(de)(de)(de)相關(guan)要求外,還須充分(fen)考(kao)慮個(ge)人用(yong)(yong)戶(hu)的(de)(de)(de)(de)(de)閱讀習慣,并且切實(shi)保(bao)障用(yong)(yong)戶(hu)權利的(de)(de)(de)(de)(de)行使,這(zhe)也是(shi)(shi)接下來APP的(de)(de)(de)(de)(de)合規工(gong)作整治重(zhong)點。她補充說:“目前比(bi)較(jiao)具(ju)有參考(kao)性和(he)可執行性的(de)(de)(de)(de)(de)隱私(si)政(zheng)策(ce)(ce)模(mo)板還是(shi)(shi)GB/T352732020《個(ge)人信(xin)息(xi)(xi)安全(quan)規范(fan)》的(de)(de)(de)(de)(de)附(fu)錄D,這(zhe)也是(shi)(shi)被(bei)APP廣泛(fan)應(ying)(ying)用(yong)(yong)的(de)(de)(de)(de)(de)模(mo)板。同(tong)時(shi),《個(ge)人信(xin)息(xi)(xi)安全(quan)規范(fan)》的(de)(de)(de)(de)(de)附(fu)錄C也明(ming)確了(le)基(ji)本業務(wu)功能和(he)拓展(zhan)業務(wu)功能的(de)(de)(de)(de)(de)設計(ji)思(si)路,并且在其注釋中闡明(ming),如果重(zhong)新劃分(fen)產品(pin)功能,宜再次告知并征得同(tong)意,而這(zhe)也在一定(ding)程度上呼應(ying)(ying)了(le)《個(ge)人信(xin)息(xi)(xi)保(bao)護法》第十(shi)四條的(de)(de)(de)(de)(de)規定(ding)。同(tong)時(shi),正(zheng)在編制(zhi)中的(de)(de)(de)(de)(de)《互聯網平臺及產品(pin)服務(wu)隱私(si)協(xie)議要求》將對隱私(si)政(zheng)策(ce)(ce)提出具(ju)有可執行性的(de)(de)(de)(de)(de)要求。”
此外,《報(bao)告》顯(xian)示,目前APP賬(zhang)號基(ji)本(ben)具備注(zhu)銷(xiao)功能,但仍須重視其(qi)設置不合理(li)注(zhu)銷(�����xiao)條(tiao)件等違規情形。中國(guo)電子技術(shu)標(biao)準化研(yan)究院網安中心測評實驗室副主(zhu)任何延(yan)哲(zhe)對《中國(guo)消費者(zhe)(zhe)報(bao)》記者(zhe)(zhe)說,目前,相關人(ren)員已在(zai)對包括小程序在(zai)內(nei)的賬(zhang)號注(zhu)銷(xiao)問題進(jin)行(xing)研(yan)究。(責任編輯:王惠綿)
