12月20日,国家计(ji)算����机(ji)网络应急技术处理协调中心(xin)点名存(cun)在隐私(si)不合规行为(wei)的17款APP,其中包括哈啰出行、和讯财经等在内(nei)的15款APP“未向用户明示(shi)申请的全部�����隐私(si)权限”。
一年(nian)来,多(duo)部门联手(shou)依法(fa)对APP侵犯个人(ren)(ren)隐私问题进行集中(zhong)(zhong)治理��������。日前,国家(jia)计算机网络(luo)应急(ji)技术处理协(xie)(xie)调中(zhong)(zhong)心、中(zhong)(zhong)国网络(luo)空间安全协(xie)(xie)会基(ji)于“APP收(shou)集使用个人(ren)(ren)信(xin)(xin)息(xi)(xi)监(jian)测(ce)平台(tai)”“APP举报受理平台(tai)”的监(jian)测(ce)数(shu)据,发布《APP违法(fa)违规(gui)收(shou)集使用个人(ren)(ren)信(xin)(xin)息(xi)(xi)监(jian)测(ce)分析报告》(以下(xia)简称《报告》),指(zhi)出目前强(qiang)制收(shou)集非(fei)必要个人(ren)(ren)信(xin)(xin)息(xi)(xi)问题明显减少,但(dan)启动(dong)弹窗索要无关权限仍多(duo)发;超范围收(shou)集个人(ren)(ren)信(xin)(xin)息(xi)(xi)行为治理成(cheng)效初显,但(dan)仍须紧盯敏感权限声明超出必要范围等7类隐蔽问题。
细心的(de)用户(hu)可能会发现(xian),诸如微(wei)信、前程无忧51Job等头部APP的(de)最新(xin)版(ban)本,启动时已不(bu)再索要(yao)存储、设备等无关权(quan)限。据������《报告》统计(ji),目前全国主流安卓应用商店在(zai)架APP的(de)去重后总数为(wei)(wei)112万(wan)款,而APP强制要(yao)求收(shou)集(ji)个(ge)人信息是用户(hu)普遍(bian)反感(gan)的(de)违规行(xing)为(wei)(wei)之一。今年(nian)以来,APP强制要(yao)求用户(hu)打开非必要(yao)权(quan)限、强制要(yao)求用户(������hu)填写非必要(yao)个(ge)人信息等典(dian)型违规行(xing)为(wei)(wei)明显减少,监测发现(xian)仅有1%的(de)中小应用残(can)留此问题(ti)。
《报告》显(xian)示,尽管很多(duo)APP不再强制(zhi)收集个人信息,但仍(reng)存在首次启动时弹窗索要(yao)(yao)多(duo)个无关权(quan)������限的(de)问题,由(you)此(ci)产生的(de)投诉举(ju)报也(ye)比(bi)较(jiao)集中,用(yong)户对此(ci)较(jiao)为反感。据国家计算机(ji)网(wang)络应(ying)急技(ji)术处理协调中心(xin)相关人士介绍(shao),目前量大(da)面广的(de)APP已将(jiang)启动时索要(yao)(yao)权(quan)限改(gai)为在用(yong)户触(chu)发特定功能时再索要(yao)(yao)对应(ying)权(quan)限,改(gai)善了用(yong)户体验(yan)。监测显(xian)示,在华(hua)为、小(xiao)米、vivo、OPPO、腾讯等主(zhu)流品牌(pai)的(de)应(ying)用(yong)商店近(jin)3个月(yue)新上架的(de)应(ying)用(yong)中,每月(yue)平均有近(jin)1000款应(ying)用(yong)存在此(ci)问题。
“由于APP数量非常多,推陈(chen)出(chu)(chu)新频率高,而且(qie)APP的(de)(de)个(ge)(ge)人(ren)(ren)信(xin)(xin)(xin)息(xi)(xi)收集(ji)(ji)(ji)行为(wei)和方式也在(zai)不断变化,监(jian)管部(bu)(bu)门很难做到(dao)全覆盖监(jian)管,很容易出(chu)(chu)现覆盖范围过窄的(de)(de)情(qing)况。”TalkingData法务合(he)规负责人(ren)(ren)兼数据合(he)规官葛梦莹(ying)对(dui)《中(zhong)国消(xiao)费者(zhe)报》记者(zhe)说,“针(zhen)对(dui)海量APP收集(ji)(ji)(ji)、使用个(ge)(ge)人�����(ren)(ren)信(xin)(xin)(xin)息(xi)(xi)的(de)(de)情(qing)况,《个(ge)(ge)人(ren)(ren)信(xin)(xin)(xin)息(xi)(xi)����保(bao)护(hu)法》提出(chu)(chu)了从(cong)关键环节入(ru)手(shou)的(de)(de)监(jian)管思(si)路,即首次区(qu)分(fen)了一(yi)般(ban)的(de)(de)个(ge)(ge)人(ren)(ren)信(xin)(xin)(xin)息(xi)(xi)处理(li)者(zhe)和充当‘守门人(ren)(ren)’角色的(de)(de)操作系统、应(ying)用程(cheng)序分(fen)发(fa)平(ping)(ping)台(tai)、大型APP平(ping)(ping)台(tai)等(deng)个(ge)(ge)人(ren)(ren)信(xin)(xin)(xin)息(xi)(xi)处理(li)者(zhe)(以下简称超(chao)大平(ping)(ping)台(tai))。这其中(zhong)就(jiu)包括了上述应(ying)用商店(dian),因(yin)为(wei)应(ying)用商店(dian)是众(zhong)多APP进(jin)行个(ge)(ge)人(ren)(ren)信(xin)(xin)(xin)息(xi)(xi)收集(ji)(ji)(ji)处理(li)的(de)(de)必要(yao)(yao)(yao)通道,从(cong)应(ying)用商店(dian)这个(ge)(ge)关键环节入(ru)手(shou),对(dui)其提出(chu)(chu)增强个(ge)(ge)人(ren)(ren)信(xin)(xin)(xin)息(xi)(xi)保(bao)护(hu)的(de)(de)要(yao)(yao)(yao)求,例如要(yao)(yao)(yao)求超(chao)大平(ping)(ping)台(tai)建立(li)外部(bu)(bu)监(jian)督委员会,主(zhu)动(dong)引入(ru)对(dui)内(nei)部(bu)(bu)信(xin)(xin)(xin)息(xi)(xi)处理(li)行为(wei)的(de)(de)社会监(jian)督,主(zhu)动(dong)承担对(dui)平(ping)(ping)台(tai)生态(tai)中(zhong)各方个(ge)(ge)人(ren)(ren)信(xin)(xin)(xin)息(xi)(xi)处理(li)行为(wei)的(de)(de)监(jian)督,并发(fa)布(bu)社会责任报告(gao)等(deng)多种手(shou)段(duan)来杜绝APP强制收集(ji)(ji)(ji)非必要(yao)(yao)(yao)个(ge)(ge)人(ren)(ren)信(xin)(xin)(xin)息(xi)(xi)的(de)(de)问题。”
互联网(wang)时代,大家都有被精(jing)准推(tui)(tui)送(song)的体验。采(cai)访中(zhong),中(zhong)国(guo)广告协(xie)会法(fa)律咨(zi)询委员(yuan)(y����uan)会常务委员(yuan)(yuan)杜东为(wei)(wei)对《中(zhong)国(guo)消费者(zhe)报》记者(zhe)说,由于(yu)手机(ji)屏�������幕空(kong)间有限(xian),平台算法(fa)必须在(zai)海量信(xin)息(xi)中(zhong)找到用(yong)(yong)户感兴趣和有价值(zhi)的信(xin)息(xi)。通(tong)过完全自动化的决策(ce)过程(cheng),推(tui)(tui)荐系统在(zai)自动分析、评估个人行(xing)为(wei)(wei)习惯、兴趣爱好或者(zhe)经济、健(jian)康、信(xin)用(yong)(yong)状(zhuang)况后进行(xing)决策(ce),并向用(yong)(yong)户展(zhan)示(shi)。
《报告》显示,部分APP出(chu)于精准(zhun)用(yong)户画像(xiang)、������推广(guang)营销等商(sh����ang)业目的(de),想方设法地超出(chu)实现功能的(de)必要范围,进(jin)而(er)收集(ji)更多个人(ren)(ren)信息(xi)。目前,超限收集(ji)个人(ren)(ren)信息(xi)主要包括7类隐蔽问题:
敏感权(quan)限(xian)声明超出必�����要范围(wei)。少量A������PP在未提供(gong)实际功能的情况下,仍(reng)然声明了(le)相关敏感权(quan)限(xian),存在热(re)更新后调用(yong)和SDK(软件开发工具包)调用(yong)权(quan)限(xian)的风(feng)险。
权(quan)限(xian)索取超出(chu)必要(yao)范围(wei)。一些APP超出(chu)当前功能需要�������(yao)索取权(quan)限(xian),例(li)如,有的电(dian)话(hua)拦(lan)截功能只需3项(xi����ang)敏感权(quan)限(xian)即可实现,而应用却索要(yao)了(le)短信(xin)、存储、通讯录等(deng)7项(xiang)敏感权(quan)限(xian)。
收(shou)(shou)����集数据的敏(min)感性(xing)(xing)超出(chu)必要范围(wei)。一些APP在使用低敏(min)感性(xing)(xing)数据即可(ke)实现功(gong)能(neng)的情况(kuang)下,仍然收(shou)(shou)集高敏(min)感性(xing)(xing)数据。例(li)如,普通的天气(qi)查询功(gong)能(neng)只需要城市或地区级(ji)的粗(cu)略(lve)位置信息即可(ke),但有��的天气(qi)查询APP却超范围(wei)地索要精准(zhun)位置等敏(min)感个(ge)人(ren)信息。
收集(ji)数(shu)据的具体内容(rong)(rong)超出必要范围。一些APP在仅需部分(fen)数(shu)据内容(rong)(rong)即可��������实现(xian)功能的情况下,收集(ji)了全部内容(rong)(rong)。例如,查找好友功能只需匿(ni)名化(hua)后的手(shou)机号码即可实现(xian),不应超范围地(di)收集(ji)通讯录联系人的姓(xing)名、邮箱、地(di)址等内容(rong)(rong)。
收集方式(shi)(shi)超出必(bi)要(yao)范(fan)围。APP收集个������人(ren)信息的(de)(de)方式(shi)(shi)包括单次(ci)(ci)(ci)读取(qu)、本(ben)地存储(chu)、上传(chuan)云端等,这(zhei)些方式(shi)(shi)对个人(ren)的(de)(de)影响程度依次(ci)(ci)(ci)递(di)增(zeng),而APP应(ying)在(zai)满足功能需求的(de)(de)前提下,选择影响程度最低的(de)(de)收集方式(shi)(shi)。例如,只需单次(ci)(ci)(ci)读取(qu)或本(ben)地存储(chu)即可实现的(de)(de)功能,不(bu)应(ying)默认使用(yong)上传(chuan)云端。
收集(ji)频率超出必(bi)(bi)要������(yao)范(fan)围。有的APP收集(ji)每项个人信(xin)息的频率明显超出当前功(gong)能(neng)的必(bi)(bi)要(yao)范(fan)围,例如,运动健身(shen)类应用在用户观看视频等无(wu)关功(gong)能(neng)时,也每分钟获取位置信(�������xin)息近(jin)百次(ci),明显超出了必(bi)(bi)要(yao)范(fan)围。
收(shou)集场景超出必(bi)要(yao)范围。很多APP除了在功能必(bi)需(xu)的合理场景收(shou)集信息,还在启动(dong)、自启动(dong)、后台运行、使用不相关功能等其他场景收(sho������u)集信息,违(wei)反(fan)了必(bi)要(yao)原则。
APP的(de)下载量集(ji)中在头部应(ying)�����用,从百万级(ji)(ji)到(dao)亿级(ji)(ji)的(de),总(zong)共只占APP总(zong)数的(de)3.4%,97%左右(you)的(de)都(dou)是(shi)中小应(ying)用。《报告》显示,恰恰是(shi)中小应(ying)用的(de)“知情(qing)同意”问(wen)题较多,集(ji)中表现为(wei)同意前收集(ji)、频繁(fan)索权等。
知情同意是处����(chu)理个(ge)人信息(xi)的基本前(qian)提条件之一。目前(qian)常见违规(gui)问题(ti)集中表(biao)现(xian)为4类:
征得用(yong)户同(tong)意(yi)前(������qian)收集个人信息(xi)。监测发现,2万中小应(ying)用(yong)样本(ben)(ben)在同(tong)意(yi)隐(yin)私政策(ce)前(qian)将用(yong)户ID等信息(xi���)上传至(zhi)云(yun)端服务器,4.4万中小应(ying)用(yong)样本(ben)(ben)没有向用(yong)户提供明(ming)确的隐(yin)私政策(ce)拒绝选项。
用(yong)户拒(ju)绝(jue)后频(pin)繁征求用(yong)户同(tong)意,干扰用(yong)户正常使用(yong)。13万存(cun)量中小应(ying)用(yong)样本(ben)在(zai)(zai)(zai)(zai)用(yong)户明确(que)拒(ju)绝(jue)授权后,仍(reng)然在(zai)(zai)(zai)(zai)使用(yong)过程中频(pin)繁索(suo)取权限(xian)(xian),或者在(zai)(zai)(zai)(zai)用(yong)户下次进入应(ying)用(yong)时(shi)再次索(suo)取权限(xian)(xian)。人(ren)工抽验显示(shi),近3个(ge)月新(xin)上架的(de)应(ying)用(yon�������g)仍(reng)普遍(bian)存(cun)在(zai)(zai)(zai)(zai)频(pin)繁索(suo)权的(de)问题。
诱导(dao)用(yong)户同意,收(shou)(shou)集个人信息。例如以(yi)签�������到(dao)、福利等为理(li)由诱导(dao)用(yong)户提供(gong)姓名、手机号、住址,以(yi)������“绝不(bu)收(shou)(shou)集隐私信息”等欺(qi)骗性提示诱导(dao)用(yong)户安装使用(yong)APP等。
个(ge)人信息进(jin)行定(ding)向(xiang)推送但无法关(guan)闭(bi)。有(you)27万个(ge)应用样本声明,会利用个(ge)人信息进(jin)行定(ding)向(xiang)推送,但人工抽验却发(fa)现,除了新闻(wen)资讯、网(wang)络(luo)直播、短视(shi)频等(deng)部(bu)分(f������en)类别(bie)外,大多未提供(gong)关(guan)闭(bi)定(ding)向(xiang)推送的选项(xiang)(xiang)。此(ci)外,部(bu)分(fen)APP尽管提供(gong)了关(guan)闭(bi)选项(xiang)(xiang),但仍存(cun)在(zai)为关(guan)闭(bi)选项(xiang)(xiang)强制设定(ding)为期几(ji)个(ge)月的有(you)效(xiao)期,到期后自动恢复(fu)定(ding)向(xiang)推送;关(guan)闭(bi)选项(xiang)(xiang)极其隐蔽,普通用户难以发(fa)现;关(guan)闭(bi)定(ding)向(xiang)推送后并(bing)不生效(xiao)等(deng)问题(ti)。
隐(yin)私政策晦涩隐(yin)蔽问(wen)题突出
监测发现(xian),存(cun)(cun)在无隐(yin)私政策(ce)(ce)问题(ti)(ti)(ti)(ti)的(de)(de)APP占比已由2019年最(zui)高的(de)(de)26%下降(jiang)至今年的(de)(de)6.7%。平台企业公开收集使用(yong)(yong)(yong)(yong)规则的(de)(de)意识(shi)显著(zhu)增强(qiang),小(xiao)米、华为(wei)等头部品牌的(de)(de)应(ying)用(yong)(yong)(yong)(yong)商店已加强(qiang)无隐(yin)私政策(ce)(ce)问题(ti)(ti)(ti)(ti)应(ying)用(yong)(yong)(yong)(yong)的(de)(de)审(shen)核(he)力(li)度,对存(cun)(cun)在该问题(ti)(ti)(ti)(ti)的(de)(de)8.1万个(ge)存(cun)(cun)量(liang)应(ying)用(yong)(yong)(yong)(yong)进行了下架(jia)处理。在近3个(ge)月新上架(jia)的(de)(de)头部应(ying)用(yong)(yong)(yong)(yong)程序中(zhong),此问题(ti)(ti)(ti)(ti)已����基(ji)本清(qing)零,但(dan)部分中(zhong)小(xiao)应(ying)用(yong)(yong)(yong)(yong)商店审(shen)核(he)机制尚未(wei)健全,仍有7.8万款存(cun)(cun)量(liang)问题(ti)(ti)(ti)(ti)须进行下架(jia)清(qing)理。
《报告》显示,明示收集行为日趋受到重视,但未明示敏感数据收集与“一揽子”同意问题仍突出。监测数据与人工抽验结果都显示,隐私政策存在隐瞒个人信息收集行为、“一揽子”同意等较为突出的违规问题,其中包括隐瞒敏感个人信息收集行为;隐瞒个人信息对外共享行为;要求“一揽子”地同意隐私政策全部条款,甚至不合理条款。威之德信息APP软件开发公司
葛梦莹指出:“隐(yin)私(si)政(zheng)策(ce)是(shi)用户(hu)感知(zhi)最为明(ming)显的(de)(de)(de)�����(de)重(zhong)要(yao)(yao)手(shou)段,是(shi)APP所(suo)必备的(de)(de)(de)(de)。隐(yin)私(si)政(zheng)策(ce)写得过于晦涩难懂,也(ye)(ye)是(shi)广受个(ge)(ge)人(ren)(ren)用户(hu)诟病的(de)(de)(de)(de)问(wen)题。”对于隐(yin)私(si)政(zheng)策(ce)的(de)(de)(de)(de)写法(fa)(fa)、展(zhan)示方式等,也(ye)(ye)需要(yao)(yao)严(yan)格遵守相关法(fa)(fa)律法(fa)(fa)规和(he)(he)国家标准(zhun),例如(ru)除落实《个(ge)(ge)人(ren)(ren)信息(xi)保护(hu)(hu)法(fa)(fa)》的(de)(de)(de)(de)相关要(yao)(yao)求外,还须充分(fen)考虑个(ge)(ge)人(ren)(ren)用户(hu)的(de)(de)(de)(de)阅读习惯(guan),并且切实保障用户(hu)权(quan)利的(de)(de)(de)(de)行使,这(zhei)也(ye)(ye)是(shi)接下(xia)来APP的(de)(de)(de)(de)合(he)规工作(zuo)整(zheng)治(zhi)重(zhong)点。她(ta)补充说:“目(mu)前(qian)比较具有(you)参考性(xing)和(he)(he)可执行性(xing)的(de)(de)(de)(de)隐(yin)私(si)政(zheng)策(ce)模(mo)板还是(shi)GB/T352732020《个(ge)(ge)人(ren)(ren)信息(xi)安(an)全规范》的(de)(de)(de)(de)附(fu)(fu)录(lu)D,这(zhei)也(ye)(ye)是(shi)被(bei)APP广泛应用的(de)(de)(de)(de)模(mo)板。同时,《个(ge)(ge)人(ren)(ren)信息(xi)安(an)全规范》的(de)(de)(de)(de)附(fu)(fu)录(lu)C也(ye)(ye)明(ming)确(que)了基本业务功能(neng)(neng)和(he)(he)拓展(zhan)业务功能(neng)(neng)的(de)(de)(de)(de)设计思(si)路,并且在其注释中阐(chan)明(ming),如(ru)果重(zhong)新(xin)划分(fen)产(chan)品功能(neng)(neng),宜(yi)再次告知(zhi)并征(zheng)得同意(yi),而(er)这(zhei)也(ye)(ye)在一定(ding)程度上(shang)呼(hu)应了《个(ge)(ge)人(ren)(ren)信息(xi)保护(hu)(hu)法(fa)(fa)》第十四(si)条的(de)(de)(de)(de)规定(ding)。同时,正在编制中的(de)(de)(de)(de)《互联网平台及产(chan)品服务隐(yin)私(si)协议要(yao)(yao)求》将(jiang)对隐(yin)私(si)政(zheng)策(ce)提出具有(you)可执行性(xing)的(de)(de)(de)(de)要(yao)(yao)求。”
此外,《报(bao)告》显示,目(mu)前APP账号基本具备注������(zhu)销功能,但仍须(xu)重视其设置不合理(li)注(zhu)销条件等违规情形。中国电子技术(s������hu)标准化研(yan)究(jiu)院网安中心(xin)测评实验室副(fu)主(zhu)任何(he)延(yan)哲对(dui)(dui)《中国消(xiao)费者报(bao)》记者说,目(mu)前,相关人员已在对(dui)(dui)包括小程序在内(nei)的账号注(zhu)销问(wen)题(ti)进行研(yan)究(jiu)。(责任编辑:王惠绵)
