启动弹窗索要无关权限持续多发 APP仍有“七宗罪”
12月20日,国家计算机网络应急技术处理协调中心点名存在隐私不合规行为的17款APP,其中包括哈啰出行、和讯财经等在内的15款APP“未向用户明示申请的全部隐私权限”。
一年来,多部门联手依法对APP侵犯个人隐私问题进行集中治理。日前,国家计算机网络应急技术处理协调中心、中国网络空间安全协会基于“APP收集使用个人信息监测平台”“APP举报受理平台”的监测数据,发布《APP违法违规收集使用个人信息监测分析报告》(以下简称《报告》),指出目前强制收集非必要个人信息问题明显减少,但启动弹窗索要无关权限仍多发;超范围收集个人信息行为治理成效初显,但仍须紧盯敏感权限声明超出必要范围等7类隐蔽问题。
弹窗索要无关权限仍多发
细心的用户可能会发现,诸如微信、前程无忧51Job等头部APP的最新版本,启动时已不再索要存储、设备等无关权限。据《报告》统计,目前全国主流安卓应用商店在架APP的去重后总数为112万款,而APP强制要求收集个人信息是用户普遍反感的违规行为之一。今年以来,APP强制要求用户打开非必要权限、强制要求用户填写非必要个人信息等典型违规行为明显减少,监测发现仅有1%的中小应用残留此问题。
《报告》显示,尽管很多APP不再强制收集个人信息,但仍存在首次启动时弹窗索要多个无关权限的问题,由此产生的投诉举报也比较集中,用户对此较为反感。据国家计算机网络应急技术处理协调中心相关人士介绍,目前量大面广的APP已将启动时索要权限改为在用户触发特定功能时再索要对应权限,改善了用户体验。监测显示,在华为、小米、vivo、OPPO、腾讯等主流品牌的应用商店近3个月新上架的应用中,每月平均有近1000款应用存在此问题。
“由于APP数量非常多,推陈出新频率高,而且APP的个人信息收集行为和方式也在不断变化,监管部门很难做到全覆盖监管,很容易出现覆盖范围过窄的情况。”TalkingData法务合规负责人兼数据合规官葛梦莹对《中国消费者报》记者说,“针对海量APP收集、使用个人信息的情况,《个人信息保护法》提出了从关键环节入手的监管思路,即首次区分了一般的个人信息处理者和充当‘守门人’角色的操作系统、应用程序分发平台、大型APP平台等个人信息处理者(以下简称超大平台)。这其中就包括了上述应用商店,因为应用商店是众多APP进行个人信息收集处理的必要通道,从应用商店这个关键环节入手,对其提出增强个人信息保护的要求,例如要求超大平台建立外部监督委员会,主动引入对内部信息处理行为的社会监督,主动承担对平台生态中各方个人信息处理行为的监督,并发布社会责任报告等多种手段来杜绝APP强制收集非必要个人信息的问题。”
超限收集含7类隐蔽问题
互联网时代,大家都有被精准推送的体验。采访中,中国广告协会法律咨询委员会常务委员杜东为对《中国消费者报》记者说,由于手机屏幕空间有限,平台算法必须在海量信息中找到用户感兴趣和有价值的信息。通过完全自动化的决策过程,推荐系统在自动分析、评估个人行为习惯、兴趣爱好或者经济、健康、信用状况后进行决策,并向用户展示。
《报告》显示,部分APP出于精准用户画像、推广营销等商业目的,想方设法地超出实现功能的必要范围,进而收集更多个人信息。目前,超限收集个人信息主要包括7类隐蔽问题:
敏感权限声明超出必要范围。少量APP在未提供实际功能的情况下,仍然声明了相关敏感权限,存在热更新后调用和SDK(软件开发工具包)调用权限的风险。
权限索取超出必要范围。一些APP超出当前功能需要索取权限,例如,有的电话拦截功能只需3项敏感权限即可实现,而应用却索要了短信、存储、通讯录等7项敏感权限。
收集数据的敏感性超出必要范围。一些APP在使用低敏感性数据即可实现功能的情况下,仍然收集高敏感性数据。例如,普通的天气查询功能只需要城市或地区级的粗略位置信息即可,但有的天气查询APP却超范围地索要精准位置等敏感个人信息。
收集数据的具体内容超出必要范围。一些APP在仅需部分数据内容即可实现功能的情况下,收集了全部内容。例如,查找好友功能只需匿名化后的手机号码即可实现,不应超范围地收集通讯录联系人的姓名、邮箱、地址等内容。
收集方式超出必要范围。APP收集个人信息的方式包括单次读取、本地存储、上传云端等,这些方式对个人的影响程度依次递增,而APP应在满足功能需求的前提下,选择影响程度最低的收集方式。例如,只需单次读取或本地存储即可实现的功能,不应默认使用上传云端。
收集频率超出必要范围。有的APP收集每项个人信息的频率明显超出当前功能的必要范围,例如,运动健身类应用在用户观看视频等无关功能时,也每分钟获取位置信息近百次,明显超出了必要范围。
收集场景超出必要范围。很多APP除了在功能必需的合理场景收集信息,还在启动、自启动、后台运行、使用不相关功能等其他场景收集信息,违反了必要原则。
中小应用常频繁索权
APP的下载量集中在头部应用,从百万级到亿级的,总共只占APP总数的3.4%,97%左右的都是中小应用。《报告》显示,恰恰是中小应用的“知情同意”问题较多,集中表现为同意前收集、频繁索权等。
知情同意是处理个人信息的基本前提条件之一。目前常见违规问题集中表现为4类:
征得用户同意前收集个人信息。监测发现,2万中小应用样本在同意隐私政策前将用户ID等信息上传至云端服务器,4.4万中小应用样本没有向用户提供明确的隐私政策拒绝选项。
用户拒绝后频繁征求用户同意,干扰用户正常使用。13万存量中小应用样本在用户明确拒绝授权后,仍然在使用过程中频繁索取权限,或者在用户下次进入应用时再次索取权限。人工抽验显示,近3个月新上架的应用仍普遍存在频繁索权的问题。
诱导用户同意,收集个人信息。例如以签到、福利等为理由诱导用户提供姓名、手机号、住址,以“绝不收集隐私信息”等欺骗性提示诱导用户安装使用APP等。
个人信息进行定向推送但无法关闭。有27万个应用样本声明,会利用个人信息进行定向推送,但人工抽验却发现,除了新闻资讯、网络直播、短视频等部分类别外,大多未提供关闭定向推送的选项。此外,部分APP尽管提供了关闭选项,但仍存在为关闭选项强制设定为期几个月的有效期,到期后自动恢复定向推送;关闭选项极其隐蔽,普通用户难以发现;关闭定向推送后并不生效等问题。
隐私政策晦涩隐蔽问题突出
监测发现,存在无隐私政策问题的APP占比已由2019年最高的26%下降至今年的6.7%。平台企业公开收集使用规则的意识显著增强,小米、华为等头部品牌的应用商店已加强无隐私政策问题应用的审核力度,对存在该问题的8.1万个存量应用进行了下架处理。在近3个月新上架的头部应用程序中,此问题已基本清零,但部分中小应用商店审核机制尚未健全,仍有7.8万款存量问题须进行下架清理。
《报告》显示,明示收集行为日趋受到重视,但未明示敏感数据收集与“一揽子”同意问题仍突出。监测数据与人工抽验结果都显示,隐私政策存在隐瞒个人信息收集行为、“一揽子”同意等较为突出的违规问题,其中包括隐瞒敏感个人信息收集行为;隐瞒个人信息对外共享行为;要求“一揽子”地同意隐私政策全部条款,甚至不合理条款。
葛梦莹指出:“隐私政策是用户感知最为明显的重要手段,是APP所必备的。隐私政策写得过于晦涩难懂,也是广受个人用户诟病的问题。”对于隐私政策的写法、展示方式等,也需要严格遵守相关法律法规和国家标准,例如除落实《个人信息保护法》的相关要求外,还须充分考虑个人用户的阅读习惯,并且切实保障用户权利的行使,这也是接下来APP的合规工作整治重点。她补充说:“目前比较具有参考性和可执行性的隐私政策模板还是GB/T352732020《个人信息安全规范》的附录D,这也是被APP广泛应用的模板。同时,《个人信息安全规范》的附录C也明确了基本业务功能和拓展业务功能的设计思路,并且在其注释中阐明,如果重新划分产品功能,宜再次告知并征得同意,而这也在一定程度上呼应了《个人信息保护法》第十四条的规定。同时,正在编制中的《互联网平台及产品服务隐私协议要求》将对隐私政策提出具有可执行性的要求。”
此外,《报告》显示,目前APP账号基本具备注销功能,但仍须重视其设置不合理注销条件等违规情形。中国电子技术标准化研究院网安中心测评实验室副主任何延哲对《中国消费者报》记者说,目前,相关人员已在对包括小程序在内的账号注销问题进行研究。