你最常用的淘寶、閒魚等網購APP安全嗎?

受疫情影響，大家被迫居家隔離，網上購物、在線教育、在線辦公等線上化成為了人們主要的生活、學習、工作方式。

當我們通過手機下載或更新這些APP時，都會被要求閱讀並同意《隱私政策》。相信很多人跟我一樣，沒有閱讀，只是「被迫」選擇了「同意」，因為不同意則無法使用。

如何判斷APP是否存在違法違規搜集使用個人信息？我們的哪些個人信息又被違規搜集？帶著這些疑問，零壹財經APP評測中心基於《網絡安全法》以及網信辦、工信部、公安部、市場監督總局、信息安全標委會等部門發布的關於APP收集使用個人信息相關法規，整理了8條標準，對20款常用的網上購物APP進行了評測。

結果顯示，有17款APP存在違法違規收集使用個人信息的行為。

20款網購APP，17款存在違規行為

基於以上標準，我們對20款網上購物平臺APP進行了評測，結果顯示：僅京東、唯品會、蘇寧易購3款APP未發現違規行為；其餘17款APP當中，閒魚和網易嚴選2款APP違規問題最多。

表1: 17款電商APP違法違規收集使用個人信息行為

信息來源：零壹智庫

另一方面，這17款APP違規行為集中出現在3個方面：

1）APP違反最小必要原則，超範圍收集個人信息，例如收集設備唯一標識、手持身份證照片、已安裝的應用列表等信息，存在該問題的有閒魚、蘑菇街、得物、小米有品、手機淘寶等10款APP；

2）在收集用戶信息時，未詳細說明收集個人信息的目的、範圍等，存在該問題的有寺庫奢侈品、轉轉、微店、有貨等11款APP；

3）在用戶拒絕授權之後，仍頻繁向用戶申請授權，幹擾用戶正常使用，存在該問題的APP有考拉海購、多點、平安好醫生、網易嚴選等APP。

8條標準判斷APP是否存在違法違規行為

1. 沒有《隱私政策》，是否合規？

不合規。

當我們下載APP時，我們會發現，在一些APP中沒有《隱私政策》，有些用戶會認為這些APP沒有收集我們的個人信息。事實上，這種想法是錯誤的，絕大部分APP都會在我們註冊過程中，甚至在我們非註冊情況下，都會收集我們的個人信息。因此，該行為屬於未公開收集使用規則。

除此之外，根據網信辦、工信部、公安部等部門要求，《隱私政策》需要以單獨成文的形式發布，不能作為用戶協議等文件的一部分。

2. 默認用戶選擇同意《隱私政策》，是否合規？

不合規。

當我們首次打開APP、或通過APP註冊帳戶時，會要求我們閱讀並同意隱私政策。絕大部分的APP會需要用戶主動勾選、主動點擊「同意」「註冊」等方式，同意《隱私政策》，個別APP直接省略了該步驟，例如拼多多APP，事實上，默認用戶同意《隱私政策》這種行為並不合規。

3. 超範圍收集個人信息，是否合規？如何定義超範圍收集個人信息？

絕大部分用戶，一定會困擾，為什麼這些APP要收集我們的通訊錄、簡訊記錄、相冊、位置定位、身份證號等個人信息，這些行為是否合法合規。甚至我們很難界定，哪些信息是必須要收集的、哪些是我們可以拒絕的。

實際上，《網絡安全法》第41條就已經規定，網絡運營者不得收集與其業務無關的個人信息。如何確定哪些信息與其業務無關呢？我國信息安全標委會針對30種類型的APP，整理了可收集的最小必要信息，這些信息主要分為兩部分，法律法規要求的個人信息和業務所需的個人信息。

以網上購物APP為例，法律法規要求的最小必要信息包括：網絡訪問日誌、手機號碼和交易信息。實現業務所需的個人信息有：帳號信息、收貨人信息、第三方支付信息、與客服溝通的通話錄音和聊天信息。如果網上購物APP收集的個人信息超過該範圍，即可認定為超範圍收集個人信息。

4. 未告知用戶收集個人信息的目的、範圍，是否合規？

不合規。

一些APP在收集使用我們的個人信息時，會用「等、例如」概括個人信息收集範圍，我們很難從這些文字當中獲知這些APP到底收集了我們的哪些信息。

除此之外，一些APP在彈窗向用戶申請收集個人信息權限時，也未向用戶告知目的。

根據GB/T 35273《信息安全技術 個人信息安全規範》和APP治理工作組要求，這些行為均不合規。

5. 未提供投訴舉報的功能或渠道，是否合規？

不合規。

當我們遇到有APP存在侵權行為時，一些用戶會選擇向商家進行投訴舉報，此時，用戶會面臨幾個問題：首先，一些APP未提供投訴舉報途徑；其次，在用戶投訴舉報之後，長時間沒有反饋。

根據《網絡安全法》第49條，網絡運營者應當建立安全投訴、舉報制度，並公布投訴、舉報方式，及時受理並處理相關投訴舉報。除此之外，網信辦、公安部等部門還對投訴舉報進行了時間限制，要求15個工作日內完成核查和處理。

6. 未提供帳戶註銷途徑，或帳戶註銷需要提供超過註冊範圍的信息，是否合規？

不合規。

由於某些原因，我們會選擇將APP帳戶進行註銷。而在此時，我們會發現，一些APP註冊容易，註銷難。主要存在的問題有3個：

首先，在APP當中，未提供註銷途徑，或不支持用戶註銷；

其次，一些APP支持用戶註銷，但是需要用戶提交超過註冊時的個人信息，例如在金融APP當中，用戶註銷帳戶需要提交手持身份證照片，APP治理工作組表示，該行為屬於典型的以欺騙方式收集個人敏感信息；

此外，一些APP的帳戶註銷需要通過其他APP進行操作，並且會導致用戶無法使用其他相關的APP，例如註銷閒魚APP時，同時會導致淘寶、飛豬等APP無法使用。

閒魚APP《隱私政策》

淘寶APP註銷截圖

以上這些行為，均不合規。

7. 強制用戶使用定向推送功能，並且在APP中未提供取消功能，是否合規？

不合規。

相信大部分用戶都被商家的推送簡訊騷擾過，即使我們回復「T」 「回T退訂」也很難取消廣告推送。

根據網信辦、工信部等部門發布的《App違法違規收集使用個人信息行為認定方法》，APP在利用個人信息和算法定向推送信息時，未提供取消功能的，被認定為違法違規收集使用個人信息。

8. 在用戶拒絕授權之後，仍頻繁向用戶申請權限，是否合規？

在我們拒絕APP的某些授權後，每次我們重新打開APP時均會彈窗詢問是否同意收集個人信息，嚴重影響用戶體驗。

針對這一行為，相關法規認定標準：在用戶明確表示不同意收集後的48小時內，每次重新打開APP、或使用某一業務功能時，重複向用戶申請權限，均不合規。

如果是用戶在選擇使用某一具體功能所觸發的彈窗詢問授權，則不屬於頻繁幹擾情形。例如，用戶選擇發送圖片功能時，所觸發的「照片」權限。

APP違法違規 投訴舉報途徑

面對APP違法違規收集使用個人信息行為，作為用戶該怎麼辦呢？

1. 向APP運營商投訴舉報。在APP《隱私政策》查找「如何聯繫我們」，可以獲取電話、郵箱等方式進行投訴舉報。

2. 向外部監管機構投訴舉報。如果我們發現APP存在不合規不合法行為，可以直接向網信部、電信、公安部進行投訴舉報。

除此之外，受中央網信辦、工信部、公安部、市場監管總局四部門委託，全國信息安全標準化技術委員會、中國消費者協會、中國網際網路協會、中國網絡空間安全協會成立了「APP專項治理工作組」，用戶也可以通過「APP個人信息舉報」微信公眾號和pip@tc260.org.cn向「APP專項治理工作組」進行投訴舉報。

End.

目前，我國數字金融服務的主要媒介是手機端，因此近兩年商業銀行日益注重手機銀行建設，以此來進行獲客、活客、場景嵌入、線上營銷等金融生態平臺建設。在此基礎上，銀行業不斷拓展外部合作夥伴，展開智能營銷、AI服務、風控建模等科技合作。4月28日，零壹財經·零壹智庫與零壹零售金融智庫聯手，共同推出「中國銀行業數字金融生態平臺」評選活動，目前已啟動案例徵集；並將發布🏆手機銀行數字競爭力TOP 100評選榜單，掃描下方二維碼，即可報名參與。