誰在私自收集個人信息?誰在過度索取權限?
7月3日,工信部公布了2020年第二批侵害用戶權益行為的15款APP名單,智慧樹、納米盒、悟飯遊戲廳等APP被點名。
這並非工信部就APP問題的第一次曝光,自2019年12月以來,工信部就開始通報侵害用戶權益行為的APP名單,截至7月3日,工信部已通報了4批APP名單,累計87個APP「上榜」,涉及私自收集個人信息、過度索取權限、帳號註銷難等8大類問題。
新京報貝殼財經記者梳理發現,累計四批名單中,60.92%的APP都存在私自收集個人信息的問題,這說明涉及用戶隱私的行為成為了APP被通報的「重災區」。此外,相比2019年第一批通報名單,帳號註銷難、不給權限不讓用兩個問題的出現頻率有所下降,說明帳號註銷和強制使用問題得到了改善。
超六成被點名APP私自收集個人信息
工信部將APP侵害用戶權益行為的所涉問題分為八大類,包括:強制用戶使用定向推送功能、不給權限不讓用、帳號註銷難、私自收集個人信息、私自共享給第三方、過度索取權限、超範圍收集個人信息、頻繁申請權限。
新京報貝殼財經記者整理發現,上述8類問題中,私自收集個人信息是出現最頻繁的問題,累計出現53次,也就是說,被工信部點名的APP中超過六成都存在此類問題。
根據《工業和信息化部關於開展APP侵害用戶權益專項整治工作的通知》中的解釋,私自收集個人信息指「APP未明確告知收集使用個人信息的目的、方式和範圍並獲得用戶同意前,收集用戶個人信息。」
去年年底,網信辦、工信部等四部門印發《App違法違規收集使用個人信息行為認定方法》,對於如何界定APP明確告知收集使用個人信息等行為給出了詳細的解釋。APP專項治理工作組有關專家曾對該認定方法進行過解讀,他舉例稱,未明示收集使用個人信息的目的、方式和範圍的情況包括未逐一列出APP (包括委託的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、範圍等。
新京報貝殼財經記者發現,目前絕大多數APP會在首次安裝打開後彈窗的隱私政策中寫出收集信息的範圍,不過不同APP對收集信息的詳細程度描述不一樣,這可能是導致工信部判斷APP是否侵害用戶權益的關鍵點。
例如此次被通報的APP納米盒在隱私政策中表示,其可能通過cookies等收集如用戶IP位址等信息,但仍然被認為存在私自收集個人信息行為。
APP專項治理工作組有關專家解讀稱,APP和APP中嵌入代碼的第三方收集使用個人信息,都需要採取適當方式通知用戶。「我們曾使用檢測工具檢測到一款APP中嵌入了54個SDK,這麼多SDK有沒有個人信息洩露的風險,這些都要提。目前有一些APP在整改後就做得很到位,有些專門列出了SDK的列表,甚至把第三方共享的接收方都列出來了,如果把明示工作做到這個程度,相信用戶也會對APP的信任度有很大的提升。
此外,根據《App違法違規收集使用個人信息行為認定方法》,APP若未逐一列出有關收集使用規則,或者內容晦澀難懂、冗長繁瑣,用戶難以理解,如使用大量專業術語等,仍然會被認為是「私自收集信息」。
超95%問題APP按時整改 帳號註銷難問題改善最多
工信部每曝出一批問題APP名單,也會給相關APP規定整改期限,如對於7月3日公布的APP名單,工信部要求在7月14日之前完成整改。
新京報貝殼財經記者下載上述APP發現,一些APP目前仍然未完成整改,如樂教樂學1.0.216版存在不給權限不讓用的問題。7月6日,記者下載樂教樂學打開發現,該應用彈窗提示要訪問設備照片、媒體內容和文件,若記者點擊禁止則會彈出「沒有獲得存儲權限,將無法正常使用」的提示,對其訪問文件的彈窗只有點擊「始終允許」,才能正常使用該APP。
但也有一些APP因版本更新「提前」完善了一些老版本需要整改的問題。如工信部7月3日公布的名單中,遊民星空5.5.23版因私自收集個人信息與帳號註銷難被點名,但記者瀏覽應用商店發現,該APP在7月1日就已經更新至5.5.24版本,其中更新內容之一就是「完善了註銷用戶流程」。
對於超過期限仍未整改問題的,工信部會對相關APP予以下架處理。
記者統計發現,目前在工信部曝光的前三批已過整改時間的72款APP中,只有人人視頻4.3.3/4.3.4版、春雨計步器2.5.4版、微唱-原創音樂1.1.0版3款APP曾因未能按時完成整改於1月3日遭到下架處理,其餘95.83%的APP都按時完成了整改。
貝殼財經記者1月3日時曾在華為手機應用商店搜索上述APP,發現其確實遭到下架,7月5日,記者再次搜索後發現,人人視頻、微唱兩款APP在更新版本後再次出現在了華為手機應用商店中。
兩款APP曾經被通報的問題已經在更新的版本中得到了整改,如人人視頻4.3.3/4.3.4版存在私自收集個人信息、私自共享給第三方、過度索權問題。7月5日,記者下載了人人視頻4.8.4版後發現,其在隱私政策中列出了收集個人信息的詳細用途,並列出了所有第三方公司的SDK名單,公布了使用目的,同時除了基本設備權限外僅彈窗提示了索取了地理位置信息(但用戶可選擇拒絕),完成了整改。
而微唱-原創音樂1.1.0版被工信部點名存在私自收集個人信息、強制用戶使用定向推送功能、不給權限不讓用、過度索權和帳戶註銷難問題;7月5日,記者下載了微唱1.1.7版安裝後打開發現,該APP除了基本的設備權限外沒有索取任何額外權限,且在安裝初始就有了完善的隱私協議。記者註冊用戶帳號後發現,在顯眼處就有註銷選項,也完成了整改。
新京報貝殼財經記者整理工信部公布的四批問題APP名單發現,帳號註銷難以及不給權限不讓用兩個問題的改進最為明顯,其中第一批名單有36.59%的APP帳號註銷難,而最新一批名單中只有13.33%的APP帳號註銷難;不給權限不讓用問題的出現頻率也從2019年12月的26.83%下降至目前的13.33%。
延展
解決APP侵害用戶權益行為的難點在哪?
根據貝殼財經記者統計,對於工信部通報的四批問題APP名單,除私自收集個人信息問題出現53次數量最多外,過度索取權限問題累計出現31次,私自共享給第三方問題累計出現30次,是排行第二第三的問題,可以發現,佔據排行榜前三名的問題全部與用戶隱私信息相關。
對此,騰訊公司法務部數據及隱私中心負責人黃曉林認為,APP獲取用戶權限過多、過度的問題由來已久,有些APP超出必要範圍獲取用戶的敏感權限很不應該。但這些現象屢禁不止的原因在於,其所面臨的法律風險可能遠遠小於可以獲得的商業利益。
有監管層人士告訴貝殼財經記者,企業收集用戶隱私信息可以用來作為用戶畫像,便於發送廣告,合理的廣告訴求應該予以理解,「一些小微企業的收入來源就是APP中的廣告,如果採用『一刀切』的方式完全禁止發廣告,一些APP就無法生存,但從用戶的直觀角度考慮,有可能認為自己的隱私信息遭到了竊取,此時監管部門需要綜合考慮用戶與企業雙方的需求。」
該人士表示,目前其查到一些APP存在侵權問題時,會直接與APP運營企業聯繫要求對方進行整改,對於比較容易整改的問題,如APP註銷難等,企業可以很快出臺註銷方式,用戶也能簡單地發現這一改變,因此關於註銷難的整改易於推進;但私自收集個人信息的問題就較為複雜,如一些APP出於使用目的不得不收集必要的個人信息,此時如何判斷什麼屬於「私自收集」往往較麻煩,這可能就是四批APP通報名單中私自收集個人信息問題始終存在的原因之一。
新京報貝殼財經記者 羅亦丹 編輯 李薇佳 校對 柳寶慶
(責任編輯:張洋 HN080)