剛開啟App就被索取一系列授權,明確拒絕後仍頻繁彈窗甚至不讓用;隱私政策內容錯漏百出、難以讀懂;想按照App隱私政策裡提供的途徑下載自己的個人資訊副本,客服卻說不知道那是什麼……以上種種情況,你是否也遇到過卻又無力解決?
12月17日,南方都市報個人資訊保護研究中心在北京召開“2021啄木鳥資料治理論壇”。南都個人資訊保護課題組在會上釋出《個人資訊保安年度報告(2021)》(下稱“報告”),從App隱私政策、許可權獲取、可攜權以及應用商店稽核機制四個方面披露了150款App和10家應用商店的個人資訊保護合規現狀。
沒有一款透明度高,僅5款披露非SDK第三方
今年報告選取十大行業共計150款App作為測評樣本,其中每個行業頭、中、尾各五款。隱私政策透明度越高,代表其關於企業如何收集、使用、儲存和保護個人資訊的描述越清晰和全面。
測評結果顯示,“知乎”“叮噹快藥”以89分位居第一,“快手”“攜程旅行”以兩分之差並列第二。透明度達到中等及較高水平的App佔比高達82%,得分“不及格”的App共有27款,各行業平均分相差不大。
值得注意的是,透明度高的App數量為零。報告分析認為,這是由於大多數App尚未落實個保法中的創新性規定,失分較多。比如只有40款App提供了專門的未成年人隱私政策,不到10款App提及死者權利。
11月,工信部發布通知,要求相關網際網路企業於12月底前建立個人資訊保護“已收集個人資訊清單”和“與第三方共享個人資訊清單”。測評發現,150款App中有135款都列出了嵌入的第三方SDK(軟體開發工具包),並告知其名稱、處理目的、個人資訊型別和連結。
然而,報告指出,第三方SDK並不是App共享使用者個人資訊的唯一物件,還包括廣告主及其代理商、關聯公司、授權合作伙伴等。但只有“知乎”“唯品會”等五款App披露了承運商、支付、廣告商、媒體等第三方的部分資訊。
儘管隱私政策告知不清晰、抄襲、頭尾部App得分差距大等問題依然存在,今年150款App的隱私政策透明度平均分仍達到了70。1分,在測評標準更加嚴格的情況下,幾乎與2019年持平。這意味著,App的隱私政策透明度有了明顯提升。
拒絕十次還彈窗,五分鐘內讀定位超兩千次
今年3月印發的《常見型別移動網際網路應用程式必要個人資訊範圍規定》(下稱《規定》)為39類App劃定了滿足基本功能服務所需的必要個人資訊範圍。報告以《規定》為標準,對十大行業的150款App進行了許可權獲取合規度測評。
測評結果顯示,只有“新氧醫美”“360借條”“學而思網校”三款App得分高於90分,整體平均分僅有57。9分。其中近半App得分集中在60-70分,不及格的App則有60款,佔比40%。
從具體情況看,150款被測App中有89款都在使用者首次使用App時彈窗申請了非必要許可權,涉及電話、定位、儲存、通訊錄、相機、麥克風等,其中不乏“釘釘”“美柚”等頭部App。
此外,不少App需要使用者多次拒絕許可權申請後才能正常使用。比如“優健康”“高途課堂”等30款App在使用者明確拒絕某許可權後,仍然頻繁彈窗申請,尤其儲存許可權被重複申請的次數最多。
如首次開啟“粉象生活”,使用者需連續拒絕11次儲存許可權彈窗,其中有兩次是選擇了“拒絕且不再詢問”後仍再次彈窗。報告認為,App連續多次彈窗申請同一許可權的做法是一種“變相強制”,不符合法律要求的“明示同意”。
在漢華飛天信安科技有限公司的技術支援下,報告還對150款App在一段時間內呼叫敏感許可權的頻率進行了測評。結果顯示,有多達135款頻繁呼叫許可權。
其中情況較為嚴重的是“莉景天氣”,平均每分鐘呼叫定位許可權約153次;退到後臺後,又在五分鐘內呼叫了2286次定位許可權。
不少App客服稱不知何為個人資訊副本
根據個保法第四十五條,個人有權向個人資訊處理者查閱、複製其個人資訊,還有權請求將個人資訊轉移至其指定的個人資訊處理者。報告仿照歐盟《通用資料保護條例》,將上述規定簡稱為“可攜權”。
報告發現,App落實可攜權的做法通常是提供個人資訊副本並承諾可轉移。150款App中,57款明確使用者可要求獲取個人資訊副本,佔比38%。截至測評結束,僅收到14款App提供的個人資訊副本,內容絕大多數是使用者主動提供的資訊和裝置資訊等,如使用者ID、暱稱,註冊手機號,註冊時間等。
對於何為個人資訊副本,各App給出的答覆不盡相同。比如“學而思網校”“斑馬App”稱獲取個人資訊副本的方式為自行截圖;多位App客服直言“不知道什麼是個人資訊副本”。還有不少App告知的獲取途徑無一聯絡得上。
還有App會設定身份驗證門檻,要求使用者提供除註冊時提供的個人資訊之外的資訊。比如“叮噹快藥”要求使用者提交手機營業廳繳費憑證、手持身份證照片,轉移個人資訊需提供接收方個人資訊證明,願意接收個人資訊的證明材料、接收方式。
報告指出,150款App中承諾提供個人資訊轉移服務的僅有15款,基本都要求使用者提供對方App的接收方式、介面等資訊。然而,沒有任何一款App明示告知使用者如何獲取上述資訊。報告認為,這進一步增加了使用者履行可攜權的難度。
所有應用商店都在隱私政策連結上失分
為了解應用商店稽核機制的合規狀況,報告對OPPO軟體商店、華為應用市場、360手機助手、小米應用商店、vivo應用商店、騰訊應用寶、百度手機助手、PP助手、豌豆莢、三星應用商店十大應用商店進行測評。
結果顯示,OPPO軟體商店、華為應用市場、360手機助手分別以82。4、79。1、70分位居前三名,而PP助手、三星應用商店和豌豆莢得分不及格。整體平均分不足60。
報告指出,該測評的一個普遍失分點在於,10家應用商店均存在隱私政策連結問題,包括未提供隱私政策連結、隱私政策連結無法開啟、隱私政策版本與App內不一致等。
比如,OPPO軟體商店有七款App的展示頁面沒有隱私政策連結,其中不乏“優健康”“華醫通”等知名App;vivo應用商店中,“攜程旅行”展示頁面的隱私政策連結為隱私設計文件,而非隱私政策;小米應用商店中有九款App在應用商店展示頁的隱私政策與App內版本不一致。
值得注意的是,絕大多數應用商店展示App將獲取的許可權列表時,通常使用的是“允許該應用……”等系統預設表述。只有小米應用商店的許可權詳情頁允許App開發者自行更改許可權獲取目的。
如“海豚優惠-購物返利平臺”就修改了其應用商店展示頁面定位、手機資訊、相機、錄音四項許可權的獲取目的——如獲取手機資訊是為了“防止非法分子使用軟體進行違法違規行為”。
報告認為,系統預設表述的許可權說明通常為概括性描述,無法精準地照顧到每一個App的許可權申請目的。允許App開發者修改可以讓使用者更加清楚地瞭解App為什麼要獲取這項許可權,有助於保障使用者的知情權。
出品:南都個人資訊保護研究中心
採寫:南都見習記者 樊文揚 記者 孫朝
