APP收集个人信息情况严重:100款App个人信息收集与隐私政策测评报告

据工信部统计,截至2017年底,我国三大运营商移动电话用户总数14.03亿户,移动宽带用户(即3G和4G用户)总数11.01亿户,占移动电话用户的78.5%。随着移动互联网发展以及各类手机App的兴起,手机已成为国民日常生活中不可或缺的工具,各类App在给使用者带来便利的同时,其背后的使用权限和隐私问题也随着近年来互联网安全事件的陆续爆发而逐渐引起消费者的密切关注。

2018年1月6日,国家网信办网络安全协调局约谈支付宝(中国)网络技术有限公司、芝麻信用管理有限公司的有关负责人时指出,支付宝、芝麻信用收集使用个人信息的方式,不符合《信息安全技术个人信息安全规范》国家标准的精神。3月17日,美国《纽约时报》报道称,Facebook上超过5000万用户信息数据被一家名为“剑桥分析”的公司泄露,美国联邦贸易委员会也展开了调查。

移动互联网安全事件的频发,暴露出当前消费者个人信息保护工作存在着不足,为加强对网络平台的全面排查,防止类似事件再次发生,切实保护公民个人信息安全,我国于2017年颁布了《中华人民共和国网络安全法》。自《网安法》正式实施以来,人大、工信、网信、网安以及消协系统,在全国各地掀起了一系列个人信息专项检查、整治行动,处罚违法违规行为的同时,也加强了社会公众对个人信息保护的重视程度。2017年12月29日,中国国家标准化管理委员会正式发布GB/T 35273-2017《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》),并于2018年5月1日起实施。《安全规范》以国家标准的形式,明确了个人信息的收集、保存、使用、共享的合规要求,为网络运营者制定隐私政策及完善内控提供了指引。

作为依法对商品和服务进行社会监督的保护消费者合法权益的社会组织,中国消费者协会(以下简称“中消协”)致力于提升消费者对个人信息安全的重视度,积极推动App依法合规获取和使用公民个人信息的工作。2014年中消协发布了《2014年度消费者个人信息网络安全报告》,报告显示网络针对消费者个人信息“窃取”和“非法使用”的黑色产业链呈现爆发性增长态势,消费者因个人信息泄露造成的经济损失数目惊人。2016年中消协发布调查报告显示消费者对互联网信息服务的总体满意率仅为57.9%。为促进各经营者更好地遵守《中华人民共和国网络安全法》、《个人信息安全规范》等相关法律和标准规范,维护广大消费者的个人信息安全,中消协于2018年8-10月开展了App个人信息保护情况测评活动,所有App下载均在9月1-3日期间从App Store、安卓市场下载并录屏取证。根据消费者需求和专家组建议,本次活动邀请消费维权志愿者对10类(通讯社交、影音播放、网上购物、交易支付、出行导航、金融理财、旅游住宿、新闻阅读、邮箱云盘和拍摄美化)100款App进行现场体验,同时邀请专家对App用户协议、隐私政策进行审核,综合反映App个人信息保护中存在的问题。

本次被测评的10类100款App分别从App Store和安卓市场进行下载,根据测评结果显示,从App Store下载的与从安卓市场下载的App在信息的收集内容和隐私政策上并无明显差别,但常用App与中小型企业App的评分差距明显。

10类App总平均分

报告解读:

多款常用软件“不及格”

《测评报告》显示,App Store下载渠道与安卓市场下载渠道在信息采集类型和隐私政策方面无明显差别,但不同类别App以及同一类别中的不同品牌App测评结果差异较大。根据测评结果,新闻阅读、网上购物和交易支付类App评分相对较高,而金融理财类App得分最低,仅为28.91分。

而具体到App中,多款App的评级只有最低的一星,代表并未达到及格水平:在通讯类中,一起、妙见、宜聊、面聊、百合婚恋被评价为一星;影音播放类,橙子VR、手机电视、1905电影网、魔力视频被评价为一星;网上购物类,爱抢购、搜了、快乐购、名创优品、喜购被评价为一星;交易支付类,翼支付、瑞钱包、付费通、银嘉钱包被评价为一星;出行导航类,飞嘀打车乘客、曹操专车、一起来拼车、E代驾被评价为一星;金融理财类,胜算在握、微贷网、中国工商银行、捷信快贷、随手记、同花顺、马上到账贷款、悟空理财被评价为一星;住宿旅游类,票管家、百程旅行、天巡旅行、6人游、居家游被评为一星;新闻阅读类,掌阅、聚看点、掌上阅读被评为一星;邮箱云盘类,139邮箱、景邮箱、轻邮、2980邮箱、易联安全邮箱被评为一星;拍摄美化类,POCO相机、柚子相机、Faceu激萌、美人相机被评价为一星。

各类型App中小企业App得分均显著低于消费者常用App,说明目前中小企业App隐私政策缺失或设计存在明显不足。

过度收集个人信息情况严重

很多被测评App在隐私政策等文件中,未将其收集的个人信息与其实现的产品功能明确挂钩,其中很多个人信息与消费者通常理解的产品功能之间无明显关联,甚至明显超出合理范围。

比如,美图秀秀App在条款中称,需要的个人信息包括用户姓名、性别、电话号码、邮箱、出生日期、地理位置、身份证号码、可识别生物信息和财务信息(如信用卡卡号或银行账号、微信支付或支付宝账号信息)。

对于过度收集用户个人信息的定义,中消协在报告中解释称,出行导航、旅游住宿、网上购物类App对于用户个人位置信息具有根据定位信息提供产品和服务的合理诉求,但是对于大部分社交类、影音播放类、拍摄美化类、新闻阅读以及金融理财类App来说,调用用户的位置信息对于这些服务的提供非必需信息,存在过度收集或使用的嫌疑。

金融理财类App垫底

测评报告显示,本次测评中仅有一半(53款)App的隐私条款各指标总分达到及格分以上,而有13款App具备隐私条款,但得分低于及格分,另外有超过三分之一(34款)的隐私条款得分为0,即未对用户公布个人信息隐私条款。

测评结果显示,当前有关隐私条款存在的典型问题有:隐私条款笼统不清,对收集、使用个人信息的目的、方式、范围、保存期限、和地点等没有明确说明;不主动向用户展示隐私条款,或展示内容晦涩冗长;征求用户授权同意时,未给用户足够选择权;没有为用户提供访问、更正、删除个人信息的途径;大量收集与所提供服务无直接关联的个人信息,未遵守标准中最小化收集个人信息的规定。

如,在测评中发现,支付宝App未在收集的信息种类中注明个人敏感信息,且未对核心和附加功能进行区分,导致用户易认为所收集的信息均为必需项。中国建设银行App收集个人敏感信息时,虽然概括性地告知了敏感信息的种类和使用的方式,但未告知拒绝提供将具体影响哪些功能。

值得注意的是,在收集个人信息相关的多项指标中,金融理财类App在本项中得分均相对较低。

留下评论