中消協通報100款App個人信息收集與隱私政策測評情況
隨着移動互聯網發展以及各類手機App的興起,手機已成為國民日常生活中不可或缺的工具,各類App在給使用者帶來便利的同時,其背後的使用權限和隱私問題也日漸被關注。
11月28日,中國消費者協會發布《100款App個人信息收集與隱私政策測評報告》,依法對商品和服務進行社會監督。本次測評開展與2018年8-10月。根據消費者需求和專家組建議,本次活動邀請消費維權志願者對10類(通訊社交、影音播放、網上購物、交易支付、出行導航、金融理財、旅遊住宿、新聞閲讀、郵箱雲盤和拍攝美化)100款App進行現場體驗,同時邀請專家對App用户協議、隱私政策進行審核,綜合反映App個人信息保護中存在的問題。
測評發現,天天P圖、咪咕視頻、美圖秀秀、支付寶、拼多多、去哪兒網等消費者常用軟件在個人信息收集方面均存在不同程度不規範情況。
按照《個人信息安全規範》規定,對個人信息的收集應有明確的目的,不得超出產品功能相關目的外收集額外的個人信息,很多被測評App在隱私政策等文件中,未將其收集的個人信息與其實現的產品功能明確掛鈎,其中很多個人信息與消費者通常理解的產品功能之間無明顯關聯,甚至明顯超出合理範圍。
典型案例1:聚看點App收集個人身份信息(生日、籍貫)、個人上網記錄、個人財產信息、位置信息和通訊錄信息,但各類信息對應的業務功能未明確説明。
典型案例2:網易彩票App收集個人財產證明、個人上網記錄、通訊信息、位置信息(包括行程、住宿)等信息涉嫌過度收集或使用。
出行導航、旅遊住宿、網上購物類App對於用户個人位置信息具有根據定位信息提供產品和服務的合理訴求,但是對於大部分社交類、影音播放類、拍攝美化類、新聞閲讀以及金融理財類App來説,調用用户的位置信息對於這些服務的提供非必需信息,存在過度收集或使用的嫌疑。
典型案例3:天天P圖收集用户的位置信息,但未説明提供的是何種相關服務。
典型案例4:咪咕視頻收集用户的地理位置、手機號碼、電子郵件或銀行卡號等信息涉嫌過度收集。
通訊錄信息、手機號碼涉及用户的個人隱私,屬於個人敏感信息,存在較高的商業價值,部分僅提供手機號註冊方式,藉助手機權限開放的便利,很容易收集手機號碼及通訊錄信息。
典型案例5:139郵箱涉嫌過度收集手機、姓名、電話號碼、出生年月日、地址等信息。
典型案例6:捷信快貸收集工作信息、通訊錄、個人徵信信息、學歷信息涉嫌過度收集,各類信息對應的業務功能未明確説明。
個人財產信息、個人生物識別信息屬於個人敏感信息。個人敏感信息一旦泄露,將導致個人信息主體及收集、使用個人信息的組織和機構喪失對個人信息的控制能力,造成個人信息擴散範圍和用途的不可控,可能對個人信息主體人身和財產帶來重大風險。
典型案例7:美圖秀秀App涉嫌過度收集可識別生物信息、財務信息等。
2018年5月,推薦性國家標準《個人信息安全規範》正式實施,《個人信息安全規範》對於個人信息收集、保存、使用、流轉等環節提出了要求,是國內在個人信息保護實踐方面的重要參考標準。基於“隱私政策應公開發布且易於訪問”的原則,發現一些常用APP存在不同程度隱私內容不達標問題。
典型案例8:中國工商銀行App沒有單獨的隱私政策,鏈接中僅提供隱私保密聲明。
典型案例9:支付寶App未在收集的信息種類中註明個人敏感信息,且未對核心和附加功能進行區分,導致用户易認為所收集的信息均為必需項。
典型案例10:中國建設銀行App收集個人敏感信息時,雖然概括性地告知了敏感信息的種類和使用的方式,但未告知拒絕提供將具體影響哪些功能。
典型案例11:ofo小黃車向關聯公司及第三方分享相關信息時,未單獨徵得用户同意,且對外提供行為未體現其必要性,其存在的風險不得而知。
典型案例12:美圖秀秀向第三方提供個人信息時,未説明雙方所承擔的相應責任。
在用户權利方面,共包括五方面的測評內容,一是告知用户訪問信息的方式,二是告知刪除個人信息的方式,三是告知更正個人信息的方式,四是告知用户撤回同意的方式,五是告知用户註銷賬號的方式。
典型案例13:愛搶購App不支持賬號退出功能,申請手機解綁需向客服申請,方法過於繁瑣。
典型案例14:ofo小黃車App用户可以更正基本信息,但未向用户明確説明撤回同意、刪除更正個人信息的方式,聯繫客服的方式不夠便利,且未説明響應時間。
典型案例15:新浪新聞App不支持賬户註銷功能。
典型案例16:e代駕隱私條款存在於用户協議中,沒有獨立成文的隱私政策,且為默認勾選,未主動提示用户閲讀,極易被用户忽略。
還有一些APP的隱私條款均存在不合理免責條款的現象,其中金融理財類和郵箱雲盤類App不合理條款問題較突出。
典型案例17:悟空理財App存在“您須對您本人在使用本網站所提供的服務時的一切行為、行動(不論是否故意)負全部責任”等不合理免責條款。
典型案例19:去哪兒網App關於“所有去哪兒網上提供的服務都來在第三方合作伙伴”的表述存在推脱嫌疑,如廣告服務應為網站本身所提供的,此為不合理的免責條款。
經典案例20:拼多多App對使用任一服務即表示同意本政策的所有內容,以及首次使用即使未簽署協議也視為同意的條款存在不合理性。
此外,在10類APP總平均分上,新聞閲讀、網上購物和交易支付等類型App總平均分相對較高,而金融理財類App得分相對較低,僅為28.91分。
社交通訊類APP上,被評價為四星半或四星的是微信、QQ、新浪微博和陌陌;三星半的是百度貼吧;一起、妙見、宜聊、面聊、百合婚戀被評價為一星。
影音播放類APP上,被評價為四星的是騰訊視頻;三星或三星半的是愛奇藝、優酷、抖音短視頻、咪咕影院、快手;橙子VR、手機電視、1905電影網、魔力視頻被評價為一星。
購物類APP上,被評價為四星半的是京東、美團、天貓、淘寶;三星半的是拼多多;愛搶購、搜了、快樂購、名創優品、喜購被評價為一星。
交易支付APP上,被評價為四星的是支付寶;三星或三星半的是京東金融、拉卡拉、如E支付、合眾錢包;雲閃付被評為二星;翼支付、瑞錢包、付費通、銀嘉錢包被評價為一星。
出行導航上,被評價為四星的是騰訊地圖、百度地圖;達到三星或三星半的是滴滴出行、高德地圖、咚咚駕駛、ofo小黃車;飛嘀打車乘客、曹操專車、一起來拼車、E代駕被評價為一星。
金融理財上,被評價為三星或三星半的是網易彩票、中國建設銀行;勝算在握、微貸網、中國工商銀行、捷信快貸、隨手記、同花順、馬上到賬貸款、悟空理財被評價為一星。
住宿旅遊上,評為四星的是飛豬;三星或三星半的是同程旅遊、攜程旅行、途牛旅遊;去哪兒旅行被評為二星;票管家、百程旅行、天巡旅行、6人遊、居家遊被評為一星。
新聞閲讀類APP上,被評為四星或四星半的是騰訊新聞、新浪新聞、今日頭條、多看閲讀;三星或三星半的是網易新聞、一點資訊;艾美閲讀被評為二星;掌閲、聚看點、掌上閲讀被評為一星。
郵箱雲盤類APP上,被評為四星或四星半的是QQ郵箱、網易郵箱;三星或三星半的是百度網盤、新浪郵箱、極郵郵箱;139郵箱、景郵箱、輕郵、2980郵箱、易聯安全郵箱被評為一星。
拍攝美化類APP上,被評價為四星的是無他相機、美顏相機、美妝相機;三星或三星半的是天天P圖、美圖秀秀;B612咔嘰被評價為二星;POCO相機、柚子相機、Faceu激萌、美人相機被評價為一星。
《個人信息安全規範》對於個人信息收集、保存、使用、流轉等環節提出了明確要求,是個人信息保護在具體實踐中的重要推薦性國家標準。當前,大力宣傳和落實相關規範要求,對於提高消費者個人信息安全保護意識具有十分重要的作用。
為督促各類App提升消費者個人信息安全保護意識和水平,促進我國個人信息安全環境的持續優化,中國消費者協會建議:
(一)進一步提高立法立規水平,強化對消費者個人信息的法律制度保護。
(二)督促App優化隱私政策,提升服務消費者的透明度。
(三)應用商店履行平台審核責任,強化App隱私條款的明示公示義務。
(四)強化執法與教育警示,提高消費者App使用信心。