中國消費(fèi)者報(bào)報(bào)道（記者武曉莉）12月20日，國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心點(diǎn)名存在隱私不合規(guī)行為的17款A(yù)PP，其中包括哈啰出行、和訊財(cái)經(jīng)等在內(nèi)的15款A(yù)PP“未向用戶明示申請的全部隱私權(quán)限”。

一年來，多部門聯(lián)手依法對APP侵犯個(gè)人隱私問題進(jìn)行集中治理。日前，國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國網(wǎng)絡(luò)空間安全協(xié)會基于“APP收集使用個(gè)人信息監(jiān)測平臺”“APP舉報(bào)受理平臺”的監(jiān)測數(shù)據(jù)，發(fā)布《APP違法違規(guī)收集使用個(gè)人信息監(jiān)測分析報(bào)告》（以下簡稱《報(bào)告》），指出目前強(qiáng)制收集非必要個(gè)人信息問題明顯減少，但啟動(dòng)彈窗索要無關(guān)權(quán)限仍多發(fā);超范圍收集個(gè)人信息行為治理成效初顯，但仍須緊盯敏感權(quán)限聲明超出必要范圍等7類隱蔽問題。

彈窗索要無關(guān)權(quán)限仍多發(fā)

細(xì)心的用戶可能會發(fā)現(xiàn)，諸如微信、前程無憂51Job等頭部APP的最新版本，啟動(dòng)時(shí)已不再索要存儲、設(shè)備等無關(guān)權(quán)限。據(jù)《報(bào)告》統(tǒng)計(jì)，目前全國主流安卓應(yīng)用商店在架APP的去重后總數(shù)為112萬款，而APP強(qiáng)制要求收集個(gè)人信息是用戶普遍反感的違規(guī)行為之一。今年以來，APP強(qiáng)制要求用戶打開非必要權(quán)限、強(qiáng)制要求用戶填寫非必要個(gè)人信息等典型違規(guī)行為明顯減少，監(jiān)測發(fā)現(xiàn)僅有1%的中小應(yīng)用殘留此問題。

《報(bào)告》顯示，盡管很多APP不再強(qiáng)制收集個(gè)人信息，但仍存在首次啟動(dòng)時(shí)彈窗索要多個(gè)無關(guān)權(quán)限的問題，由此產(chǎn)生的投訴舉報(bào)也比較集中，用戶對此較為反感。據(jù)國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心相關(guān)人士介紹，目前量大面廣的APP已將啟動(dòng)時(shí)索要權(quán)限改為在用戶觸發(fā)特定功能時(shí)再索要對應(yīng)權(quán)限，改善了用戶體驗(yàn)。監(jiān)測顯示，在華為、小米、vivo、OPPO、騰訊等主流品牌的應(yīng)用商店近3個(gè)月新上架的應(yīng)用中，每月平均有近1000款應(yīng)用存在此問題。

主流應(yīng)用商店APP啟動(dòng)彈窗索要多個(gè)無關(guān)權(quán)限問題分布情況

數(shù)據(jù)來源：《APP違法違規(guī)收集使用個(gè)人信息監(jiān)測分析報(bào)告》

“由于APP數(shù)量非常多，推陳出新頻率高，而且APP的個(gè)人信息收集行為和方式也在不斷變化，監(jiān)管部門很難做到全覆蓋監(jiān)管，很容易出現(xiàn)覆蓋范圍過窄的情況。”TalkingData法務(wù)合規(guī)負(fù)責(zé)人兼數(shù)據(jù)合規(guī)官葛夢瑩對《中國消費(fèi)者報(bào)》記者說，“針對海量APP收集、使用個(gè)人信息的情況，《個(gè)人信息保護(hù)法》提出了從關(guān)鍵環(huán)節(jié)入手的監(jiān)管思路，即首次區(qū)分了一般的個(gè)人信息處理者和充當(dāng)‘守門人’角色的操作系統(tǒng)、應(yīng)用程序分發(fā)平臺、大型APP平臺等個(gè)人信息處理者（以下簡稱超大平臺）。這其中就包括了上述應(yīng)用商店，因?yàn)閼?yīng)用商店是眾多APP進(jìn)行個(gè)人信息收集處理的必要通道，從應(yīng)用商店這個(gè)關(guān)鍵環(huán)節(jié)入手，對其提出增強(qiáng)個(gè)人信息保護(hù)的要求，例如要求超大平臺建立外部監(jiān)督委員會，主動(dòng)引入對內(nèi)部信息處理行為的社會監(jiān)督，主動(dòng)承擔(dān)對平臺生態(tài)中各方個(gè)人信息處理行為的監(jiān)督，并發(fā)布社會責(zé)任報(bào)告等多種手段來杜絕APP強(qiáng)制收集非必要個(gè)人信息的問題。”

超限收集含7類隱蔽問題

互聯(lián)網(wǎng)時(shí)代，大家都有被精準(zhǔn)推送的體驗(yàn)。采訪中，中國廣告協(xié)會法律咨詢委員會常務(wù)委員杜東為對《中國消費(fèi)者報(bào)》記者說，由于手機(jī)屏幕空間有限，平臺算法必須在海量信息中找到用戶感興趣和有價(jià)值的信息。通過完全自動(dòng)化的決策過程，推薦系統(tǒng)在自動(dòng)分析、評估個(gè)人行為習(xí)慣、興趣愛好或者經(jīng)濟(jì)、健康、信用狀況后進(jìn)行決策，并向用戶展示。

《報(bào)告》顯示，部分APP出于精準(zhǔn)用戶畫像、推廣營銷等商業(yè)目的，想方設(shè)法地超出實(shí)現(xiàn)功能的必要范圍，進(jìn)而收集更多個(gè)人信息。目前，超限收集個(gè)人信息主要包括7類隱蔽問題：

敏感權(quán)限聲明超出必要范圍。少量APP在未提供實(shí)際功能的情況下，仍然聲明了相關(guān)敏感權(quán)限，存在熱更新后調(diào)用和SDK(軟件開發(fā)工具包)調(diào)用權(quán)限的風(fēng)險(xiǎn)。

權(quán)限索取超出必要范圍。一些APP超出當(dāng)前功能需要索取權(quán)限，例如，有的電話攔截功能只需3項(xiàng)敏感權(quán)限即可實(shí)現(xiàn)，而應(yīng)用卻索要了短信、存儲、通訊錄等7項(xiàng)敏感權(quán)限。

收集數(shù)據(jù)的敏感性超出必要范圍。一些APP在使用低敏感性數(shù)據(jù)即可實(shí)現(xiàn)功能的情況下，仍然收集高敏感性數(shù)據(jù)。例如，普通的天氣查詢功能只需要城市或地區(qū)級的粗略位置信息即可，但有的天氣查詢APP卻超范圍地索要精準(zhǔn)位置等敏感個(gè)人信息。

收集數(shù)據(jù)的具體內(nèi)容超出必要范圍。一些APP在僅需部分?jǐn)?shù)據(jù)內(nèi)容即可實(shí)現(xiàn)功能的情況下，收集了全部內(nèi)容。例如，查找好友功能只需匿名化后的手機(jī)號碼即可實(shí)現(xiàn)，不應(yīng)超范圍地收集通訊錄聯(lián)系人的姓名、郵箱、地址等內(nèi)容。

收集方式超出必要范圍。APP收集個(gè)人信息的方式包括單次讀取、本地存儲、上傳云端等，這些方式對個(gè)人的影響程度依次遞增，而APP應(yīng)在滿足功能需求的前提下，選擇影響程度最低的收集方式。例如，只需單次讀取或本地存儲即可實(shí)現(xiàn)的功能，不應(yīng)默認(rèn)使用上傳云端。

收集頻率超出必要范圍。有的APP收集每項(xiàng)個(gè)人信息的頻率明顯超出當(dāng)前功能的必要范圍，例如，運(yùn)動(dòng)健身類應(yīng)用在用戶觀看視頻等無關(guān)功能時(shí)，也每分鐘獲取位置信息近百次，明顯超出了必要范圍。

收集場景超出必要范圍。很多APP除了在功能必需的合理場景收集信息，還在啟動(dòng)、自啟動(dòng)、后臺運(yùn)行、使用不相關(guān)功能等其他場景收集信息，違反了必要原則。

中小應(yīng)用常頻繁索權(quán)

APP的下載量集中在頭部應(yīng)用，從百萬級到億級的，總共只占APP總數(shù)的3.4%，97%左右的都是中小應(yīng)用?！秷?bào)告》顯示，恰恰是中小應(yīng)用的“知情同意”問題較多，集中表現(xiàn)為同意前收集、頻繁索權(quán)等。

知情同意是處理個(gè)人信息的基本前提條件之一。目前常見違規(guī)問題集中表現(xiàn)為4類：

征得用戶同意前收集個(gè)人信息。監(jiān)測發(fā)現(xiàn)，2萬中小應(yīng)用樣本在同意隱私政策前將用戶ID等信息上傳至云端服務(wù)器，4.4萬中小應(yīng)用樣本沒有向用戶提供明確的隱私政策拒絕選項(xiàng)。

用戶拒絕后頻繁征求用戶同意，干擾用戶正常使用。13萬存量中小應(yīng)用樣本在用戶明確拒絕授權(quán)后，仍然在使用過程中頻繁索取權(quán)限，或者在用戶下次進(jìn)入應(yīng)用時(shí)再次索取權(quán)限。人工抽驗(yàn)顯示，近3個(gè)月新上架的應(yīng)用仍普遍存在頻繁索權(quán)的問題。

誘導(dǎo)用戶同意，收集個(gè)人信息。例如以簽到、福利等為理由誘導(dǎo)用戶提供姓名、手機(jī)號、住址，以“絕不收集隱私信息”等欺騙性提示誘導(dǎo)用戶安裝使用APP等。

個(gè)人信息進(jìn)行定向推送但無法關(guān)閉。有27萬個(gè)應(yīng)用樣本聲明，會利用個(gè)人信息進(jìn)行定向推送，但人工抽驗(yàn)卻發(fā)現(xiàn)，除了新聞資訊、網(wǎng)絡(luò)直播、短視頻等部分類別外，大多未提供關(guān)閉定向推送的選項(xiàng)。此外，部分APP盡管提供了關(guān)閉選項(xiàng)，但仍存在為關(guān)閉選項(xiàng)強(qiáng)制設(shè)定為期幾個(gè)月的有效期，到期后自動(dòng)恢復(fù)定向推送;關(guān)閉選項(xiàng)極其隱蔽，普通用戶難以發(fā)現(xiàn);關(guān)閉定向推送后并不生效等問題。

隱私政策晦澀隱蔽問題突出

監(jiān)測發(fā)現(xiàn)，存在無隱私政策問題的APP占比已由2019年最高的26%下降至今年的6.7%。平臺企業(yè)公開收集使用規(guī)則的意識顯著增強(qiáng)，小米、華為等頭部品牌的應(yīng)用商店已加強(qiáng)無隱私政策問題應(yīng)用的審核力度，對存在該問題的8.1萬個(gè)存量應(yīng)用進(jìn)行了下架處理。在近3個(gè)月新上架的頭部應(yīng)用程序中，此問題已基本清零，但部分中小應(yīng)用商店審核機(jī)制尚未健全，仍有7.8萬款存量問題須進(jìn)行下架清理。

《報(bào)告》顯示，明示收集行為日趨受到重視，但未明示敏感數(shù)據(jù)收集與“一攬子”同意問題仍突出。監(jiān)測數(shù)據(jù)與人工抽驗(yàn)結(jié)果都顯示，隱私政策存在隱瞞個(gè)人信息收集行為、“一攬子”同意等較為突出的違規(guī)問題，其中包括隱瞞敏感個(gè)人信息收集行為;隱瞞個(gè)人信息對外共享行為;要求“一攬子”地同意隱私政策全部條款，甚至不合理?xiàng)l款。

葛夢瑩指出：“隱私政策是用戶感知最為明顯的重要手段，是APP所必備的。隱私政策寫得過于晦澀難懂，也是廣受個(gè)人用戶詬病的問題。”對于隱私政策的寫法、展示方式等，也需要嚴(yán)格遵守相關(guān)法律法規(guī)和國家標(biāo)準(zhǔn)，例如除落實(shí)《個(gè)人信息保護(hù)法》的相關(guān)要求外，還須充分考慮個(gè)人用戶的閱讀習(xí)慣，并且切實(shí)保障用戶權(quán)利的行使，這也是接下來APP的合規(guī)工作整治重點(diǎn)。她補(bǔ)充說：“目前比較具有參考性和可執(zhí)行性的隱私政策模板還是GB/T352732020《個(gè)人信息安全規(guī)范》的附錄D，這也是被APP廣泛應(yīng)用的模板。同時(shí)，《個(gè)人信息安全規(guī)范》的附錄C也明確了基本業(yè)務(wù)功能和拓展業(yè)務(wù)功能的設(shè)計(jì)思路，并且在其注釋中闡明，如果重新劃分產(chǎn)品功能，宜再次告知并征得同意，而這也在一定程度上呼應(yīng)了《個(gè)人信息保護(hù)法》第十四條的規(guī)定。同時(shí)，正在編制中的《互聯(lián)網(wǎng)平臺及產(chǎn)品服務(wù)隱私協(xié)議要求》將對隱私政策提出具有可執(zhí)行性的要求。”

此外，《報(bào)告》顯示，目前APP賬號基本具備注銷功能，但仍須重視其設(shè)置不合理注銷條件等違規(guī)情形。中國電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)安中心測評實(shí)驗(yàn)室副主任何延哲對《中國消費(fèi)者報(bào)》記者說，目前，相關(guān)人員已在對包括小程序在內(nèi)的賬號注銷問題進(jìn)行研究。