个性化广告总是关不掉、隐私条款晦涩难懂、第三方SDK违规收集个人信息……今年以来,随着公众个人信息保护意识的加强,App的个人信息安全问题也备受关注。12月22日,由南方都市报个人信息保护研究中心主办的“2020啄木鸟数据治理论坛”在北京召开。会上,南都个人信息保护课题组发布了《个人信息安全年度报告(2020)》(以下简称《报告》),其中的技术测评由中国金融认证中心(CFCA)提供支持。《报告》从隐私政策、个性化展示和第三方SDK(软件开发工具包)三个方面对数十款App进行了测评。结果显示,在App运用个性化展示时是否保障用户的控制权和选择权方面,用户友好程度高的App个数为零,过半App得分在60及以下。
头尾部App隐私政策透明度两极分化
作为企业与用户之间关于如何处理和保护用户个人信息的基本权利义务的文件,隐私政策不同意就闪退、一揽子协议、文本冗长复杂等种种乱象久受诟病。
《报告》选取了金融理财、教育资讯、社交购物、生活服务、健身医疗和休闲娱乐六大行业各10款App作为隐私政策透明度的测评对象,并按照下载量分为头部、中部和尾部。透明度越高,代表隐私政策中关于企业如何收集、使用、存储和保护个人信息的描述越清晰和全面。
测评结果显示,美团以95分位居第一,快手、京东金融、韩剧TV、哔哩哔哩、叭嗒以一分之差并列第二。透明度中等及以上的App占比达到85%。
不过,仍有两款App没有隐私政策,分别是一起来飞车和绚丽切水果。值得注意的是,这两款游戏App的下载量都在千万次以上。
与此同时,头中尾部App的得分也呈现出两极分化的趋势。《报告》显示,头部App的隐私政策透明度平均得分为88.2分,显著高于中部的74.6分和尾部的64.3分。
其中休闲娱乐类的头部App平均分在六大行业中最高,为90.8分,而尾部App的平均分却是最低,只有13.3分,分差达到77.5分。部分原因在于,上述没有隐私政策的两款游戏App均属于休闲娱乐类。
App违法违规收集使用个人信息专项治理工作组曾发布报告指出,相较于头部企业的积极整改,几百万中小企业旗下的App受到举报的情况在慢慢增多,整改也比较缓慢。这一点从《报告》中有所体现。
在前不久召开的全国App个人信息保护监管会上,工信部信息通信管理局副局长鲁春丛也提到,大企业规范性趋势向好,而“点多面广,更加分散”、占国内在架App总数90%以上的中小型App及其开发企业正在成为治理重点。不过,在政府层面对于App治理的高压态势下,尽管今年中尾部App也被纳入测评,整体表现仍然较2019年度有所提升,平均分从73.9升至77,透明度高及较高的App占比也增加了2.3个百分点。
尤其是两次测评中重合的16款App,有11款得分有所提高,比如Keep从49分升至88分,钉钉由69分升至91分,意味着这些App的隐私政策修改得更加完善。
过半App个性化展示用户友好程度不及格
12月16日,上海消费者权益保护委员会发布的《App广告消费者权益保护评价报告(2020)》显示,600款App中,有四成App内含广告却没有“关闭键”,并点名微信、汽车之家等。
此外,仅有14.5%的App提供了个性化广告推荐的关闭入口。上海消保委的报告还显示,有App利用技术手段限制消费者永久关闭个性化广告推荐的权利,仅允许关闭6个月。
为测评App运用个性化展示时是否保障用户的控制权和选择权,《报告》选取了50款常用App进行测评。测评结果显示,用户友好程度高的App个数为零,过半App得分在60及以下。
其中一个主要失分点在于,明明在隐私政策中告知了App的个性化展示功能,却没有在实际使用过程中显著区分个性化展示和非个性化展示的内容。50款App中,仅有9款用“猜你喜欢”栏目来显著标明个性化展示的内容。
《报告》提到,50款App中,有6款没有提供关闭个性化展示的选项,还有6款则为关闭选项设置了3到6个月的“有效期”,其中UC浏览器、新浪微博、美团为3个月,大众点评、微信、淘宝为6个月。
值得注意的是,在3个月前南都做过的同类测评中,美团还没有设置有效期,因此本次分数被相应扣减。《报告》认为,当用户明确拒绝个性化展示功能时,App无权替代用户做出撤回授权的动作。
另一个失分点则在于,很多App没有为用户提供编辑或删除个性化标签的功能。比如过半App只能对单条广告选择“不感兴趣”或其他,不能批量编辑;即使可以,也多只能编辑和删除系统预设的、不是基于个人历史数据生成的标签。
相比之下,谷歌和推特设置的标签就更加细致和个人化。比如谷歌可以在“个性化广告”设置中直接查看基于自己网络浏览历史等信息生成的标签,而且用户可以直接删除不想要的标签。
SDK引入的个人信息安全问题不容小觑
近年以来,由第三方SDK引入的个人信息安全问题不容小觑。今年7月,央视3·15晚会曝光,有SDK在用户不知情的情况下读取用户手机IMEI号(一种设备标识符)、通讯录、短信等隐私信息,读完还会悄悄地将数据传送到指定的服务器存储起来。
在CFCA的技术支持下,《报告》对60款App收集使用个人信息的情况进行了测评。分析发现,平均每款App使用11.3个SDK,头中尾部App使用的SDK个数相差不大,仅在类型上有所差异。
头部App使用应用安全及功能增强类、综合类SDK更多,中部App使用辅助开发类、统计分析类SDK更多,尾部App则较多使用应用安全及功能增强类、身份认证类SDK。
尽管App平均嵌入上十个SDK,告知方面却常常不到位。《报告》指出,可可英语、乐心健康等12款App没有在隐私政策中列出所使用的SDK,Keep、薄荷健康等16款App则调用了声明之外的SDK。
比如薄荷健康App仅在隐私政策列出3个SDK,实际上却使用了号码速验、轻牛、神策数据、UC浏览器等12个SDK;掌门1对1辅导App虽然列出了17个SDK,实测中却触发了个推、淘宝推送、UC浏览器等22个SDK。
值得注意的是,《报告》发现有21个SDK获取了地理位置、手机相册、视频文件、手机号、账户信息等用户个人信息,但其中一些SDK获取的目的与其功能没有直接关系。
比如魅族SDK属于消息推送类,实现它的功能无需收集用户的手机号,但当嵌入申万宏源和腾讯视频App时,魅族SDK均获取了用户的手机号,上述两个App也并未在隐私政策中告知。
此外,对20款头部SDK的进一步测评显示,有三成SDK实际获取的权限超出其在官方文档中声明获取的权限,有隐瞒收集用户个人信息的嫌疑,包括TalkingData、Mob推送、号码速验、友盟推送、高德地图和友盟SDK。
比如其中TalkingData SDK仅声明获取地理位置权限,但其代码有能力获取通话记录、已绑定的NFC支付卡信息和第三方账户信息。Mob推送SDK同样仅声明了地理位置权限,但有能力获取手机号。
根据《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》,SDK收集使用个人信息的实际行为应与官方文档声明保持一致。报告认为,如果没有实际用途,SDK应删除此类代码。
出品:南都个人信息保护课题组
采写:南都记者李慧琪 蒋琳 见习记者 孙朝
南都个人信息保护研究中心研究员尤一炜 石莹 白小皛
