刚打开App就被索取一系列授权,明确拒绝后仍频繁弹窗甚至不让用;隐私政策内容错漏百出、难以读懂;想按照App隐私政策里提供的途径下载自己的个人信息副本,客服却说不知道那是什么……以上种种情况,你是否也遇到过却又无力解决?
12月17日,南方都市报个人信息保护研究中心在北京召开“2021啄木鸟数据治理论坛”。南都个人信息保护课题组在会上发布《个人信息安全年度报告(2021)》(下称“报告”),从App隐私政策、权限获取、可携权以及应用商店审核机制四个方面披露了150款App和10家应用商店的个人信息保护合规现状。
没有一款透明度高,仅5款披露非SDK第三方
今年报告选取十大行业共计150款App作为测评样本,其中每个行业头、中、尾各五款。隐私政策透明度越高,代表其关于企业如何收集、使用、存储和保护个人信息的描述越清晰和全面。
测评结果显示,“知乎”“叮当快药”以89分位居第一,“快手”“携程旅行”以两分之差并列第二。透明度达到中等及较高水平的App占比高达82%,得分“不及格”的App共有27款,各行业平均分相差不大。
值得注意的是,透明度高的App数量为零。报告分析认为,这是由于大多数App尚未落实个保法中的创新性规定,失分较多。比如只有40款App提供了专门的未成年人隐私政策,不到10款App提及死者权利。
11月,工信部发布通知,要求相关互联网企业于12月底前建立个人信息保护“已收集个人信息清单”和“与第三方共享个人信息清单”。测评发现,150款App中有135款都列出了嵌入的第三方SDK(软件开发工具包),并告知其名称、处理目的、个人信息类型和链接。
然而,报告指出,第三方SDK并不是App共享用户个人信息的唯一对象,还包括广告主及其代理商、关联公司、授权合作伙伴等。但只有“知乎”“唯品会”等五款App披露了承运商、支付、广告商、媒体等第三方的部分信息。
尽管隐私政策告知不清晰、抄袭、头尾部App得分差距大等问题依然存在,今年150款App的隐私政策透明度平均分仍达到了70.1分,在测评标准更加严格的情况下,几乎与2019年持平。这意味着,App的隐私政策透明度有了明显提升。
拒绝十次还弹窗,五分钟内读定位超两千次
今年3月印发的《常见类型移动互联网应用程序必要个人信息范围规定》(下称《规定》)为39类App划定了满足基本功能服务所需的必要个人信息范围。报告以《规定》为标准,对十大行业的150款App进行了权限获取合规度测评。
测评结果显示,只有“新氧医美”“360借条”“学而思网校”三款App得分高于90分,整体平均分仅有57.9分。其中近半App得分集中在60-70分,不及格的App则有60款,占比40%。
从具体情况看,150款被测App中有89款都在用户首次使用App时弹窗申请了非必要权限,涉及电话、定位、存储、通讯录、相机、麦克风等,其中不乏“钉钉”“美柚”等头部App。
此外,不少App需要用户多次拒绝权限申请后才能正常使用。比如“优健康”“高途课堂”等30款App在用户明确拒绝某权限后,仍然频繁弹窗申请,尤其存储权限被重复申请的次数最多。
如首次打开“粉象生活”,用户需连续拒绝11次存储权限弹窗,其中有两次是选择了“拒绝且不再询问”后仍再次弹窗。报告认为,App连续多次弹窗申请同一权限的做法是一种“变相强制”,不符合法律要求的“明示同意”。
在汉华飞天信安科技有限公司的技术支持下,报告还对150款App在一段时间内调用敏感权限的频率进行了测评。结果显示,有多达135款频繁调用权限。
其中情况较为严重的是“莉景天气”,平均每分钟调用定位权限约153次;退到后台后,又在五分钟内调用了2286次定位权限。
不少App客服称不知何为个人信息副本
根据个保法第四十五条,个人有权向个人信息处理者查阅、复制其个人信息,还有权请求将个人信息转移至其指定的个人信息处理者。报告仿照欧盟《通用数据保护条例》,将上述规定简称为“可携权”。
报告发现,App落实可携权的做法通常是提供个人信息副本并承诺可转移。150款App中,57款明确用户可要求获取个人信息副本,占比38%。截至测评结束,仅收到14款App提供的个人信息副本,内容绝大多数是用户主动提供的信息和设备信息等,如用户ID、昵称,注册手机号,注册时间等。
对于何为个人信息副本,各App给出的答复不尽相同。比如“学而思网校”“斑马App”称获取个人信息副本的方式为自行截屏;多位App客服直言“不知道什么是个人信息副本”。还有不少App告知的获取途径无一联系得上。
还有App会设置身份验证门槛,要求用户提供除注册时提供的个人信息之外的信息。比如“叮当快药”要求用户提交手机营业厅缴费凭证、手持身份证照片,转移个人信息需提供接收方个人信息证明,愿意接收个人信息的证明材料、接收方式。
报告指出,150款App中承诺提供个人信息转移服务的仅有15款,基本都要求用户提供对方App的接收方式、接口等信息。然而,没有任何一款App明示告知用户如何获取上述信息。报告认为,这进一步增加了用户履行可携权的难度。
所有应用商店都在隐私政策链接上失分
为了解应用商店审核机制的合规状况,报告对OPPO软件商店、华为应用市场、360手机助手、小米应用商店、vivo应用商店、腾讯应用宝、百度手机助手、PP助手、豌豆荚、三星应用商店十大应用商店进行测评。
结果显示,OPPO软件商店、华为应用市场、360手机助手分别以82.4、79.1、70分位居前三名,而PP助手、三星应用商店和豌豆荚得分不及格。整体平均分不足60。
报告指出,该测评的一个普遍失分点在于,10家应用商店均存在隐私政策链接问题,包括未提供隐私政策链接、隐私政策链接无法打开、隐私政策版本与App内不一致等。
比如,OPPO软件商店有七款App的展示页面没有隐私政策链接,其中不乏“优健康”“华医通”等知名App;vivo应用商店中,“携程旅行”展示页面的隐私政策链接为隐私设计文档,而非隐私政策;小米应用商店中有九款App在应用商店展示页的隐私政策与App内版本不一致。
值得注意的是,绝大多数应用商店展示App将获取的权限列表时,通常使用的是“允许该应用……”等系统默认表述。只有小米应用商店的权限详情页允许App开发者自行更改权限获取目的。
如“海豚优惠-购物返利平台”就修改了其应用商店展示页面定位、手机信息、相机、录音四项权限的获取目的——如获取手机信息是为了“防止非法分子使用软件进行违法违规行为”。
报告认为,系统默认表述的权限说明通常为概括性描述,无法精准地照顾到每一个App的权限申请目的。允许App开发者修改可以让用户更加清楚地了解App为什么要获取这项权限,有助于保障用户的知情权。
出品:南都个人信息保护研究中心
采写:南都见习记者 樊文扬 记者 孙朝
