AD
资料图
法治周末记者 郝若希
哪些App“窃取”了消费者个人信息?哪些App“非法使用”了消费者信息?哪些App存在泄露个人信息的隐患?
8月至10月,中国消费者协会(以下简称中消协)开展了App个人信息保护情况测评活动,消费维权志愿者对10类(通讯社交、影音播放、网上购物、交易支付、出行导航、金融理财、旅游住宿、新闻阅读、邮箱云盘和拍摄美化)100款App进行现场体验。
近日,中消协发布的《100款App个人信息收集与隐私政策测评报告》(以下简称《报告》)给出了测评答案,并从App用户协议、隐私政策等方面作出了综合评价。
中国人民大学商法研究所所长、中国消费者协会副会长刘俊海表示,此《报告》意在提醒消费者下载App时要认真阅读应用权限和用户协议或隐私政策,只提供必要信息,如果使用过程中发现信息泄露,要留存相关证据,依法主动维权。
过度收集的用户信息
《报告》指出,100款App中,多达91款App列出的权限存在涉嫌“越界”收集用户信息。其中,出行导航、金融理财、拍摄美化、通讯社交和影音播放5类App中,每一款都涉嫌存在过度收集或使用用户信息的情况。
测评结果显示,“位置信息”“通讯录信息”和“手机号码”是过度收集或使用个人信息最常见的内容。此外,用户的“身份信息”,包括个人照片、个人财产信息、生物识别信息、工作信息等,以及交易账号信息、交易记录、上网浏览记录、教育信息、车辆信息以及短信信息等均存在被过度使用或收集的现象。
按照个人信息安全规范规定,对个人信息的收集应有明确的目的,不得超出产品功能相关目的外收集额外的个人信息。很多被测评的App在其隐私政策等文件中,未将其收集的个人信息与其实现的产品功能明确挂钩,其中很多个人信息与消费者通常理解的产品功能之间无明显关联,甚至明显超出合理范围。
比如,新闻阅读类App聚看点收集个人身份信息(生日、籍贯)、个人上网记录、个人财产信息、位置信息和通讯录信息,但各类信息对应的业务功能未明确说明;网易彩票App收集个人财产证明、个人上网记录、通讯信息、位置信息(包括行程、住宿)等信息。
定位信息的过度收集或使用是众多App普遍且突出的问题。100款App中,59款App涉嫌过度收集“位置信息”,被点名的App包括天天P图和咪咕视频。今年“五四”青年节,天天P图推出的一款“前世青年照”小游戏,就引发了用户对于个人信息安全隐患的担忧。
《报告》认为,出行导航、旅游住宿、网上购物类App对于用户个人位置信息具有根据定位信息提供产品和服务的合理诉求。但是,对于大部分社交类、影音播放类、拍摄美化类、新闻阅读以及金融理财类App来说,用户的位置信息属于非必需信息。
常用App美图秀秀“榜上有名”,被点名涉嫌过度收集可识别生物信息、财务信息等。《报告》指出,个人财产信息、个人生物识别信息属于个人敏感信息。个人敏感信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控,可能对个人信息主体人身和财产带来重大风险。
形同虚设的隐私条款
个人信息安全规范对于个人信息收集、保存、使用、流转等环节提出了要求,是国内在个人信息保护实践方面的重要参考标准。基于“隐私政策应公开发布且易于访问”的原则,测评活动对100款App的隐私条款进行测评。
测评结果显示,有47款App隐私条款内容不达标,其中有34款未对用户公布个人信息隐私条款。
不达标的App存在隐私条款笼统不清,对收集、使用个人信息的目的、方式、范围、保存期限和地点等没有明确说明的问题。常用交易支付类App支付宝被指未在收集的信息种类中注明个人敏感信息,且未对核心和附加功能进行区分,导致用户易认为所收集的信息均为必需项。
此外,中消协称,个人信息收集规则包括明确告知用户收集的个人信息类型,以及收集敏感信息时明确告知用户,并告知用户拒绝提供将带来的影响。中国建设银行(601939,股吧)App收集个人敏感信息时,虽然概括性地告知了敏感信息的种类和使用的方式,但未告知拒绝提供将具体影响哪些功能。
中国社会科学院文化法制研究中心研究员刘明曾表示,很多时候,用户自认为收集的某些数据没有用,但是从商家角度来说,确实是其所提供服务的组成部分或必要部分,这种情况下,不仅要告诉用户收集哪些信息,还要告知用户这些信息用于哪些服务。
不主动向用户展示隐私条款或展示内容晦涩冗长、征求用户授权同意时,未给用户足够选择权也是隐私条款内容不达标App的典型问题之一。拼多多的隐私政策规定,当用户点击同意该政策或使用拼多多提供的任一服务时,即表示用户已同意该政策的全部内容,自愿授权我们按该政策收集、使用、共享、管理和保护用户个人信息。该条款被批涉嫌“绑架”用户。
近八成App存在默认同意隐私条款的现象,并未征得用户同意。其中,金融理财和交易支付类App默认同意隐私条款的现象相对较严重。
测评发现,有42款App对外提供个人信息时不会单独告知并征得用户同意。其中,ofo小黄车App在向关联公司及第三方分享相关信息时,未单独征得用户同意,且对外提供行为未体现其必要性,其存在的风险不得而知。
ofo小黄车存在的问题还包括,用户可以更正基本信息,但未向用户明确说明撤回同意、删除更正个人信息的方式,联系客服的方式不够便利,且未说明响应时间。
从源头加强个人信息保护
从测评情况来看,10类App中大多数App仅达到及格水平甚至低于及格水平,各类型App均存在过度收集信息、无隐私条款、条款不完整以及不合理格式条款等问题,表明我国当前在保护消费者个人信息形势的严峻性。
8月,中消协发布的《App个人信息泄露情况调查报告》显示,超八成受访者曾遭遇个人信息泄露问题,常见情形为推销电话、短信骚扰、诈骗电话、垃圾邮件。
对此,刘俊海表示,泄露个人隐私,侵害了用户的隐私权、个人信息权,也可能威胁到用户的人身和财产权益。一些企业利用个人信息进行精准营销,还有一些不法团伙在掌握了一定用户信息以后,有针对性的进行诈骗。当前,非法获取、非法提供、非法销售个人信息的产业链已经形成。
日前,浙江省温州市公安局抓获18名侵犯公民个人信息和购买公民个人信息的犯罪嫌疑人,涉案公民个人信息达2000余万条,涉案金额500余万元。这些犯罪嫌人盗取网络用户使用App时的注册数据,将个人信息售卖给不正规的网贷公司用于业务推广。
事实上,中国检察机关近年来不断推动完善个人信息司法保护的法律依据,依法打击侵犯个人信息犯罪,2016年1月至2018年9月,检察机关共起诉侵犯个人信息犯罪案件3719件8719人。
不过,刘俊海强调,防止侵犯公民个人信息,还要从源头治理,App经营者要遵循正当、合法、必要、明示、公开、知情、同意、保密、安全的基本原则,如果违反规定就应该承担相应的法律责任。
《报告》建议,各App经营者主动引导用户阅读和理解隐私政策的核心内容,不使用默认同意的选项,变默认勾选为消费者主动勾选;根据核心功能和扩展功能明示个人信息收集范围,给予消费者知情权和选择权;尽可能少的收集消费者个人信息,并采取有效措施,保护消费者个人信息安全。
与此同时,应用商店履行平台审核责任,强化App隐私条款的明示公示义务,对于没有隐私条款的应当及时下架,并提醒消费者谨慎下载使用,应当要求相关隐私条款内容不得损害消费者合法权益,不得保留不公平格式条款。
责任编辑:王硕
