作为依法对商品和服务进行社会监督的保护消费者合法权益的社会组织,中国消费者协会(以下简称“中消协”)致力于提升消费者对个人信息安全的重视度,积极推动App依法合规获取和使用公民个人信息的工作。

2018年7月17日至8月13日中消协组织开展“App个人信息泄露情况”问卷调查,发布了《App个人信息泄露情况调查报告》;2018年8-10月中消协开展了App个人信息保护情况测评活动,发布了《100款App个人信息收集与隐私政策测评报告》。

南都个人信息保护研究中心近年来持续关注互联网产品的隐私政策透明度问题,2018年12月25日发布了《2018年度常用App隐私政策透明度排行榜》,公布了常用的1000款App的隐私政策测评结果。

这三份报告对当前常用App的个人信息收集和隐私政策现状做了全面的展示,以下是三份报告的主要内容。

100款App个人信息收集与隐私政策测评报告

中消协在2018年8-10月开展了App个人信息保护情况测评活动,所有App下载均在9月1-3日期间从App Store、安卓市场下载并录屏取证,邀请消费维权志愿者对10类(通讯社交、影音播放、网上购物、交易支付、出行导航、金融理财、旅游住宿、新闻阅读、邮箱云盘和拍摄美化)100款App进行现场体验,同时邀请专家对App用户协议、隐私政策进行审核,综合反映App个人信息保护中存在的问题。具体测评情况如下。

10类App测评金融理财类App得分相对较低

根据测评结果,新闻阅读、网上购物和交易支付等类型App为总平均分相对较高的App类别,而金融理财类App得分相对较低,仅为28.91分。10类App评分的总平均分排名从高到低依次为新闻阅读、网上购物、交易支付、拍摄美化、通讯社交、影音播放、出行导航、旅游住宿、邮箱云盘、金融理财。

各款App信息收集方面存在的问题

按照《个人信息安全规范》对于个人信息的定义和分类,本次测评结果显示,各类收集的个人信息共计有14类,包括位置信息、手机号、上网记录、常用设备信息、身份信息、财产信息、联系人信息、生物识别信息、网络身份标识信息等。其中收集最多的是位置信息,几乎达到100%,其次是手机号、上网记录、常用设备信息等。

测评发现,10类App均存在涉嫌过度收集或使用用户个人信息的问题。测评的100款App中,多达91款App列出的权限存在涉嫌“越界”,即存在过度收集用户个人信息的问题。其中,出行导航、金融理财、拍摄美化、通讯社交和影音播放等5类App中,每一款都涉嫌存在过度收集或使用用户信息的情况;其次是住宿旅游、网上购物、新闻阅读和邮箱云盘等4类App中,32款App涉嫌存在过度收集或使用个人信息情形;而交易支付类App中有7款涉嫌存在过度收集或使用现象。

测评结果显示,“位置信息”、“通讯录信息”和“手机号码”等三种个人信息是过度收集或使用个人信息最常见的内容。100款App中,59款App涉嫌过度收集了“位置信息”,过度收集或使用个人信息的情况较多,另外“通讯录信息”、“身份信息”、“手机号码”也是用户个人信息过度收集或使用较多的内容。除此之外,用户的个人照片、个人财产信息、生物识别信息、工作信息、交易账号信息、交易记录、上网浏览记录、教育信息、车辆信息以及短信信息等均存在被过度使用或收集的现象。

很多被测评App在隐私政策等文件中,未将其收集的个人信息与其实现的产品功能明确挂钩,其中很多个人信息与消费者通常理解的产品功能之间无明显关联,甚至明显超出合理范围。

测评结果显示,各类App调用定位权限情况极为普遍,从10大类App分析,除邮箱云盘、交易支付和出行导航类App外,其他七大类App均有超过一半的App存在过度收集或使用用户位置信息的问题。其中,通讯社交和影音播放类App产生此类问题更为突出。

出行导航、旅游住宿、网上购物类App对于用户个人位置信息具有根据定位信息提供产品和服务的合理诉求,但是对于大部分社交类、影音播放类、拍摄美化类、新闻阅读以及金融理财类App来说,调用用户的位置信息对于这些服务的提供非必需信息,存在过度收集或使用的嫌疑。

通讯录信息、手机号码涉及用户的个人隐私,属于个人敏感信息,存在较高的商业价值,部分App仅提供手机号注册方式,借助手机权限开放的便利,很容易收集手机号码及通讯录信息。手机号码信息收集现象在金融理财类与出行导航类App中较为普遍。

个人财产信息、个人生物识别信息属于个人敏感信息,一旦泄露,可能对个人信息主体人身和财产带来重大风险。测评发现,10类App均存在收集这些信息的情况,但部分App对财产信息、可识别生物信息的收集未能向用户明确重点告知,理由含糊不清,涉嫌过度收集。

隐私条款存在的主要问题

活动参考《个人信息安全规范》要求对100款的隐私条款进行测评,主要问题如下:

47款App隐私条款内容不达标,34款App没有隐私条款。本次测评中有超过三分之一(34款)的隐私条款得分为0,即未对用户公布个人信息隐私条款。测评结果显示,当前有关隐私条款存在的典型问题有:一是隐私条款笼统不清,对收集、使用个人信息的目的、方式、范围、保存期限、和地点等没有明确说明;二是不主动向用户展示隐私条款,或展示内容晦涩冗长;三是征求用户授权同意时,未给用户足够选择权;四是没有为用户提供访问、更正、删除个人信息的途径;五是大量收集与所提供服务无直接关联的个人信息,未遵守标准中最小化收集个人信息的规定。

59款App未明确告知收集个人信息类型,且收集敏感信息时未明确告知用户信息的用途。测评结果显示,针对是否明确告知用户收集个人信息的这一规则,被测评App的总平均分为2.8分(满分为5分),金融理财类App在本项中得分相对较低,仅得0.9分。

其他问题还有,70款App未明确告知用户个人信息的保存期限和停止运营的情形;57款App未明确告知用户个人信息使用方式;42款App对外提供个人信息时不会单独告知并征得用户同意;57款和96款App未明确告知用户如何更正个人信息和撤回同意;41款App隐私条款未在明显位置公示,52款App的条款变更时未及时通知用户;79款App隐私政策存在默认同意或未提示阅读等问题;部分App还存在“自行承担风险”等不合理免责条款。

App个人信息泄露情况调查报告

中国消费者协会于2018年7月17日至8月13日组织开展“App个人信息泄露情况”问卷调查。调查采取在线网络调查方式,共计回收有效问卷5,458份。

1.个人信息泄露情况相当严重,信息泄露途径和表现形式多样

根据数据统计结果,个人信息泄露总体情况比较严重,泄露途径主要是经营者未经本人同意,暗自收集个人信息、经营者或不法分子故意泄露、出售或者非法向他人提供个人信息和网络服务系统存有漏洞,造成个人信息泄露,超八成受访者曾遭遇个人信息泄露问题。消费者在个人隐私信息被泄露的情况下,最常见的情况就是接到诈骗电话、推销电话和收到短信骚扰、垃圾邮件等。根据调查结果,当消费者个人信息泄露后,约86.5%的受访者曾收到推销电话或短信的骚扰,约75.0%的受访者接到诈骗电话,约63.4%的受访者收到垃圾邮件,排名位居前三位。

2.手机App过度采集个人信息呈现普遍趋势

根据调查结果,手机App需要获取的权限种类繁多,最突出的是获取位置信息和访问联系人权限,分别占86.8%和62.3%。近七成受访者认为手机App在自身功能不必要的情况下获取用户隐私权限,增加了个人信息泄露的风险。多数受访者认为手机App采集个人信息的原因是为了推销广告,其次是贩卖和交换个人信息、挖掘用户使用习惯、诈骗窃取活动等。

3.消费者阅读手机App应用权限和用户协议或隐私政策的频次和深度有待提高

调查显示,较多消费者从不或者偶尔阅读手机App应用权限和用户协议或隐私政策等文字说明。而且,受限于网络技术知识欠缺和文字表述篇幅等原因,一些消费者不会完全通读隐私政策文字说明,或大致浏览,或阅读重点章节,了解不深,容易遗漏重点信息或关键描述。还有很大一部分消费者因为不授权就无法使用而从没阅读过App的应用权限和用户协议或隐私政策。

4.消费者个人信息泄露后的应对措施不足

在个人信息泄露情况发生后,消费者最担心被利用从事诈骗窃取活动或交给第三方。根据调查结果,如果手机App导致个人信息泄露,最担心的问题是被利用从事诈骗窃取活动,占70.5%。其次是贩卖或交换给第三方约占52.4%,被推销广告骚扰占比约为37.7%。但值得注意的是,选择消极应对和自认倒霉的受访者不在少数,消费者的主动维权意识还有待加强。

5.消费者个人信息安全意识较强但缺乏有效的保护手段

调查显示,用户通过填写部分信息来保护个人信息安全治标不治本,而且个人安全意识薄弱和监管不到位是手机App出现个人信息安全问题的主要原因。一方面,消费者与手机App服务提供商之间往往处于不对等的地位,只能同意或被迫同意格式条款和信息获取权限;另一方面,消费者虽有自我保护的意识,但不知如何更有效地保护自己,难以有效应对。超过八成的受访者认为当前手机App在用户个人信息保护方面需要加强。

2018年度常用App隐私政策透明度排行榜

2018年12月25日,南都智库发布了《2018年度常用App隐私政策透明度排行榜》。这是南都个人信息保护研究中心对购物导购、移动金融、教育文化、旅游交通、生活服务、社交交友、体育健身、新闻资讯、休闲娱乐、医疗健康等十个行业共1000款App进行测评后的综合分析结果。

“隐私政策”是企业与用户之间关于如何处理和保护用户个人信息的基本权利义务的文件。测评结果显示,在个人信息保护相关法规和标准相继出台、相关部委展开隐私政策专项评审工作的大环境下,App的隐私政策透明度整体比去年有所提升,但依然有逾七成App的隐私政策不合格,甚至出现了盗用别家隐私政策的现象。

高分App多属知名企业 生活服务类得分最高

根据测评得分,1000款App被划分为从高到低五个透明度层级:透明度越高,代表隐私条款中关于企业如何收集、使用、存储和保护个人信息的描述越清晰和全面。

测评结果显示,1000款App中,有13款达到隐私政策透明度高的层级,百度贴吧以97分位居第一,爱奇艺和百度地图以一分之差并列第二;透明度低的App数量过半,共538款,其中21%没有任何隐私条款,其中不乏人们下载量较大的App。

十大行业中,生活服务、休闲娱乐、医疗健康和旅游交通四个行业的平均分处于透明度较低的层级,其余为低。其中生活服务类的平均分最高,体育健身类最低。教育文化行业的平均分从2017年度的30.2提高到了2018年度的39.6,进步最为显著。

与2017年度南都个人信息保护研究中心测评的683款App相比,尽管测评标准更加严格,2018年度整体平均分提高了近4分,透明度中等及以上的App占比增加了12个百分点。出现这些变化的原因,与过去一年里个人信息保护相关法规和标准相继出台,隐私政策专项评审工作也再次启动密不可分。去年7月,中央网信办、工信部、公安部、国家标准委等四部委指导开展首次隐私条款专项工作,10款常用App参与评审。2018年8月底,第二次隐私条款专项工作正式启动,参评App增加到30款。此外,以《信息安全技术 个人信息安全规范》《信息安全技术 个人信息安全影响评估指南(征求意见稿)》为首的一批国家标准相继出台和实施,也对企业极具参考价值。

据南都记者观察,首批参评的10款App中有不少都在这一年时间里数次更新隐私政策,在本次测评中几乎全部达到透明度高或较高的层级。事实上,透明度高或各行业排在前几名的“头部”App中,90%以上都是BATJ、华为、爱奇艺、360等知名企业旗下的产品。

逾七成App仍不合格

报告显示,尽管1000款App的隐私政策透明度总体有所提升,透明度较低或低的App仍超过七成,平均分也只有41.1分,尚未“及格”。

提供无效或错误链接的App仍存在,有的App甚至盗用了其他家的隐私政策。报告认为,由于很多用户没有点开链接阅读隐私政策的习惯,这些App难免有蒙混过关的嫌疑。

App在隐私政策里要求用户“一揽子同意”所有授权,在测评中也十分常见,只有不到10%的App区分了核心功能和附加功能,并告知相应权限,承诺拒绝提供附加功能所需信息不影响核心功能使用。

报告还提到,有些App拒绝对黑客攻击、电脑病毒侵入的信息泄露负责。事实上,这是企业推脱自身责任的表现。在个人信息泄露事件中,即使企业被证明已经尽了最大努力保护用户个人信息,仍然应该立即通知监管机构和受影响的用户,并采取补救措施。

其他普遍缺失的条款还包括告知保存个人信息的具体期限,首次使用时用弹窗等增强式告知的形式告知用户隐私条款的核心内容,告知用户停止运营时处理个人信息的方式,涉及敏感信息处理时获得用户的明示同意等。

报告指出,在“头部”App愈发完善的同时,“尾部”App的隐私政策中,文本雷同、暗藏霸王条款和格式条款等问题依然层出不穷,甚至出现了盗用其他App隐私政策的情况。

隐私设计首次被纳入测评标准

很多调查报告都曾提到,注册时会阅读隐私政策的用户是极少数。甚至有人戏称,“我已阅读并同意隐私政策”是当代人最违心的话。

人们不愿意看隐私政策主要有两层原因:一是App强制同意——不同意就不能用,二是文本过于冗长晦涩。不过,已经有不少企业开始实践隐私设计(privacy by design)的理念,试图用更明显和轻松愉快的方式让人们了解隐私政策。

报告首次把“呈现方式”纳入了测评标准,意在考察隐私政策设计上的创新性和用户友好程度。测评结果显示,尽管隐私政策透明度分布的两极分化现象十分严重,企业对个人信息保护的重视程度亟待提高,但企业已经开始探索“仅浏览”模式、解说视频、段落摘要、权限表格等多种呈现方式,吸引用户阅读隐私政策,对用户也更加友好。

(本文刊登于《中国信息安全》杂志2019年第4期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。