在网络安全法实施满400天之际,南都个人信息保护研究中心再次抽查公众常用的100款APP隐私政策合规状况,并发布《网络安全法400天 隐私政策透明度测评报告》。报告数据显示,一年多以来,接受抽查的公众常用APP隐私政策透明度有明显提升,但平均成绩仍处在透明度较低的层级内,需要进一步提升。

2017年6月1日,在网安法实施当日,南都个人信息保护研究中心曾发布《互联网企业隐私政策透明度报告》,对1000家常用网站、APP的隐私政策透明度进行测评。此次测评,南都个人信息保护研究中心从上述1000家网站和APP中,随机选取100款APP进行测评。通过对比,总结网安法实施一年多以来,企业在保护用户个人信息上的变化。

20%APP隐私政策透明度在高与较高级别,较去年增长超10%

所谓“隐私政策”,是企业与用户之间关于如何处理和保护用户个人信息的基本的权利义务的文件,用以告知用户个人信息如何被收集、使用、与第三方共享的情况。通常,用户首次注册时可在注册页面上看到隐私政策。它不仅是对企业的束缚,也是企业提示用户自主、自愿、合理提供和处理个人信息,并区分与用户责任的依据。

根据此次测评结果,南都个人信息保护研究中心发现,与2017年的测评结果相比,隐私政策透明度高和较高的APP占比明显增多,尤其是透明度高的APP个数实现0的突破,在100款APP中,有4款APP的隐私政策达到透明度高的标准,即90分以上(满分为100分);15款APP透明度较高,即76-90分,上述两者之和将近占总数的20%,而在一年前,透明度在高与较高评分的APP只占8.4%。这意味着400天来,进阶透明度高与较高的APP占比增长超过10%。

两次测评的隐私政策透明度分布对比。

10款APP 隐私政策从无到有 但仍有平台无隐私政策

根据测评结果,APP测评透明度较低和低的个数占比72%,比2017年减少将近10%。

具体表现为,与2017年的测评结果相比,10款APP的隐私政策“从无到有”,比如新浪微博不仅新增隐私政策,而且条款全面,隐私政策透明度处于“高”的等级;24款隐私政策透明度提升,比如,宜人贷借款、开心消消乐、搜狗地图、我厨、去哪儿旅行、百度阅读等虽然在2017年测评中仅在透明度低或较低的层级,但在2018年测评中,都跃升至透明度高或较高的层级,进步很大;以搜狗地图为例,在2017年的测评中,搜狗地图在服务协议中只有简单条款涉及个人信息保护,得分为17,此次测评中,搜狗地图不仅在注册页面中将《用户服务协议》和《隐私政策》分开显示,还在隐私政策中将重要条款凸显出来,内容也从一个小节拓展到9个章节。支付宝和网易考拉海购则“精益求精”,隐私政策透明度从“较高”提升至“高”。

搜狗隐私政策变化图。

这些数据表明,企业对个人信息保护的意识在不断提升。

但是,同样值得注意的是,仍有部分APP至今没有隐私政策。在2017年测评中,有16款APP没有隐私政策,得分为0;此次测评,其中 11款新增隐私政策。但是,由于测评标准更加严格,13款APP的得分降为0,加上5款APP在两次测评中都没有隐私政策,共有18款APP的得分为0。

0分APP列表。

由于两次测评均只取一个端口,所以并不排除上述APP中出现安卓端没有隐私政策、iOS端有的情况。南都个人信息保护研究中心建议企业在两个端口均提供隐私政策,给予安卓和苹果用户同等完善的隐私保护。

隐私政策内容越来越详细规范,但仍有疏漏

对比2017年与2018年两次测评,南都个人信息保护研究中心采用的测评标准均为13个大项,满分均为100。对照这13个大项得到满分的APP占比发现,2018年测评几乎全部高于2017年测评,尤其在向第三方披露用户个人信息、收集时或之前履行告知和警示义务、救济措施等大项上。

2018年测评中得分显著提高的测评大项。

以“收集时或之前履行告知和警示义务”为例,该大项主要考察隐私政策是否详细描述收集、使用用户个人信息的目的和方式。2017年测评中获得满分的APP占比不到1%,2018年测评中,占比升至5%。

具体表现为,此前的隐私政策中常用一个“等”字笼统概括收集的所有个人信息,如今,APP会按照应用场景,将需要收集的信息一一列出,并标注哪些是个人信息,哪些是个人敏感信息。

此外,个别小项的得分也有极大提升。比如“对用户权益存在或可能存在重大关系的条款,采用加粗或区分颜色等显著方式予以特别提醒”,得满分的APP个数翻了一倍。越来越多企业在隐私政策中突出重要条款,有的还在开头简述政策的主要内容,制作目录,更好地引导了用户。同样,针对“用户拥有注销账号的权利”项,得满分的APP个数也翻了一倍。

南都个人信息保护研究中心发现,尽管APP的隐私政策内容在变得越来越详实充分,但仍有一些条款只有少数APP的隐私政策有涉及。比如,产品和服务如提供附加功能,需要收集更多的个人信息时,向个人信息主体逐一说明收集个人的必要性,并允许个人信息主体进行选择。当个人信息主体拒绝时,可不提供相应的附加功能,但仍保证向个人信息主体提供核心业务功能。描述提供个人信息后可能存在的安全风险,针对发生或可能发生个人信息泄漏、毁损、丢失的事件,企业的处置及救济措施,如:企业启动应急预案,并及时通知受到影响的用户,向政府相关主管部门报告等。

安卓和IOS平台区别对待,凸显企业合规的被动性

对比两次测评,南都个人信息研究中心发现,以测评端口为基准,2017年,iOS端口和安卓端口APP隐私政策透明度所得平均分分别为40.2和37.5,而2018年测评中,通过安卓端口测评的APP测评所得平均分下降至35.5,通过iOS端口测评的大幅上升至49.8。也就是说,经过一年时间,各互联网公司上架APP时,在隐私政策披露上,区别对待苹果用户和安卓用户的程度越发明显,而在苹果商店的表现明显要好得多。

两次测评在iOS、安卓端口的平均得分对比。

据了解,在苹果应用商店中,开发者不仅在APP内部提供隐私政策,还在APP的下载页面提供隐私政策入口,便于用户在下载前阅读。而安卓商店没有在APP下载页面提供任何隐私政策入口。

事实上,即使是同一个APP,在不同端口提供的隐私政策也可能不一样。以“名人朋友圈”APP为例,无论从哪个端口下载,在APP内部点击“注册”,都只能看到《名人朋友圈协议》,协议中几乎没有关于隐私条款的内容;但在苹果商店的下载页面,点击“隐私政策”即可跳转至《名人朋友圈保护隐私权之声明》,内容较为全面。值得注意的是,此次测评,由于名人朋友圈的取证端口为安卓,所以得分仍然为0。

还有一点规范值得一提,不同于美国大部分网站单独制定个人信息保护政策,并统一命名为“隐私政策”(Privacy policy) 或“ 隐私声明”(privacy statement),国内互联网企业关于隐私保护的命名较为混乱,有称“隐私(权)政策”、也有称“隐私权声明”、“隐私权策略”、“隐私保护条例”等。甚至,很多企业的个人信息保护规定散见于“用户协议”、“使用条款”甚至是“免责声明”中。

结论:

从400天前后两次测评的结果对比不难看出,网安法实施一周年以来,企业的个人信息保护意识提升,从隐私政策的篇幅普遍变长、透明度大幅跃升就可见一斑。企业用了更多笔墨向用户描述,在个人信息的收集和使用方面,企业具体需要哪些数据,用于哪些场景,有的详细区分核心功能和附加功能,给用户选择权;同时也告知用户享有哪些权利,如何控制自己的个人信息;甚至加入了有企业特色的呈现方式,使企业责任和用户权利更加清晰。

不过,我们也应该看到,2018年测评中十大行业的平均分只有43.68,仍处在透明度较低的层级内。这意味着,大部分APP的隐私政策透明度依然亟待提升。

而从隐私政策内容来看,披露产品和服务停止运营时,处理用户个人信息的方式;明确告知用户如将用户个人信息用于新的目的、范围或与收集时不一致的传输方式;涉及收集敏感信息的,单独列出或重点标识等内容在接受测评的APP隐私政策中仍较为少见,值得企业下一步继续完善。

南都个人信息保护研究中心研究院 蒋琳 尤一炜 李玲 冯群星

声明:本文来自南方都市报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。