中消协今天发布的《100款App个人信息收集与隐私政策测评报告》告显示,多达91款App列出的权限存在涉嫌“越界”,即存在过度收集用户个人信息的问题。其中,出行导航、金融理财、拍摄美化、通讯社交和影音播放等5类App中,每一款都涉嫌存在过度收集或使用用户信息的情况;其次是住宿旅游、网上购物、新闻阅读和邮箱云盘等4类App中,32款App涉嫌存在过度收集或使用个人信息情形;而交易支付类App中有7款涉嫌存在过度收集或使用现象。测评App名单详见↓
本次被测评的10类100款App分别从App Store和安卓市场进行下载,根据测评结果显示,从App Store下载的与从安卓市场下载的App在信息的收集内容和隐私政策上并无明显差别,但常用App与中小型企业App的评分差距明显。
(一)10类App测评总体情况
根据测评结果,新闻阅读、网上购物和交易支付等类型App为总平均分相对较高的App类别,而金融理财类App得分相对较低,仅为28.91分。10类App评分的总平均分排名如图:
10类App总平均分
(二)各款App信息收集情况
按照《个人信息安全规范》对于个人信息的定义和分类[3],本次测评分别对10类100款App的个人信息收集情况进行了记录,具体结果如下:
1.通讯社交类App。通讯社交类App收集的个人信息共计有13类,其中收集最多的是位置信息,占比达100%,其次是手机号、上网记录、电子邮箱等。
通讯社交类App收集或使用个人信息情况
2.影音播放类App。影音播放类App收集的个人信息共计有11类,其中收集最多的是位置信息,占比达100%,其次是手机号、常用设备信息、个人基本资料等。
影音播放类App收集或使用个人信息情况
3.网上购物类App。网上购物类App收集的个人信息共计有9类,其中收集最多的是位置信息和上网记录,占比达90%,其次是手机号、财产信息、电子邮箱和个人基本资料等。
网上购物类App收集或使用个人信息情况
4.交易支付类App。交易支付类App收集的个人信息共计有12类,其中收集最多的是位置信息,占比达90%,其次是财产信息和手机号等。
交易支付类App收集或使用个人信息情况
5.出行导航类App。出行导航类App收集的个人信息共计有14类,其中收集最多的是位置信息,占比达100%,其次是手机号、联系人信息和通信信息等。
出行导航类App收集或使用个人信息情况
6.金融理财类App。金融理财类App收集的个人信息共计有10类,其中收集最多的是手机号,占比达100%,其次是通信信息、位置信息、身份信息和个人基本资料等。
金融理财类App收集或使用个人信息情况
7.住宿旅游类App。住宿旅游类App收集的个人信息共计有11类,其中收集最多的是位置信息和上网记录,占比达70%,其次是常用设备信息、个人基本资料等。
住宿旅游类App收集或使用个人信息情况
8.新闻阅读类App。新闻阅读类App收集的个人信息共计有11类,其中收集最多的是位置信息和手机号,占比达90%,其次是常用设备信息、上网记录和电子邮箱等。
新闻阅读类App收集或使用个人信息情况
9.邮箱云盘类App。邮箱云盘类App收集的个人信息共计有12类,其中收集最多的是手机号,占比达80%,其次是位置信息、上网记录、常用设备信息和电子邮箱等。
邮箱云盘类App收集或使用个人信息情况
10.拍摄美化类App。拍摄美化类App收集的个人信息共计有11类,其中收集最多的是手机号,占比达90%,其次是位置信息、上网记录、个人基本资料和常用设备信息等。
拍摄美化类App收集或使用个人信息情况
(一)收集个人信息方面存在的问题
1.10类App普遍存在涉嫌过度收集或使用个人信息的情况。
测评发现,10类App均存在涉嫌过度收集或使用用户个人信息的问题。10类100款App中,多达91款App列出的权限存在涉嫌“越界”,即存在过度收集用户个人信息的问题。其中,出行导航、金融理财、拍摄美化、通讯社交和影音播放等5类App中,每一款都涉嫌存在过度收集或使用用户信息的情况;其次是住宿旅游、网上购物、新闻阅读和邮箱云盘等4类App中,32款App涉嫌存在过度收集或使用个人信息情形;而交易支付类App中有7款涉嫌存在过度收集或使用现象。
2.位置信息、通讯录信息、手机号码等个人信息是过度收集或使用的主要内容。
测评结果显示,“位置信息”、“通讯录信息”和“手机号码”等三种个人信息是过度收集或使用个人信息最常见的内容。100款App中,59款App涉嫌过度收集了“位置信息”,过度收集或使用个人信息的情况较多,另外“通讯录信息”、“身份信息”、“手机号码”也是用户个人信息过度收集或使用较多的内容,在受测评中分别有28款、23款、22款App涉嫌存在此类情况。除此之外,用户的个人照片、个人财产信息、生物识别信息、工作信息、交易账号信息、交易记录、上网浏览记录、教育信息、车辆信息以及短信信息等均存在被过度使用或收集的现象。
App涉嫌过度收集或使用个人信息情况
按照《个人信息安全规范》规定,对个人信息的收集应有明确的目的,不得超出产品功能相关目的外收集额外的个人信息,很多被测评App在隐私政策等文件中,未将其收集的个人信息与其实现的产品功能明确挂钩,其中很多个人信息与消费者通常理解的产品功能之间无明显关联,甚至明显超出合理范围。
3.通讯社交、影音播放和拍摄美化类App涉嫌过度收集或使用用户位置信息的问题较普遍。
测评结果显示,各类App调用定位权限情况极为普遍,从10大类App分析,除邮箱云盘、交易支付和出行导航类App外,其他七大类App均有超过一半的App存在过度收集或使用用户位置信息的问题。其中,通讯社交和影音播放类App产生此类问题更为突出,多达10款和9款App涉嫌存在过度收集用户位置信息的现象。
出行导航、旅游住宿、网上购物类App对于用户个人位置信息具有根据定位信息提供产品和服务的合理诉求,但是对于大部分社交类、影音播放类、拍摄美化类、新闻阅读以及金融理财类App来说,调用用户的位置信息对于这些服务的提供非必需信息,存在过度收集或使用的嫌疑。
各类App收集用户定位信息情况
4.通讯录信息、手机号码等个人身份信息过度收集现象值得注意。
通讯录信息、手机号码涉及用户的个人隐私,属于个人敏感信息,存在较高的商业价值,部分仅提供手机号注册方式,借助手机权限开放的便利,很容易收集手机号码及通讯录信息。以收集通讯录为例,10类App中,4款金融理财类App与3款影音播放类App收集用户通讯录信息。手机号码信息收集现象在金融理财类与出行导航类App中较为普遍,10款金融理财类App均收集手机号码,8款出行导航类App在用户注册时要求必须用手机号注册。
5.部分App涉嫌过度收集个人财产信息、生物识别信息等敏感信息。
个人财产信息、个人生物识别信息属于个人敏感信息。个人敏感信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控,可能对个人信息主体人身和财产带来重大风险。测评发现,10类App均存在收集这些信息的情况,但部分App对财产信息、可识别生物信息的收集未能向用户明确重点告知,理由含糊不清,涉嫌过度收集,其中11款App涉嫌过度收集财产信息,10款App涉嫌过度收集生物识别信息。
(二)隐私条款存在的主要问题
2018年5月,推荐性国家标准《个人信息安全规范》正式实施,《个人信息安全规范》对于个人信息收集、保存、使用、流转等环节提出了要求,是国内在个人信息保护实践方面的重要参考标准。基于“隐私政策应公开发布且易于访问”的原则,本次活动参考《个人信息安全规范》要求对100款的隐私条款进行测评,主要问题如下:
1.47款App隐私条款内容不达标,34款App没有隐私条款。
本次测评中隐私条款各指标总分为70分,在100款中仅有一半(53款)的隐私条款得分达到及格分以上,而有13款App具备隐私条款,但得分低于及格分,另外有超过三分之一(34款)的隐私条款得分为0,即未对用户公布个人信息隐私条款。
各类App隐私条款测评得分情况
测评结果显示,当前有关隐私条款存在的典型问题有:一是隐私条款笼统不清,对收集、使用个人信息的目的、方式、范围、保存期限、和地点等没有明确说明;二是不主动向用户展示隐私条款,或展示内容晦涩冗长;三是征求用户授权同意时,未给用户足够选择权;四是没有为用户提供访问、更正、删除个人信息的途径;五是大量收集与所提供服务无直接关联的个人信息,未遵守标准中最小化收集个人信息的规定。
2.59款App未明确告知收集个人信息类型,且收集敏感信息时未明确告知用户信息的用途。
在个人信息收集规则中,包括两方面内容,一是是否明确告知用户收集的个人信息类型,二是收集敏感信息时是否明确告知用户,并告知用户拒绝提供将带来的影响。测评结果显示,针对是否明确告知用户收集个人信息的这一规则,被测评App的总平均分为2.8分(满分为5分),有59款App在此选项中扣分。从10类App来看,金融理财类App在本项中得分相对较低,仅得0.9分,有8款金融理财类App在隐私条款中未告知用户收集个人信息的类型;网上购物和新闻阅读类App在此选项得分较高,分别为4.3和3.9分。
针对“是否告知用户收集敏感信息的用途及拒绝提供的影响”这一规则,测评的总平均分为2.6分(满分为5分),也未达及格分。对于敏感信息的告知情况得分相对较差的仍为金融理财类App,表现较好的同样是网购和新闻阅读类App。
各类App个人信息收集规则情况得分
3.70款App未明确告知用户个人信息的保存期限和停止运营的情形。
在个人信息保存规则里,《个人信息安全规范》规定了四方面的内容,分别为告知用户数据保存期限、告知用书数据保存地域、告知用户安全事件应急处理措施、告知用户停止运营的情形。
对于告知个人信息的保存期限,100款总平均分为1.2分(满分为3分),未达及格分,其中有70款App在此选项扣分。从不同类别来看,邮箱云盘类App在此项得分相对较低,为0.5分;新闻阅读和拍摄美化类App表现较好,得分均为1.9分。在被测评的100款App中,有48款隐私条款中未明确提及有关信息保存期限的相关事宜,另有部分App隐私条款对个人信息存储期限的表达是含糊的,这些App有的提到会在服务期间存储信息,在用户注销后删除信息,但没有给出具体的时间。
对于告知个人信息的存放地域,100款App总平均分为1.4分(满分为3分),也未达到及格分,其中有67款App在此项扣分。其中,交易支付类App得分相对较低,影音播放、出行导航和新闻阅读类App得分较高,得分都为1.8分。
对于告知个人信息安全事件应急处理措施,100款App总平均分为1.5分(满分为3分),其中有63款App在此选项扣分。从大类看,金融理财类App在此项得分相对较低,新闻阅读和网上购物类App得分较高。
对于告知用户停止运营的情形,100款App总平均分为0.3分(满分为1分),其中100款受测评App中有66款在此项得分为0,未明确提到用户停止运营的情形。
各类App个人信息保存规则情况得分
4. 57款App未明确告知用户个人信息使用方式。
在个人信息使用规则方面,被测评App的平均得分为2.8分(满分为5分),“告知使用个人信息的规则”这一规则有57款App扣分。其中,金融理财类App得分相对较低,仅为0.8分,大部分金融理财类App未明确告知使用用户个人信息的规则;影音播放类App在此项得分为3.9分,相对较高。
5. 42款App对外提供个人信息时不会单独告知并征得用户同意。
有关对外提供用户信息的规则,《个人信息安全规范》提到,“向他人提供个人信息(包括共享、转让、公开披露个人信息等)时,告知提供个人信息的目的、涉及的个人信息和接收方类型,以及所承担的相应法律责任等”,“当个人信息控制者发生收购、兼并、重组等变更时,个人信息控制者应向个人信息主体告知有关情况,重新取得个人信息主体的明示同意”。针对向他人提供用户个人信息时是否明确告知用户这一打分项,被测评App的总平均分为2.0分(满分为4分),其中有42款未明确提到此项条款得分为0,另有57款虽然提到但未明确说明,仅有1款在此项得分为满分。针对个人信息控制者发生变更时,是否明确告知用户并获得同意这一选项,测评的平均得分为1.6分(满分为4分),其中超过一半的App此项得分为0,即隐私条款中未提及相关内容。从各类看,金融理财类App和拍摄美化类App此项得分相对较低,新闻阅读类与影音播放类App得分相对较高。
各类App对外提供信息规则情况得分
6. 57款和96款App未明确告知用户如何更正个人信息和撤回同意。
在用户权利方面,共包括五方面的测评内容,一是告知用户访问信息的方式,二是告知删除个人信息的方式,三是告知更正个人信息的方式,四是告知用户撤回同意的方式,五是告知用户注销账号的方式。测评数据显示,上述五方面用户权利内容的选项测评总平均分分别为2.6、2.4、2.5、1.4和1.5分,这五项得分均未达到及格分。从各大类看,金融理财类App在用户权利方面表现相对较差,在“告知访问个人信息的方式”、“告知删除个人信息的方式”两个测评项中,新闻阅读类App得分均相对较高,在“告知更正个人信息方式”项中得分相对较高的为交易支付类App,而“告知用户撤回同意的方式”与“告知用户注销账号的方式”两项得分相对较高的是拍摄美化类App。
各类App针对用户权利条款得分
7. 41款App隐私条款未在明显位置公示,52款App的条款变更时未及时通知用户。
对于隐私条款公开状态的测评,包括公开隐私条款的要求和条款生效和变更后通知的要求。针对是否公开隐私条款这一打分项,测评的总平均分为1.8分(满分为3分),刚达及格分,其中,有38款App未公开隐私条款,此项得分为0。从各类看,网上购物类App公开隐私条款方面表现相对较好,得分为2.7分,金融理财类App得分相对较低,得分为0.6分。针对条款生效和变更通知用户这一要求,被测评App总平均分为1.6分,有52款在此项扣分。从类别来看,新闻阅读类App得分相对较高,金融理财类App得分相对较低。
各类App隐私条款公开状态得分
8. 79款App隐私政策存在默认同意或未提示阅读等问题。
测评结果显示,“征得用户同意的要求”的测评平均分为3.8分(满分为8分),未达及格分;“征得未成年人同意的要求”这一打分项得分为1.0分(满分为2分),也未达及格分。针对是否征得用户同意这一打分项,有79款扣分;仅有21款的隐私条款是在明确征得用户同意后收集相关信息,而大部分App存在默认同意隐私条款的现象,并未征得用户同意。从类别来看,金融理财和交易支付类App默认同意隐私条款的现象相对较严重,网购类App在征得用户同意方面得分相对较高。针对未成年用户,“征得未成年人同意的要求”这一打分项有58款App扣分;其中金融理财类App得分相对较低,新闻阅读类App得分相对较高。
各类App隐私条款征得用户同意情况得分
9. 部分App存在“自行承担风险”等不合理免责条款。
测评结果显示,除通讯社交、影音播放和交易支付三类App外,其他类App中的隐私条款均存在不合理免责条款的现象,其中金融理财类和邮箱云盘类App不合理条款问题较突出。如,金融理财类App某些有出现“自愿承担风险,个人承担一切责任”的条款,邮箱类App某些有出现“对于外部链接不承担责任”、“附赠产品免责”等不合理的免责条款。
(点击可查看大图)
(点击可查看大图)
[1]本次评价的10类100款均为9月1-3日期间下载版本。
[2]评星标准:测评中得分60分及以下为一星,61-70分为二星,71-80分为三星,81-85分为三星半,86-90分为四星,91-95分为四星半,96-100分为五星。
[3]本次测评将个人信息分为个人基本资料(姓名、性别、年龄等)、手机号、电子邮箱、身份信息、生物识别信息、网络身份标志信息、生理健康信息、教育工作信息、财产信息、通信信息、联系人信息、上网记录、常用设备信息、位置信息、车辆信息共15类。
[4]表格中〇代表该APP采集或使用了该类信息
来源:周到上海 作者:李晓明
