11月28日,中国消费者协会发布《100款App个人信息收集与隐私政策测评报告》,依法对商品和服务进行社会监督。本次测评开展与2018年8-10月。根据消费者需求和专家组建议,本次活动邀请消费维权志愿者对10类(通讯社交、影音播放、网上购物、交易支付、出行导航、金融理财、旅游住宿、新闻阅读、邮箱云盘和拍摄美化)100款App进行现场体验,同时邀请专家对App用户协议、隐私政策进行审核,综合反映App个人信息保护中存在的问题。测评发现,天天P图、咪咕视频、美图秀秀、支付宝、拼多多、去哪儿网等消费者常用软件在个人信息收集方面均存在不同程度不规范情况。
九成APP权限“越界”
此次测评于2018年8-10月开展,被测评的App涵盖当下最热门的10类(通讯社交、影音播放、网上购物、交易支付、出行导航、金融理财、旅游住宿、新闻阅读、邮箱云盘和拍摄美化)100款App。《测评报告》显示,从同一款App不同下载来源上看,App Store下载渠道与安卓市场下载渠道在信息采集类型和隐私政策方面无明显差别。新闻阅读、网上购物和交易支付等类型App总平均分相对较高,而金融理财类App得分相对较低,仅为28.91分。
10类App评分的总平均分排名(中消协供图)
多达91款App列出的权限存在涉嫌“越界”,即存在过度收集用户个人信息的问题,其中,出行导航、金融理财、拍摄美化、通讯社交和影音播放等5类App中,每一款都涉嫌存在过度收集或使用用户信息的情况;而交易支付类App中有7款涉嫌存在过度收集或使用现象。位置信息、通讯录信息、手机号码等个人信息是过度收集或使用的主要内容。59款App涉嫌过度收集“位置信息”,28款App涉嫌过度收集“通讯录信息”,23款App涉嫌过度收集“身份信息”,22款App涉嫌过度收集“手机号码”等。
此外,用户的个人照片、个人财产信息、生物识别信息、工作信息、交易账号信息、交易记录、上网浏览记录、教育信息、车辆信息以及短信信息等均存在被过度使用或收集的现象。
2App涉嫌过度收集或使用个人信息情况(中消协供图)
按照《个人信息安全规范》规定,对个人信息的收集应有明确的目的,不得超出产品功能相关目的外收集额外的个人信息。中消协此次测评结果显示,很多被测评App在隐私政策等文件中,未将其收集的个人信息与其实现的产品功能明确挂钩,其中很多个人信息与消费者通常理解的产品功能之间无明显关联,甚至明显超出合理范围。如网易彩票App收集个人财产证明、个人上网记录、通讯信息、位置信息(包括行程、住宿)等信息涉嫌过度收集或使用。
网易彩票App收集个人财产证明、个人上网记录、通讯信息、位置信息(包括行程、住宿)等信息涉嫌过度收集
“通讯录信息、手机号码涉及用户的个人隐私,属于个人敏感信息,过度收集现象值得注意。”中消协相关负责人指出,由于用户手机号存在较高的商业价值,部分App仅提供手机号注册方式,借助手机权限开放的便利,很容易收集手机号码及通讯录信息。以收集通讯录为例,10类App中,4款金融理财类App与3款影音播放类App收集用户通讯录信息。手机号码信息收集现象在金融理财类与出行导航类App中较为普遍,10款金融理财类App均收集手机号码,8款出行导航类App在用户注册时要求必须用手机号注册。
近半数App隐私条款不达标
2018年5月,推荐性国家标准《个人信息安全规范》正式实施,《个人信息安全规范》对于个人信息收集、保存、使用、流转等环节提出了要求,是国内在个人信息保护实践方面的重要参考标准。基于“隐私政策应公开发布且易于访问”的原则,中消协在对100款App的隐私条款进行测评后发现,47款App隐私条款内容不达标,34款App没有隐私条款。
各类App隐私条款测评得分情况(中消协供图)
隐私条款笼统不清与不主动向用户展示隐私条款、或展示内容晦涩冗长是当前有关隐私条款存在的典型问题。如中国工商银行App没有单独的隐私政策,链接中仅提供隐私保密声明。
中消协相关负责人指出,在个人信息收集规则中,应包括两方面内容,一是明确告知用户收集的个人信息类型,二是收集敏感信息时明确告知用户,并告知用户拒绝提供将带来的影响。测评结果显示,针对是否明确告知用户收集个人信息的这一规则,有59款App在此选项中扣分。从10类App来看,金融理财类App在本项中得分相对较低,仅得0.9分,有8款金融理财类App在隐私条款中未告知用户收集个人信息的类型;网上购物和新闻阅读类App在此选项得分较高,分别为4.3和3.9分。
我们还要在隐私路上“裸奔”多久?
从中消协发布的测评报告即可看出,手机APP普遍存在过度收集和使用用户敏感信息的情况,其中包括一些大型企业的APP,诸如中国工商银行、中国建设银行、支付宝、ofo小黄车等APP,都拥有大量用户,日常使用也非常频繁。可见,手机APP隐私问题非常严重,企业对数据资源的采集,已然超过了正常需求范围,需要加以高度重视。
15年前曾经上映过一部名为《手机》的电影,里面就已经涉及“个人隐私”问题。当时手机中的个人信息,也就是短信信息、接打电话记录等。而现在随着移动互联网发展以及各类智能手机应用程序的兴起,手机已成为国民日常生活中不可或缺的工具,许多人已经到了离开手机就不知所措的地步。
个人信息的泄露已经成为一个社会问题,信息泄露的数量已达千亿计。2016年和2017年这两年,公安部门掌握的数据是1475亿条个人信息被泄露。这一数字今后应该还会增长。
并且,贩卖个人信息、利用这些信息实施诈骗等非法甚至犯罪行为,已经形成了一条被称为“灰黑经济链条”的产业链,这一链条上已经有超过160万人“从业”,每年的产值超过千亿元。
随之而来的是个人信息泄露带来的危害。可以说,个人信息如果得不到切实有效的保护,轻则是财产损失,重则危及到生命安全。2016年山东临沂发生的准大学生徐玉玉案就是诈骗分子利用了其个人信息实施诈骗,从而导致徐玉玉死亡。前段时间连续发生的滴滴顺风车空姐被害案、浙江乐清女子被害案,一定程度上也与个人信息泄露有关。
互联网是有记忆的,用户的所有上网轨迹、使用情况,都会被APP纪录下来,并上传到云端保存下来,企业利用大数据技术,进行深度挖掘分析,对用户做消费者画像、精准营销,这种商业模式已然成熟,并在各个行业得到普遍应用。通过运用大数据技术,互联网公司“比你更了解你自己”,技术是把“双刃剑”,公司既能给用户推荐更适宜的商品和服务,也能利用技术侵犯用户隐私、损害用户利益,比如隐私数据泄露、大数据杀熟、网络诈骗等。
企业过度收集用户信息,乃是出于对未来业务发展前景的预期,希望能够获得最多的数据,全然不顾及是否跨越边界,使得数据处于溢出效应,又难以保证信息数据的安全性,时有发生大规模数据泄露、失窃案件,令用户处于“裸奔”状态,毫无安全感。近年来,互联网企业侵犯用户隐私问题频频曝光,造成的社会经济损失巨大,给亿万家庭带来负面影响,对青少年的健康成长不利,甚至危及到国家信息安全,令公众非常担忧。
该如何保护我们的隐私?
保护个人信息不能止于说说而已,在白纸黑字的“规定”之外,需要行之有效的强有力机制。
相关事件中,暴露出一些人对个人隐私信息保护满不在乎的心态,在某些传统行业相当普遍。有些一线员工缺乏必要的培训,缺乏对保护用户个人信息的敏感和警觉,个别企业也缺乏对员工泄露用户个人信息的严厉处罚制度,助长了一些人泄露和滥用用户信息“没什么了不起”的心态。
除了这两个因素,一些企业还缺乏对用户信息保护的“门槛”。对于规范的互联网企业来说,通常对用户信息都有一套保护机制,首先仅有极少数员工能够接触到用户信息,其次对于什么人在何时何地调用过用户信息也都有明确的记录,同时多半有专职负责人和部门负责个人信息保护问题。但是也有一些企业包括传统企业,无论是出于成本因素考虑,还是法规意识不强,这样一套技术上的信息保护制度多半没有建立起来,这也在客观上让员工有机会“染指”用户信息。
普通用户对信息泄露深恶痛绝,不仅仅是因为信息泄露导致心理不适,更在于围绕用户隐私信息,社会上已形成了一条让人防不胜防的网络诈骗黑灰产业链,用户信息一旦泄露,很可能会面临巨大损失。比如,此前被广泛报道的“机票退票诈骗”和“网购退货诈骗”,就是因为用户的购买信息被泄露。在网络诈骗中,当诈骗分子能够准确地说出用户订票的航班或者购买的商品,用户可能受骗上当的几率显然要高于“您已抽中大奖”或者“我是你领导”这种“广撒网”式的诈骗方式。
无论是对用户信息保护意识薄弱,还是用户信息泄露造成的巨大危害,都呼唤监管方面提供更切实有力的保护。目前,虽然已有《民法总则》《消费者权益保护法》《电子商务法》和《全国人民代表大会常务委员会关于加强网络信息保护的决定》等近40部法律、30余部法规和200部规章制度,都涉及对个人信息的保护条款,但总体来看,相关法律法规仍相对分散,虽然规定了企业对保护个人信息所负的法律义务,但并未具体规定企业应有的信息保护安全制度,也缺乏具体考核标准。可见,保护个人信息依然需要有更为清晰、严谨和有逻辑性的规定。今年9月份,《个人信息保护法》被写入十三届全国人大常委会立法规划的第一类项目,拟在本届人大任期内提请审议,如果《个人信息保护法》能顺利出台,将对如何保护个人信息提供系统性指引。
即使如此,监管部门依然需要在现阶段加强对个人信息安全的保护,敦促企业不断投入成本、履行相关义务,同时也要从源头加大对用户数据泄露的打击力度和惩罚力度。无论是传统企业,还是互联网企业,都要真正行动起来。毕竟,保护个人信息不能只停留在“说说而已”,它直接关乎普通用户能否持续触网“尝鲜”的兴趣与信心,这正是各行各业能够借由与互联网深度融合来实现转型升级的基础所在。(本文综合自澎湃新闻网、新京报、央广网)
閱讀更多 黑龍江網 的文章
