11月28日,中國消費者協會發布《100款App個人信息收集與隱私政策測評報告》,依法對商品和服務進行社會監督。本次測評開展與2018年8-10月。根據消費者需求和專家組建議,本次活動邀請消費維權志願者對10類(通訊社交、影音播放、網上購物、交易支付、出行導航、金融理財、旅遊住宿、新聞閱讀、郵箱雲盤和拍攝美化)100款App進行現場體驗,同時邀請專家對App用戶協議、隱私政策進行審核,綜合反映App個人信息保護中存在的問題。測評發現,天天P圖、咪咕視頻、美圖秀秀、支付寶、拼多多、去哪兒網等消費者常用軟件在個人信息收集方面均存在不同程度不規範情況。
九成APP權限“越界”
此次測評於2018年8-10月開展,被測評的App涵蓋當下最熱門的10類(通訊社交、影音播放、網上購物、交易支付、出行導航、金融理財、旅遊住宿、新聞閱讀、郵箱雲盤和拍攝美化)100款App。《測評報告》顯示,從同一款App不同下載來源上看,App Store下載渠道與安卓市場下載渠道在信息採集類型和隱私政策方面無明顯差別。新聞閱讀、網上購物和交易支付等類型App總平均分相對較高,而金融理財類App得分相對較低,僅為28.91分。
10類App評分的總平均分排名(中消協供圖)
多達91款App列出的權限存在涉嫌“越界”,即存在過度收集用戶個人信息的問題,其中,出行導航、金融理財、拍攝美化、通訊社交和影音播放等5類App中,每一款都涉嫌存在過度收集或使用用戶信息的情況;而交易支付類App中有7款涉嫌存在過度收集或使用現象。位置信息、通訊錄信息、手機號碼等個人信息是過度收集或使用的主要內容。59款App涉嫌過度收集“位置信息”,28款App涉嫌過度收集“通訊錄信息”,23款App涉嫌過度收集“身份信息”,22款App涉嫌過度收集“手機號碼”等。
此外,用戶的個人照片、個人財產信息、生物識別信息、工作信息、交易賬號信息、交易記錄、上網瀏覽記錄、教育信息、車輛信息以及短信信息等均存在被過度使用或收集的現象。
2App涉嫌過度收集或使用個人信息情況(中消協供圖)
按照《個人信息安全規範》規定,對個人信息的收集應有明確的目的,不得超出產品功能相關目的外收集額外的個人信息。中消協此次測評結果顯示,很多被測評App在隱私政策等文件中,未將其收集的個人信息與其實現的產品功能明確掛鉤,其中很多個人信息與消費者通常理解的產品功能之間無明顯關聯,甚至明顯超出合理範圍。如網易彩票App收集個人財產證明、個人上網記錄、通訊信息、位置信息(包括行程、住宿)等信息涉嫌過度收集或使用。
網易彩票App收集個人財產證明、個人上網記錄、通訊信息、位置信息(包括行程、住宿)等信息涉嫌過度收集
“通訊錄信息、手機號碼涉及用戶的個人隱私,屬於個人敏感信息,過度收集現象值得注意。”中消協相關負責人指出,由於用戶手機號存在較高的商業價值,部分App僅提供手機號註冊方式,藉助手機權限開放的便利,很容易收集手機號碼及通訊錄信息。以收集通訊錄為例,10類App中,4款金融理財類App與3款影音播放類App收集用戶通訊錄信息。手機號碼信息收集現象在金融理財類與出行導航類App中較為普遍,10款金融理財類App均收集手機號碼,8款出行導航類App在用戶註冊時要求必須用手機號註冊。
近半數App隱私條款不達標
2018年5月,推薦性國家標準《個人信息安全規範》正式實施,《個人信息安全規範》對於個人信息收集、保存、使用、流轉等環節提出了要求,是國內在個人信息保護實踐方面的重要參考標準。基於“隱私政策應公開發布且易於訪問”的原則,中消協在對100款App的隱私條款進行測評後發現,47款App隱私條款內容不達標,34款App沒有隱私條款。
各類App隱私條款測評得分情況(中消協供圖)
隱私條款籠統不清與不主動向用戶展示隱私條款、或展示內容晦澀冗長是當前有關隱私條款存在的典型問題。如中國工商銀行App沒有單獨的隱私政策,鏈接中僅提供隱私保密聲明。
中消協相關負責人指出,在個人信息收集規則中,應包括兩方面內容,一是明確告知用戶收集的個人信息類型,二是收集敏感信息時明確告知用戶,並告知用戶拒絕提供將帶來的影響。測評結果顯示,針對是否明確告知用戶收集個人信息的這一規則,有59款App在此選項中扣分。從10類App來看,金融理財類App在本項中得分相對較低,僅得0.9分,有8款金融理財類App在隱私條款中未告知用戶收集個人信息的類型;網上購物和新聞閱讀類App在此選項得分較高,分別為4.3和3.9分。
我們還要在隱私路上“裸奔”多久?
從中消協發佈的測評報告即可看出,手機APP普遍存在過度收集和使用用戶敏感信息的情況,其中包括一些大型企業的APP,諸如中國工商銀行、中國建設銀行、支付寶、ofo小黃車等APP,都擁有大量用戶,日常使用也非常頻繁。可見,手機APP隱私問題非常嚴重,企業對數據資源的採集,已然超過了正常需求範圍,需要加以高度重視。
15年前曾經上映過一部名為《手機》的電影,裡面就已經涉及“個人隱私”問題。當時手機中的個人信息,也就是短信信息、接打電話記錄等。而現在隨著移動互聯網發展以及各類智能手機應用程序的興起,手機已成為國民日常生活中不可或缺的工具,許多人已經到了離開手機就不知所措的地步。
個人信息的洩露已經成為一個社會問題,信息洩露的數量已達千億計。2016年和2017年這兩年,公安部門掌握的數據是1475億條個人信息被洩露。這一數字今後應該還會增長。
並且,販賣個人信息、利用這些信息實施詐騙等非法甚至犯罪行為,已經形成了一條被稱為“灰黑經濟鏈條”的產業鏈,這一鏈條上已經有超過160萬人“從業”,每年的產值超過千億元。
隨之而來的是個人信息洩露帶來的危害。可以說,個人信息如果得不到切實有效的保護,輕則是財產損失,重則危及到生命安全。2016年山東臨沂發生的準大學生徐玉玉案就是詐騙分子利用了其個人信息實施詐騙,從而導致徐玉玉死亡。前段時間連續發生的滴滴順風車空姐被害案、浙江樂清女子被害案,一定程度上也與個人信息洩露有關。
互聯網是有記憶的,用戶的所有上網軌跡、使用情況,都會被APP紀錄下來,並上傳到雲端保存下來,企業利用大數據技術,進行深度挖掘分析,對用戶做消費者畫像、精準營銷,這種商業模式已然成熟,並在各個行業得到普遍應用。通過運用大數據技術,互聯網公司“比你更瞭解你自己”,技術是把“雙刃劍”,公司既能給用戶推薦更適宜的商品和服務,也能利用技術侵犯用戶隱私、損害用戶利益,比如隱私數據洩露、大數據殺熟、網絡詐騙等。
企業過度收集用戶信息,乃是出於對未來業務發展前景的預期,希望能夠獲得最多的數據,全然不顧及是否跨越邊界,使得數據處於溢出效應,又難以保證信息數據的安全性,時有發生大規模數據洩露、失竊案件,令用戶處於“裸奔”狀態,毫無安全感。近年來,互聯網企業侵犯用戶隱私問題頻頻曝光,造成的社會經濟損失巨大,給億萬家庭帶來負面影響,對青少年的健康成長不利,甚至危及到國家信息安全,令公眾非常擔憂。
該如何保護我們的隱私?
保護個人信息不能止於說說而已,在白紙黑字的“規定”之外,需要行之有效的強有力機制。
相關事件中,暴露出一些人對個人隱私信息保護滿不在乎的心態,在某些傳統行業相當普遍。有些一線員工缺乏必要的培訓,缺乏對保護用戶個人信息的敏感和警覺,個別企業也缺乏對員工洩露用戶個人信息的嚴厲處罰制度,助長了一些人洩露和濫用用戶信息“沒什麼了不起”的心態。
除了這兩個因素,一些企業還缺乏對用戶信息保護的“門檻”。對於規範的互聯網企業來說,通常對用戶信息都有一套保護機制,首先僅有極少數員工能夠接觸到用戶信息,其次對於什麼人在何時何地調用過用戶信息也都有明確的記錄,同時多半有專職負責人和部門負責個人信息保護問題。但是也有一些企業包括傳統企業,無論是出於成本因素考慮,還是法規意識不強,這樣一套技術上的信息保護制度多半沒有建立起來,這也在客觀上讓員工有機會“染指”用戶信息。
普通用戶對信息洩露深惡痛絕,不僅僅是因為信息洩露導致心理不適,更在於圍繞用戶隱私信息,社會上已形成了一條讓人防不勝防的網絡詐騙黑灰產業鏈,用戶信息一旦洩露,很可能會面臨巨大損失。比如,此前被廣泛報道的“機票退票詐騙”和“網購退貨詐騙”,就是因為用戶的購買信息被洩露。在網絡詐騙中,當詐騙分子能夠準確地說出用戶訂票的航班或者購買的商品,用戶可能受騙上當的幾率顯然要高於“您已抽中大獎”或者“我是你領導”這種“廣撒網”式的詐騙方式。
無論是對用戶信息保護意識薄弱,還是用戶信息洩露造成的巨大危害,都呼喚監管方面提供更切實有力的保護。目前,雖然已有《民法總則》《消費者權益保護法》《電子商務法》和《全國人民代表大會常務委員會關於加強網絡信息保護的決定》等近40部法律、30餘部法規和200部規章制度,都涉及對個人信息的保護條款,但總體來看,相關法律法規仍相對分散,雖然規定了企業對保護個人信息所負的法律義務,但並未具體規定企業應有的信息保護安全制度,也缺乏具體考核標準。可見,保護個人信息依然需要有更為清晰、嚴謹和有邏輯性的規定。今年9月份,《個人信息保護法》被寫入十三屆全國人大常委會立法規劃的第一類項目,擬在本屆人大任期內提請審議,如果《個人信息保護法》能順利出臺,將對如何保護個人信息提供系統性指引。
即使如此,監管部門依然需要在現階段加強對個人信息安全的保護,敦促企業不斷投入成本、履行相關義務,同時也要從源頭加大對用戶數據洩露的打擊力度和懲罰力度。無論是傳統企業,還是互聯網企業,都要真正行動起來。畢竟,保護個人信息不能只停留在“說說而已”,它直接關乎普通用戶能否持續觸網“嚐鮮”的興趣與信心,這正是各行各業能夠藉由與互聯網深度融合來實現轉型升級的基礎所在。(本文綜合自澎湃新聞網、新京報、央廣網)
閱讀更多 黑龍江網 的文章
