中消协:网易彩票App涉嫌过度收集或使用用户信息

凤凰网财经讯 11月28日,中消协28日通报了100款App个人信息收集与隐私政策测评情况。测评显示,网易彩票App收集个人财产证明、个人上网记录、通讯信息、位置信息(包括行程、住宿)等信息涉嫌过度收集或使用。

以下是《报告》全文:

中消协在京发布《100款App个人信息收集与隐私政策测评报告》

11月28日,中消协在京召开新闻发布会,通报100款App个人信息收集与隐私政策测评情况。

随着移动互联网发展以及各类手机应用程序的兴起,手机已成为国民日常生活中不可或缺的工具,各类应用程序在给使用者带来便利的同时,其背后的使用权限和隐私问题也随着近年来互联网安全事件的陆续爆发而逐渐引起消费者的密切关注。为促进各App经营者更好地遵守《中华人民共和国网络安全法》、《个人信息安全规范》等相关法律和标准规范,维护广大消费者的个人信息安全,中消协于2018年8-10月开展了App个人信息收集与隐私政策测评活动。据悉,本次测评活动由中国电子技术标准化研究院提供专业技术支持。

据了解,本次被测评的10类(通讯社交、影音播放、网上购物、交易支付、出行导航、金融理财、旅游住宿、新闻阅读、邮箱云盘和拍摄美化)100款App源于中消协此前开展的消费者需求调查以及评测专家组建议。所有被测评App都是在9月1-3日期间从App Store、安卓市场下载的,同时对App的用户协议、隐私政策进行录屏取证。测评活动邀请了消费维权志愿者进行现场体验,邀请相关专家对App的用户协议、隐私政策进行审核,综合反映App个人信息保护中存在的问题。

《测评报告》显示,从同一款App不同下载来源上看,App Store下载渠道与安卓市场下载渠道在信息采集类型和隐私政策方面无明显差别,但不同类别App以及同一类别中的不同品牌App测评结果差异较大,金融理财、邮箱云盘类App评分相对较低。

在收集个人信息方面:10类App普遍存在涉嫌过度收集个人信息的情况,59款App涉嫌过度收集“位置信息”,28 款App涉嫌过度收集“通讯录信息”,23 款App涉嫌过度收集“身份信息”,22款App涉嫌过度收集“手机号码”等。

在隐私政策方面:47款App隐私条款内容不达标,其中34款App没有隐私条款。其主要问题是:1.未明确告知收集个人信息类型,且收集敏感信息时未明确告知用户信息的用途;2.未明确告知用户个人信息的保存期限和停止运营的情形;3.未明确告知用户个人信息使用方式;4.对外提供个人信息时不单独告知并征得用户同意;5.未明确告知用户如何更正个人信息和撤回同意;6.隐私条款未在明显位置公示,条款变更时未及时通知用户;7.隐私政策存在默认同意或未提示阅读等问题;8.存在“自行承担风险”等不合理免责条款。

针对测评中发现的问题,中消协建议:一是加强隐私保护立法,提高立法立规的前瞻性,做好政策措施的落地工作,为消费者个人信息安全提供法律和制度保护;二是督促App开发管理者根据App的核心功能和扩展功能明示个人信息收集范围,保障消费者的知情权和选择权,开发管理者应尽可能少的收集消费者个人信息,并采取有效措施,保护消费者个人信息安全;督促App开发管理者明示隐私条款,不采用默认勾选方式、不使用不公平格式条款,开发管理者应采取显著方式引起消费者注意,引导消费者主动阅读、理解相关隐私政策;三是各应用商店要认真履行平台审核责任,强化App隐私条款的明示义务,对于没有隐私条款的应当及时下架,并提醒消费者谨慎下载使用,应当要求相关隐私条款内容不能损害消费者合法权益,不得含有不公平格式条款;四是强化部门间的沟通合作,完善消费者个人信息安全问题的投诉举报制度,严肃查处侵害消费者合法权益的典型问题,发挥典型案例的教育警示作用。

中消协呼吁,全社会要强化个人信息保护的自我忧患意识,多形式开展教育引导活动,广泛提醒消费者尽量通过审核机制更严格的应用商店平台下载App,下载过程中要认真阅读App的应用权限和用户协议或隐私政策,不扫来历不明的二维码,不点来历不明的网页链接,不安装来历不明的App,使用过程中一旦发现信息泄露,要留存相关证据,及时向有关部门投诉举报,依法主动维权。

中消协表示,针对本次测评活动中发现的典型问题,将约谈劝谕相关App开发管理者,督促企业整改提高。中消协将持续关注App个人信息保护工作,采取更多有效方式,更好地维护消费者个人信息安全。

相关阅读:100款App个人信息收集与隐私政策测评报告

据工信部统计,截至2017年底,我国三大运营商移动电话用户总数14.03亿户,移动宽带用户(即3G和4G用户)总数11.01亿户,占移动电话用户的78.5%。随着移动互联网发展以及各类手机App的兴起,手机已成为国民日常生活中不可或缺的工具,各类App在给使用者带来便利的同时,其背后的使用权限和隐私问题也随着近年来互联网安全事件的陆续爆发而逐渐引起消费者的密切关注。

2018年1月6日,国家网信办网络安全协调局约谈支付宝(中国)网络技术有限公司、芝麻信用管理有限公司的有关负责人时指出,支付宝、芝麻信用收集使用个人信息的方式,不符合《信息安全技术个人信息安全规范》国家标准的精神。3月17日,美国《纽约时报》报道称,Facebook上超过5000万用户信息数据被一家名为“剑桥分析”的公司泄露,美国联邦贸易委员会也展开了调查。

移动互联网安全事件的频发,暴露出当前消费者个人信息保护工作存在着不足,为加强对网络平台的全面排查,防止类似事件再次发生,切实保护公民个人信息安全,我国于2017年颁布了《中华人民共和国网络安全法》。自《网安法》正式实施以来,人大、工信、网信、网安以及消协系统,在全国各地掀起了一系列个人信息专项检查、整治行动,处罚违法违规行为的同时,也加强了社会公众对个人信息保护的重视程度。2017年12月29日,中国国家标准化管理委员会正式发布GB/T 35273-2017 《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》),并于2018年5月1日起实施。《安全规范》以国家标准的形式,明确了个人信息的收集、保存、使用、共享的合规要求,为网络运营者制定隐私政策及完善内控提供了指引。

作为依法对商品和服务进行社会监督的保护消费者合法权益的社会组织,中国消费者协会(以下简称“中消协”)致力于提升消费者对个人信息安全的重视度,积极推动App依法合规获取和使用公民个人信息的工作。2014年中消协发布了《2014年度消费者个人信息网络安全报告》,报告显示网络针对消费者个人信息“窃取”和“非法使用”的黑色产业链呈现爆发性增长态势,消费者因个人信息泄露造成的经济损失数目惊人。2016年中消协发布调查报告显示消费者对互联网信息服务的总体满意率仅为57.9%。为促进各经营者更好地遵守《中华人民共和国网络安全法》、《个人信息安全规范》等相关法律和标准规范,维护广大消费者的个人信息安全,中消协于2018年8-10月开展了App个人信息保护情况测评活动,所有App下载均在9月1-3日期间从App Store、安卓市场下载并录屏取证。根据消费者需求和专家组建议,本次活动邀请消费维权志愿者对10类(通讯社交、影音播放、网上购物、交易支付、出行导航、金融理财、旅游住宿、新闻阅读、邮箱云盘和拍摄美化)100款App(见附件1)进行现场体验,同时邀请专家对App用户协议、隐私政策进行审核,综合反映App个人信息保护中存在的问题。具体测评情况如下。

一、主要测评结果

本次被测评的10类100款App分别从App Store和安卓市场进行下载,根据测评结果显示,从App Store下载的与从安卓市场下载的App在信息的收集内容和隐私政策上并无明显差别,但常用App与中小型企业App的评分差距明显。

(一)10类App测评总体情况

根据测评结果,新闻阅读、网上购物和交易支付等类型App为总平均分相对较高的App类别,而金融理财类App得分相对较低,仅为28.91分。10类App评分的总平均分排名如图1:

图1 10类App总平均分

(二)常用App与中小企业App评分情况

为了解每类中小型企业App得分情况,每类分别针对消费者常用App和中小企业App的分数计算出平均值作对比,对比发现,各类型App中小企业App得分均显著低于消费者常用App,常用App平均分为74.78,而中小企业App是39.18。其中通讯社交、影音播放、网上购物、出行导航和旅游住宿类App平均分差距达40分以上。

中小企业App的平均得分均在各类App平均水平以下,说明目前中小企业App在个人信息保护方面问题较为突出,隐私政策缺失或设计存在明显不足。其中金融理财类App得分相对较低,为15.60分,通讯社交、影音播放、网上购物、出行导航和旅游住宿类App低于平均水平20分以上。各个类型App总平均分和中小企业App平均分见下表:

表1-1  消费者常用App与中小企业App评分对比一览表

类别

各类总平均分

消费者常用App得分

中小企业App得分

通讯社交

60.52

88.40

32.64

影音播放

57.44

82.80

32.08

网上购物

67.38

90.52

44.24

交易支付

63.60

72.96

54.24

出行导航

56.88

82.16

31.60

金融理财

28.91

42.22

15.60

旅游住宿

53.41

79.62

27.20

新闻阅读

69.82

76.60

63.04

邮箱云盘

50.56

66.88

34.24

拍摄美化

61.30

65.64

56.96

(三)各款App测评结果

根据调查结果,分别对通讯社交、影音播放、网上购物、交易支付、出行导航、金融理财、旅游住宿、新闻阅读、邮箱云盘和拍摄美化等10类100款App[1]进行了星级评价[2],具体结果如下:

1.社交通讯类App。10款通讯社交类App被评价为四星半或四星的是微信、QQ、新浪微博和陌陌;三星半的是百度贴吧;一起、妙见、宜聊、面聊、百合婚恋被评价为一星。

表1-2  通讯社交类App

2.影音播放类App。10款影音播放类App被评价为四星的是腾讯视频;三星或三星半的是爱奇艺、优酷、抖音短视频、咪咕影院、快手;橙子VR、手机电视、1905电影网、魔力视频被评价为一星。

表1-3 影音播放类App

3.网上购物类App。10款网上购物类App被评价为四星半的是京东、美团、天猫、淘宝;三星半的是拼多多;爱抢购、搜了、快乐购、名创优品、喜购被评价为一星。

表1-4 网上购物类App

4.交易支付类App。10款交易支付类App被评价为四星的是支付宝;三星或三星半的是京东金融、拉卡拉、如E支付、合众钱包;云闪付被评为二星;翼支付、瑞钱包、付费通、银嘉钱包被评价为一星。

图1-5 交易支付类App

5.出行导航类App。10款出行导航类App被评价为四星的是腾讯地图、百度地图;达到三星或三星半的是滴滴出行、高德地图、咚咚驾驶、ofo小黄车;飞嘀打车乘客、曹操专车、一起来拼车、E代驾被评价为一星。

表1-6出行导航类App

6.金融理财类App。10款金融理财类App被评价为三星或三星半的是网易彩票、中国建设银行;胜算在握、微贷网、中国工商银行、捷信快贷、随手记、同花顺、马上到账贷款、悟空理财被评价为一星。

表1-7 金融理财类App

7.住宿旅游类App。10款住宿旅游类App被评为四星的是飞猪;三星或三星半的是同程旅游、携程旅行、途牛旅游;去哪儿旅行被评为二星;票管家、百程旅行、天巡旅行、6人游、居家游被评为一星。

表1-8 住宿旅游类App

8.新闻阅读类App。10款新闻阅读类App被评为四星或四星半的是腾讯新闻、新浪新闻、今日头条、多看阅读;三星或三星半的是网易新闻、一点资讯;艾美阅读被评为二星;掌阅、聚看点、掌上阅读被评为一星。

表1-9 新闻阅读类App

9.邮箱云盘类App。10款邮箱云盘类App被评为四星或四星半的是QQ邮箱、网易邮箱;三星或三星半的是百度网盘、新浪邮箱、极邮邮箱;139邮箱、景邮箱、轻邮、2980邮箱、易联安全邮箱被评为一星。

表1-10 邮箱云盘类App

10.拍摄美化类App。10款拍摄美化类App被评价为四星的是无他相机、美颜相机、美妆相机;三星或三星半的是天天P图、美图秀秀;B612咔叽被评价为二星;POCO相机、柚子相机、Faceu激萌、美人相机被评价为一星。

表1-11 拍摄美化类App

(四)各款App信息收集情况

按照《个人信息安全规范》对于个人信息的定义和分类[3],本次测评分别对10类100款App的个人信息收集情况进行了记录,具体结果如下:

1.通讯社交类App。通讯社交类App收集的个人信息共计有13类,其中收集最多的是位置信息,占比达100%,其次是手机号、上网记录、电子邮箱等。

图2-1  通讯社交类App收集或使用个人信息情况

2.影音播放类App。影音播放类App收集的个人信息共计有11类,其中收集最多的是位置信息,占比达100%,其次是手机号、常用设备信息、个人基本资料等。

图2-2  影音播放类App收集或使用个人信息情况

3.网上购物类App。网上购物类App收集的个人信息共计有9类,其中收集最多的是位置信息和上网记录,占比达90%,其次是手机号、财产信息、电子邮箱和个人基本资料等。

图2-3  网上购物类App收集或使用个人信息情况

4.交易支付类App。交易支付类App收集的个人信息共计有12类,其中收集最多的是位置信息,占比达90%,其次是财产信息和手机号等。

图2-4  交易支付类App收集或使用个人信息情况

5.出行导航类App。出行导航类App收集的个人信息共计有14类,其中收集最多的是位置信息,占比达100%,其次是手机号、联系人信息和通信信息等。

图2-5  出行导航类App收集或使用个人信息情况

6.金融理财类App。金融理财类App收集的个人信息共计有10类,其中收集最多的是手机号,占比达100%,其次是通信信息、位置信息、身份信息和个人基本资料等。

图2-6  金融理财类App收集或使用个人信息情况

7.住宿旅游类App。住宿旅游类App收集的个人信息共计有11类,其中收集最多的是位置信息和上网记录,占比达70%,其次是常用设备信息、个人基本资料等。

图2-7  住宿旅游类App收集或使用个人信息情况

8.新闻阅读类App。新闻阅读类App收集的个人信息共计有11类,其中收集最多的是位置信息和手机号,占比达90%,其次是常用设备信息、上网记录和电子邮箱等。

图2-8  新闻阅读类App收集或使用个人信息情况

9.邮箱云盘类App。邮箱云盘类App收集的个人信息共计有12类,其中收集最多的是手机号,占比达80%,其次是位置信息、上网记录、常用设备信息和电子邮箱等。

图2-9  邮箱云盘类App收集或使用个人信息情况

10.拍摄美化类App。拍摄美化类App收集的个人信息共计有11类,其中收集最多的是手机号,占比达90%,其次是位置信息、上网记录、个人基本资料和常用设备信息等。

图2-10  拍摄美化类App收集或使用个人信息情况

二、测评问题发现

(一)收集个人信息方面存在的问题

1.10类App普遍存在涉嫌过度收集或使用个人信息的情况。

测评发现,10类App均存在涉嫌过度收集或使用用户个人信息的问题。10类100款App中,多达91款App列出的权限存在涉嫌“越界”,即存在过度收集用户个人信息的问题。其中,出行导航、金融理财、拍摄美化、通讯社交和影音播放等5类App中,每一款都涉嫌存在过度收集或使用用户信息的情况;其次是住宿旅游、网上购物、新闻阅读和邮箱云盘等4类App中,32款App涉嫌存在过度收集或使用个人信息情形;而交易支付类App中有7款涉嫌存在过度收集或使用现象。

2.位置信息、通讯录信息、手机号码等个人信息是过度收集或使用的主要内容。

测评结果显示,“位置信息”、“通讯录信息”和“手机号码”等三种个人信息是过度收集或使用个人信息最常见的内容。100款App中,59款App涉嫌过度收集了“位置信息”,过度收集或使用个人信息的情况较多,另外“通讯录信息”、“身份信息”、“手机号码”也是用户个人信息过度收集或使用较多的内容,在受测评中分别有28款、23款、22款App涉嫌存在此类情况。除此之外,用户的个人照片、个人财产信息、生物识别信息、工作信息、交易账号信息、交易记录、上网浏览记录、教育信息、车辆信息以及短信信息等均存在被过度使用或收集的现象。

图3 App涉嫌过度收集或使用个人信息情况

按照《个人信息安全规范》规定,对个人信息的收集应有明确的目的,不得超出产品功能相关目的外收集额外的个人信息,很多被测评App在隐私政策等文件中,未将其收集的个人信息与其实现的产品功能明确挂钩,其中很多个人信息与消费者通常理解的产品功能之间无明显关联,甚至明显超出合理范围。

典型案例1:聚看点App收集个人身份信息(生日、籍贯)、个人上网记录、个人财产信息、位置信息和通讯录信息,但各类信息对应的业务功能未明确说明。

典型案例2:网易彩票App收集个人财产证明、个人上网记录、通讯信息、位置信息(包括行程、住宿)等信息涉嫌过度收集或使用。

3.通讯社交、影音播放和拍摄美化类App涉嫌过度收集或使用用户位置信息的问题较普遍。

测评结果显示,各类App调用定位权限情况极为普遍,从10大类App分析,除邮箱云盘、交易支付和出行导航类App外,其他七大类App均有超过一半的App存在过度收集或使用用户位置信息的问题。其中,通讯社交和影音播放类App产生此类问题更为突出,多达10款和9款App涉嫌存在过度收集用户位置信息的现象。

出行导航、旅游住宿、网上购物类App对于用户个人位置信息具有根据定位信息提供产品和服务的合理诉求,但是对于大部分社交类、影音播放类、拍摄美化类、新闻阅读以及金融理财类App来说,调用用户的位置信息对于这些服务的提供非必需信息,存在过度收集或使用的嫌疑。

图4  各类App收集用户定位信息情况

典型案例3:天天P图收集用户的位置信息,但未说明提供的是何种相关服务。

典型案例4:咪咕视频收集用户的地理位置、手机号码、电子邮件或银行卡号等信息涉嫌过度收集。

4.通讯录信息、手机号码等个人身份信息过度收集现象值得注意。

通讯录信息、手机号码涉及用户的个人隐私,属于个人敏感信息,存在较高的商业价值,部分仅提供手机号注册方式,借助手机权限开放的便利,很容易收集手机号码及通讯录信息。以收集通讯录为例,10类App中,4款金融理财类App与3款影音播放类App收集用户通讯录信息。手机号码信息收集现象在金融理财类与出行导航类App中较为普遍,10款金融理财类App均收集手机号码,8款出行导航类App在用户注册时要求必须用手机号注册。

典型案例5:139邮箱涉嫌过度收集手机、姓名、电话号码、出生年月日、地址等信息。

典型案例6:捷信快贷收集工作信息、通讯录、个人征信信息、学历信息涉嫌过度收集,各类信息对应的业务功能未明确说明。

5.部分App涉嫌过度收集个人财产信息、生物识别信息等敏感信息。

个人财产信息、个人生物识别信息属于个人敏感信息。个人敏感信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控,可能对个人信息主体人身和财产带来重大风险。测评发现,10类App均存在收集这些信息的情况,但部分App对财产信息、可识别生物信息的收集未能向用户明确重点告知,理由含糊不清,涉嫌过度收集,其中11款App涉嫌过度收集财产信息,10款App涉嫌过度收集生物识别信息。

典型案例7:美图秀秀App涉嫌过度收集可识别生物信息、财务信息等。

(二)隐私条款存在的主要问题

2018年5月,推荐性国家标准《个人信息安全规范》正式实施,《个人信息安全规范》对于个人信息收集、保存、使用、流转等环节提出了要求,是国内在个人信息保护实践方面的重要参考标准。基于“隐私政策应公开发布且易于访问”的原则,本次活动参考《个人信息安全规范》要求对100款的隐私条款进行测评,主要问题如下:

1.47款App隐私条款内容不达标,34款App没有隐私条款。

本次测评中隐私条款各指标总分为70分,在100款中仅有一半(53款)的隐私条款得分达到及格分以上,而有13款App具备隐私条款,但得分低于及格分,另外有超过三分之一(34款)的隐私条款得分为0,即未对用户公布个人信息隐私条款。

图5  各类App隐私条款测评得分情况

测评结果显示,当前有关隐私条款存在的典型问题有:一是隐私条款笼统不清,对收集、使用个人信息的目的、方式、范围、保存期限、和地点等没有明确说明;二是不主动向用户展示隐私条款,或展示内容晦涩冗长;三是征求用户授权同意时,未给用户足够选择权;四是没有为用户提供访问、更正、删除个人信息的途径;五是大量收集与所提供服务无直接关联的个人信息,未遵守标准中最小化收集个人信息的规定。

典型案例8:中国工商银行App没有单独的隐私政策,链接中仅提供隐私保密声明。

2.59款App未明确告知收集个人信息类型,且收集敏感信息时未明确告知用户信息的用途。

在个人信息收集规则中,包括两方面内容,一是是否明确告知用户收集的个人信息类型,二是收集敏感信息时是否明确告知用户,并告知用户拒绝提供将带来的影响。测评结果显示,针对是否明确告知用户收集个人信息的这一规则,被测评App的总平均分为2.8分(满分为5分),有59款App在此选项中扣分。从10类App来看,金融理财类App在本项中得分相对较低,仅得0.9分,有8款金融理财类App在隐私条款中未告知用户收集个人信息的类型;网上购物和新闻阅读类App在此选项得分较高,分别为4.3和3.9分。

针对“是否告知用户收集敏感信息的用途及拒绝提供的影响”这一规则,测评的总平均分为2.6分(满分为5分),也未达及格分。对于敏感信息的告知情况得分相对较差的仍为金融理财类App,表现较好的同样是网购和新闻阅读类App。

表2-1 各类App个人信息收集规则情况得分

类别

个人隐私信息收集规则

明确告知收集个人信息的类型(满分:5)

明确告知收集敏感信息的用途及拒绝提供的影响(满分:5分)

通讯社交

2.5

2.5

影音播放

3.0

2.6

网上购物

4.3

4.2

交易支付

3.0

1.9

出行导航

2.7

2.8

金融理财

0.9

0.9

旅游住宿

2.3

2.5

新闻阅读

3.9

3.7

邮箱云盘

2.9

2.3

拍摄美化

2.7

2.5

总平均分

2.8

2.6

典型案例9:支付宝App未在收集的信息种类中注明个人敏感信息,且未对核心和附加功能进行区分,导致用户易认为所收集的信息均为必需项。

典型案例10:中国建设银行App收集个人敏感信息时,虽然概括性地告知了敏感信息的种类和使用的方式,但未告知拒绝提供将具体影响哪些功能。

3.70款App未明确告知用户个人信息的保存期限和停止运营的情形。

在个人信息保存规则里,《个人信息安全规范》规定了四方面的内容,分别为告知用户数据保存期限、告知用书数据保存地域、告知用户安全事件应急处理措施、告知用户停止运营的情形。

对于告知个人信息的保存期限,100款总平均分为1.2分(满分为3分),未达及格分,其中有70款App在此选项扣分。从不同类别来看,邮箱云盘类App在此项得分相对较低,为0.5分;新闻阅读和拍摄美化类App表现较好,得分均为1.9分。在被测评的100款App中,有48款隐私条款中未明确提及有关信息保存期限的相关事宜,另有部分App隐私条款对个人信息存储期限的表达是含糊的,这些App有的提到会在服务期间存储信息,在用户注销后删除信息,但没有给出具体的时间。

对于告知个人信息的存放地域,100款App总平均分为1.4分(满分为3分),也未达到及格分,其中有67款App在此项扣分。其中,交易支付类App得分相对较低,影音播放、出行导航和新闻阅读类App得分较高,得分都为1.8分。

对于告知个人信息安全事件应急处理措施,100款App总平均分为1.5分(满分为3分),其中有63款App在此选项扣分。从大类看,金融理财类App在此项得分相对较低,新闻阅读和网上购物类App得分较高。

对于告知用户停止运营的情形,100款App总平均分为0.3分(满分为1分),其中100款受测评App中有66款在此项得分为0,未明确提到用户停止运营的情形。

表2-2 各类App个人信息保存规则情况得分

类别

个人信息保存规则

告知数据保存期限(满分:3)

告知数据存放地域(满分:3分)

告知安全事件应急处理措施(满分:3分)

告知停止运营的情形(满分:1分)

通讯社交

0.9

1.5

1.5

0.4

影音播放

1.6

1.8

1.8

0.6

网上购物

1.4

1.4

2.0

0.5

交易支付

0.7

0.5

0.9

0.3

出行导航

1.0

1.8

1.7

0.5

金融理财

0.6

0.6

0.6

0.0

旅游住宿

1.4

1.4

1.5

0.4

新闻阅读

1.9

1.8

2.2

0.4

邮箱云盘

0.5

1.7

1.7

0.1

拍摄美化

1.9

1.7

1.5

0.1

总平均分

1.2

1.4

1.5

0.3

4. 57款App未明确告知用户个人信息使用方式。

在个人信息使用规则方面,被测评App的平均得分为2.8分(满分为5分),“告知使用个人信息的规则”这一规则有57款App扣分。其中,金融理财类App得分相对较低,仅为0.8分,大部分金融理财类App未明确告知使用用户个人信息的规则;影音播放类App在此项得分为3.9分,相对较高。

5. 42款App对外提供个人信息时不会单独告知并征得用户同意。

有关对外提供用户信息的规则,《个人信息安全规范》提到,“向他人提供个人信息(包括共享、转让、公开披露个人信息等)时,告知提供个人信息的目的、涉及的个人信息和接收方类型,以及所承担的相应法律责任等”,“当个人信息控制者发生收购、兼并、重组等变更时,个人信息控制者应向个人信息主体告知有关情况,重新取得个人信息主体的明示同意”。针对向他人提供用户个人信息时是否明确告知用户这一打分项,被测评App的总平均分为2.0分(满分为4分),其中有42款未明确提到此项条款得分为0,另有57款虽然提到但未明确说明,仅有1款在此项得分为满分。针对个人信息控制者发生变更时,是否明确告知用户并获得同意这一选项,测评的平均得分为1.6分(满分为4分),其中超过一半的App此项得分为0,即隐私条款中未提及相关内容。从各类看,金融理财类App和拍摄美化类App此项得分相对较低,新闻阅读类与影音播放类App得分相对较高。

表2-3 各类App对外提供信息规则情况得分

类别

对外提供信息规则

向他人提供个人信息时,明确告知用户(满分:4)

个人信息控制着发生收购、兼并、重组时,明确告知用户并获得同意(满分:4分)

通讯社交

1.7

2.0

影音播放

2.3

2.4

网上购物

2.4

0.9

交易支付

2.4

1.2

出行导航

2.2

2.1

金融理财

0.7

0.7

旅游住宿

1.4

1.5

新闻阅读

2.6

2.5

邮箱云盘

2.3

2.1

拍摄美化

2.2

0.7

总平均分

2.0

1.6

典型案例11:ofo小黄车向关联公司及第三方分享相关信息时,未单独征得用户同意,且对外提供行为未体现其必要性,其存在的风险不得而知。

典型案例12:美图秀秀向第三方提供个人信息时,未说明双方所承担的相应责任。

6.  57款和96款App未明确告知用户如何更正个人信息和撤回同意。

在用户权利方面,共包括五方面的测评内容,一是告知用户访问信息的方式,二是告知删除个人信息的方式,三是告知更正个人信息的方式,四是告知用户撤回同意的方式,五是告知用户注销账号的方式。测评数据显示,上述五方面用户权利内容的选项测评总平均分分别为2.6、2.4、2.5、1.4和1.5分,这五项得分均未达到及格分。从各大类看,金融理财类App在用户权利方面表现相对较差,在“告知访问个人信息的方式”、“告知删除个人信息的方式”两个测评项中,新闻阅读类App得分均相对较高,在“告知更正个人信息方式”项中得分相对较高的为交易支付类App,而“告知用户撤回同意的方式”与“告知用户注销账号的方式”两项得分相对较高的是拍摄美化类App。

表2-4 各类App针对用户权利条款得分

类别

用户权利规则

告知访问信息的方式(满分:5)

告知删除个人信息的方式(满分:5分)

告知更正个人信息的方式(满分:5分)

告知用户撤回同意的方式(满分:3分)

告知用户注销账号的方式(满分:3分)

通讯社交

2.5

2.0

2.0

1.2

1.2

影音播放

3.0

2.5

3.0

0.9

1.4

网上购物

2.5

2.5

2.5

1.5

1.7

交易支付

3.5

2.5

3.5

1.5

2.1

出行导航

2.6

2.9

2.3

1.4

1.7

金融理财

1.0

0.9

1.0

0.5

0.5

旅游住宿

2.5

2.1

2.5

1.2

1.5

新闻阅读

3.9

3.6

3.2

2.2

1.9

邮箱云盘

2.3

2.1

1.9

1.1

0.9

拍摄美化

2.7

2.9

2.9

2.4

2.4

总平均分

2.6

2.4

2.5

1.4

1.5

典型案例13:爱抢购App不支持账号退出功能,申请手机解绑需向客服申请,方法过于繁琐。

典型案例14:ofo小黄车App用户可以更正基本信息,但未向用户明确说明撤回同意、删除更正个人信息的方式,联系客服的方式不够便利,且未说明响应时间。

典型案例15:新浪新闻App不支持账户注销功能。

7.  41款App隐私条款未在明显位置公示,52款App的条款变更时未及时通知用户。

对于隐私条款公开状态的测评,包括公开隐私条款的要求和条款生效和变更后通知的要求。针对是否公开隐私条款这一打分项,测评的总平均分为1.8分(满分为3分),刚达及格分,其中,有38款App未公开隐私条款,此项得分为0。从各类看,网上购物类App公开隐私条款方面表现相对较好,得分为2.7分,金融理财类App得分相对较低,得分为0.6分。针对条款生效和变更通知用户这一要求,被测评App总平均分为1.6分,有52款在此项扣分。从类别来看,新闻阅读类App得分相对较高,金融理财类App得分相对较低。

表2-5 各类App隐私条款公开状态得分

类别

条款状态规则

公开隐私条款(满分:3)

条款生效和变更后通知(满分:3分)

通讯社交

1.4

1.5

影音播放

1.7

1.8

网上购物

2.7

2.1

交易支付

2.1

2.1

出行导航

1.8

1.5

金融理财

0.6

0.6

旅游住宿

1.5

1.5

新闻阅读

2.6

2.4

邮箱云盘

1.8

1.7

拍摄美化

2.1

1.2

总平均分

1.8

1.6

8. 79款App隐私政策存在默认同意或未提示阅读等问题。

测评结果显示,“征得用户同意的要求”的测评平均分为3.8分(满分为8分),未达及格分;“征得未成年人同意的要求”这一打分项得分为1.0分(满分为2分),也未达及格分。针对是否征得用户同意这一打分项,有79款扣分;仅有21款的隐私条款是在明确征得用户同意后收集相关信息,而大部分App存在默认同意隐私条款的现象,并未征得用户同意。从类别来看,金融理财和交易支付类App默认同意隐私条款的现象相对较严重,网购类App在征得用户同意方面得分相对较高。针对未成年用户,“征得未成年人同意的要求”这一打分项有58款App扣分;其中金融理财类App得分相对较低,新闻阅读类App得分相对较高。

表2-6 各类App隐私条款征得用户同意情况得分

类别

征得用户同意规则

征得用户同意的要求(满分:8)

征得未成年人同意的要求(满分:2分)

通讯社交

4.0

1.0

影音播放

4.4

1.2

网上购物

5.4

1.2

交易支付

1.9

1.4

出行导航

4.1

1.2

金融理财

1.6

0.2

旅游住宿

2.6

1.0

新闻阅读

5.1

1.6

邮箱云盘

4.0

0.6

拍摄美化

4.7

0.8

总平均分

3.8

1.0

典型案例16:e代驾隐私条款存在于用户协议中,没有独立成文的隐私政策,且为默认勾选,未主动提示用户阅读,极易被用户忽略。

9. 部分App存在“自行承担风险”等不合理免责条款。

测评结果显示,除通讯社交、影音播放和交易支付三类App外,其他类App中的隐私条款均存在不合理免责条款的现象,其中金融理财类和邮箱云盘类App不合理条款问题较突出。如,金融理财类App某些有出现“自愿承担风险,个人承担一切责任”的条款,邮箱类App某些有出现“对于外部链接不承担责任”、“附赠产品免责”等不合理的免责条款。

典型案例17:悟空理财App存在“您须对您本人在使用本网站所提供的服务时的一切行为、行动(不论是否故障)负全部责任”等不合理免责条款。

典型案例18:爱抢购App存在“用户必须为自己账号下的一切行为负责”和用户需承担服务内容变更、暂停、终止的风险等不合理免责条款。

典型案例19:去哪儿网App关于“所有去哪儿网上提供的服务都来在第三方合作伙伴”的表述存在推脱嫌疑,如广告服务应为网站本身所提供的,此为不合理的免责条款。

经典案例20:拼多多App对使用任一服务即表示同意本政策的所有内容,以及首次使用即使未签署协议也视为同意的条款存在不合理性。

三、思考和建议

《个人信息安全规范》对于个人信息收集、保存、使用、流转等环节提出了明确要求,是个人信息保护在具体实践中的重要推荐性国家标准。当前,大力宣传和落实相关规范要求,对于提高消费者个人信息安全保护意识具有十分重要的作用。

从本次测评情况来看, 10类App中大多数App仅仅达到及格水平甚至低于及格水平,而且各类型App的差距明显,尤其是中小企业App问题较为突出,存在过度收集信息、无隐私条款、条款不完整以及不合理格式条款等问题,显示出我国当前在保护消费者个人信息形势的严峻性,应当引起相关部门的高度重视。为督促各类App提升消费者个人信息安全保护意识和水平,促进我国个人信息安全环境的持续优化,中国消费者协会建议:

(一)进一步提高立法立规水平,强化对消费者个人信息的法律制度保护。

在测评活动中,一方面测评所依据的相关规范的法律层级较低,另一方面有关部门出台的相关管理规定可操作性不强,测评反映出各类App落实隐私条款要求方面存在较大差异,隐私条款不完善或缺失情况严重。建议有关部门综合考虑当前App隐私保护方面的严峻形势,加强隐私保护立法,落实具体措施,提高立法立规水平,为消费者个人信息安全提供更好的法律和制度保护。

(二)督促App优化隐私政策,提升服务消费者的透明度

1.强化App进行隐私条款明示。本次测评结果显示,部分App软件隐私条款很隐蔽,消费者很难找到,希望各App在消费者注册或登录之前弹窗提示隐私条款或隐私条款的核心内容,引导消费者主动阅读。如隐私条款有更新,可采用单独通知或再次弹窗提示用户阅读并征得用户同意。

2.收集个人信息征得消费者同意,不使用默认选项。测评发现,一些App在征得用户同意的时候,存在默认勾选隐私政策、默认用户不反对即视为同意,以及默认收集个人信息时没有采取最小化方式等情形。建议各App经营者,一是主动引导用户阅读和理解隐私政策的核心内容,不使用默认同意的选项,变默认勾选为消费者主动勾选;二是根据的核心功能和扩展功能明示个人信息收集范围,给予消费者知情权和选择权;三是应尽可能少的收集消费者个人信息,并采取有效措施,保护消费者个人信息安全。

3.全面审核隐私条款,消除不公平免责条款。本次测评发现,一些在隐私条款中采用格式条款,如“只要下载使用便视为已经仔细阅读其免责条款并完全同意”、“被黑客攻击等个人信息安全的问题用户自行负责”等,这些条款明显加大了消费者的责任,减轻了App经营者的义务,属于不公平格式条款,应当予以纠正。建议各App对照相关法律规定要求自行自查,主动删除或修改相关条款,政府有关部门加大执法力度,督促整改落实。

(三)应用商店履行平台审核责任,强化App隐私条款的明示公示义务

测评结果表明,目前各类App无论是否有隐私条款都可以在应用商店中下载使用,各下载平台并未对App隐私政策公开或内容要求进行审核,App开发商管理、App应用商店管理、App投诉管理以及违规处罚机制等各个环节均有待进一步加强。建议应用商店履行平台审核责任,强化App隐私条款的明示公示义务,对于没有隐私条款的应当及时下架,并提醒消费者谨慎下载使用,应当要求相关隐私条款内容不得损害消费者合法权益,不得保留不公平格式条款。

(四)强化执法与教育警示,提高消费者App使用信心

在测评活动前开展的消费者调查中,我们发现消费者对信息安全保护知识了解较少,反映个人遇到信息骚扰或信息泄露的情况较多,特别是面对个人信息遭受安全问题后多数处于无助状态。建议:一是相关部门进一步完善消费者个人信息安全问题的投诉举报制度,强化部门沟通合作,严肃查处侵害消费者合法权益的典型问题,发挥典型案例的教育警示作用,提高应用商店及App开发管理者的诚信守法意识;二是全社会强化个人信息保护的自我忧患意识,多形式开展教育引导活动,大力提醒消费者下载App要通过审核机制更严格的应用商店平台,并认真阅读的应用权限和用户协议或隐私政策,不安装来历不明的App,使用过程中一旦发现信息泄露,要留存相关证据,及时向有关部门投诉举报,依法主动维权。

打开APP阅读更多精彩内容