未明确泄露个人信息的告知义务及需要承担的法律责任；
未充分明示个人信息收集使用规则；
违反非必要原则 ， 超范围收集信息；
未提供投诉举报渠道；
强制用户使用推送功能；
频繁申请权限；
用户注销后 ， 未按规定删除用户信息 。
2. 违规案例
1）默认同意隐私政策
根据《个人信息安全规范》要求 ， 收集个人敏感信息时 ， 应取得个人信息主体的明示同意 ， 确保其在完全知情的基础上自愿给出具体、清晰、明确的愿望表示 ， 并且允许个人信息主体选择是否提供或同意自动采集 。

本文插图
评测结果显示 ， 包括脉脉、映客等5款社交类APP存在默认同意隐私政策的问题 。
早在2018年支付宝发布年度账单 ， 随即刷屏社交圈 。 然而在账单首页 ， 默认勾选的“我同意《芝麻服务协议》” ， 国家网信办就此约谈支付宝和芝麻信用的相关负责人 ， 指出其收集使用个人信息的方式 ， 不符合《个人信息安全规范》国家标准的要求 。
2）频繁申请权限信息
根据《信息安全技术 移动互联网应用程序（APP）收集个人信息基本规范》第 4 节要求 ， APP 运营者不应频繁（如每 48h 超过一次）征求个人信息主体同意使用该类型服务 。

本文插图
评测结果显示 ， 包括积目、陌陌等7款APP存在频繁申请权限信息的问题 。
去年12月 ， 工信部通报首批侵害用户权益行为的App ， 包括QQ、新浪体育、小米金融等41款知名软件 ， 主要存在问题就包括频繁申请权限信息 。
3）未明确泄露个人信息的告知义务及需要承担的法律责任
根据网络安全法规定 ， 网络运营者泄漏、损坏、丢失个人信息的告知和报告义务；而且如果泄漏造成了损害 ， 则需要依法承担民事责任 。
评测显示 ， 对于信息泄漏给用户造成损害Soul、百合婚恋等4款APP在隐私政策协议中没有明确平台应承担的民事责任 。
4）反非必要原则 ， 超范围收集信息
根据 GB/T 35273《信息安全技术 个人信息安全规范》5.2 节要求 ， 收集个人信息需遵循最小必要原则 ， 仅收集与其提供的服务直接相关的个人信息；《信息安全技术 移动互联网应用程序（APP）收集个人信息基本规范》第 4 节要求 ， APP 运营者不应收集不可变更的设备唯一标识（如 IMEI 号、MAC 地址等） ， 用于保障网络安全或运营安全的除外 。

本文插图
评测显示 ， 探探、uki、伊对等7款APP存在反非必要原则 ， 超范围收集信息的问题 ， 其中探探在不授权手机ID等非必要原则信息的情况下无法使用 。
《信息安全技术 移动互联网应用程序（APP）收集个人信息基本规范》针对社交类型的 APP 明确列出了最小必要信息收集范围 。
表 2：社交类app的最小必要信息

本文插图
信息来源：《信息安全技术 移动互联网应用程序（APP）收集个人信息基本规范》
三、10款社交APP可能获取的手机权限与个人信息
移动互联网的基本盈利模式 ， 是APP过度收集用户信息的根本原因 ， 除用于其自身业务场景外 ， 个别违规平台会把超范围获取的数据在未经用户同意的情况下 ， 授权给相关利益方 ， 用于精准营销、大数据杀熟、诈骗等 ， 对用户的生活造成了侵扰 ， 甚至财产造成损失 。
用户在个人信息泄露情况发生后 ， 多数主动维权意识不高 。 即便有自我保护意识 ， 但不知如何有效地保护自己 ， 更没有认真阅读App的应用权限和用户协议或隐私政策说明 ， 了解操作注意事项 ， 所授权项目、信息等 。

• 「空调」集中空调怎样用得安全？杭州检查5431家公共场所
• 黑产利益链：5000多万条个人信息在“暗网”倒卖
• [监管局]昌平区市场监管局开展大型游乐设施安全隐患排查整治
• 当当网回应招聘“高级运营经理”职位不看北京人东北人：从未发布过此类招聘信息
• 手机大魔王用权限管理来保护你的隐私安全，安卓手机安装APP后先别打开
• 上游新闻渝北区翠苹路社区深入排查消防安全隐患，夏季火灾高发期来临
• 『表扬』江西省食品安全考核获A级通报表扬
• 『警示』【张家界应急】张家界市召开安全生产集体警示约谈会
• 「道路交通」阳信县公安局举办道路交通安全管理工作培训班
• 「省食品」陕西省开展食品安全领域三大提升行动