中国消费者报 |启动弹窗索要无关权限持续多发 APP仍有“七宗罪” 12月20日

12月20日，国家计算机网络应急技术处理协调中心点名存在隐私不合规行为的17款APP ，其中包括哈啰出行、和讯财经等在内的15款APP未向用户明示申请的全部隐私权限。
一年来，多部门联手依法对APP侵犯个人隐私问题进行集中治理。日前，国家计算机网络应急技术处理协调中心、中国网络空间安全协会基于APP收集使用个人信息监测平台APP举报受理平台的监测数据，发布《APP违法违规收集使用个人信息监测分析报告》(以下简称《报告》) ，指出目前强制收集非必要个人信息问题明显减少，但启动弹窗索要无关权限仍多发；超范围收集个人信息行为治理成效初显，但仍须紧盯敏感权限声明超出必要范围等7类隐蔽问题。
弹窗索要无关权限仍多发
细心的用户可能会发现，诸如微信、前程无忧51Job等头部APP的最新版本，启动时已不再索要存储、设备等无关权限。据《报告》统计，目前全国主流安卓应用商店在架APP的去重后总数为112万款，而APP强制要求收集个人信息是用户普遍反感的违规行为之一。今年以来， APP强制要求用户打开非必要权限、强制要求用户填写非必要个人信息等典型违规行为明显减少，监测发现仅有1%的中小应用残留此问题。
《报告》显示，尽管很多APP不再强制收集个人信息，但仍存在首次启动时弹窗索要多个无关权限的问题，由此产生的投诉举报也比较集中，用户对此较为反感。据国家计算机网络应急技术处理协调中心相关人士介绍，目前量大面广的APP已将启动时索要权限改为在用户触发特定功能时再索要对应权限，改善了用户体验。监测显示，在华为、小米、vivo、OPPO、腾讯等主流品牌的应用商店近3个月新上架的应用中，每月平均有近1000款应用存在此问题。
由于APP数量非常多，推陈出新频率高，而且APP的个人信息收集行为和方式也在不断变化，监管部门很难做到全覆盖监管，很容易出现覆盖范围过窄的情况。 TalkingData法务合规负责人兼数据合规官葛梦莹对《中国消费者报》采访人员说，针对海量APP收集、使用个人信息的情况，《个人信息保护法》提出了从关键环节入手的监管思路，即首次区分了一般的个人信息处理者和充当‘守门人’角色的操作系统、应用程序分发平台、大型APP平台等个人信息处理者(以下简称超大平台) 。这其中就包括了上述应用商店，因为应用商店是众多APP进行个人信息收集处理的必要通道，从应用商店这个关键环节入手，对其提出增强个人信息保护的要求，例如要求超大平台建立外部监督委员会，主动引入对内部信息处理行为的社会监督，主动承担对平台生态中各方个人信息处理行为的监督，并发布社会责任报告等多种手段来杜绝APP强制收集非必要个人信息的问题。
超限收集含7类隐蔽问题
互联网时代，大家都有被精准推送的体验。采访中，中国广告协会法律咨询委员会常务委员杜东为对《中国消费者报》采访人员说，由于手机屏幕空间有限，平台算法必须在海量信息中找到用户感兴趣和有价值的信息。通过完全自动化的决策过程，推荐系统在自动分析、评估个人行为习惯、兴趣爱好或者经济、健康、信用状况后进行决策，并向用户展示。
《报告》显示，部分APP出于精准用户画像、推广营销等商业目的，想方设法地超出实现功能的必要范围，进而收集更多个人信息。目前，超限收集个人信息主要包括7类隐蔽问题：
敏感权限声明超出必要范围。少量APP在未提供实际功能的情况下，仍然声明了相关敏感权限，存在热更新后调用和SDK(软件开发工具包)调用权限的风险。
权限索取超出必要范围。一些APP超出当前功能需要索取权限，例如，有的电话拦截功能只需3项敏感权限即可实现，而应用却索要了短信、存储、通讯录等7项敏感权限。
收集数据的敏感性超出必要范围。一些APP在使用低敏感性数据即可实现功能的情况下，仍然收集高敏感性数据。例如，普通的天气查询功能只需要城市或地区级的粗略位置信息即可，但有的天气查询APP却超范围地索要精准位置等敏感个人信息。
收集数据的具体内容超出必要范围。一些APP在仅需部分数据内容即可实现功能的情况下，收集了全部内容。例如，查找好友功能只需匿名化后的手机号码即可实现，不应超范围地收集通讯录联系人的姓名、邮箱、地址等内容。