中国消费者报 |启动弹窗索要无关权限持续多发 APP仍有“七宗罪”

12月20日 , 国家计算机网络应急技术处理协调中心点名存在隐私不合规行为的17款APP , 其中包括哈啰出行、和讯财经等在内的15款APP未向用户明示申请的全部隐私权限 。
一年来 , 多部门联手依法对APP侵犯个人隐私问题进行集中治理 。 日前 , 国家计算机网络应急技术处理协调中心、中国网络空间安全协会基于APP收集使用个人信息监测平台APP举报受理平台的监测数据 , 发布《APP违法违规收集使用个人信息监测分析报告》(以下简称《报告》) , 指出目前强制收集非必要个人信息问题明显减少 , 但启动弹窗索要无关权限仍多发;超范围收集个人信息行为治理成效初显 , 但仍须紧盯敏感权限声明超出必要范围等7类隐蔽问题 。
 弹窗索要无关权限仍多发
细心的用户可能会发现 , 诸如微信、前程无忧51Job等头部APP的最新版本 , 启动时已不再索要存储、设备等无关权限 。 据《报告》统计 , 目前全国主流安卓应用商店在架APP的去重后总数为112万款 , 而APP强制要求收集个人信息是用户普遍反感的违规行为之一 。 今年以来 , APP强制要求用户打开非必要权限、强制要求用户填写非必要个人信息等典型违规行为明显减少 , 监测发现仅有1%的中小应用残留此问题 。
《报告》显示 , 尽管很多APP不再强制收集个人信息 , 但仍存在首次启动时弹窗索要多个无关权限的问题 , 由此产生的投诉举报也比较集中 , 用户对此较为反感 。 据国家计算机网络应急技术处理协调中心相关人士介绍 , 目前量大面广的APP已将启动时索要权限改为在用户触发特定功能时再索要对应权限 , 改善了用户体验 。 监测显示 , 在华为、小米、vivo、OPPO、腾讯等主流品牌的应用商店近3个月新上架的应用中 , 每月平均有近1000款应用存在此问题 。
由于APP数量非常多 , 推陈出新频率高 , 而且APP的个人信息收集行为和方式也在不断变化 , 监管部门很难做到全覆盖监管 , 很容易出现覆盖范围过窄的情况 。 TalkingData法务合规负责人兼数据合规官葛梦莹对《中国消费者报》采访人员说 , 针对海量APP收集、使用个人信息的情况 , 《个人信息保护法》提出了从关键环节入手的监管思路 , 即首次区分了一般的个人信息处理者和充当‘守门人’角色的操作系统、应用程序分发平台、大型APP平台等个人信息处理者(以下简称超大平台) 。 这其中就包括了上述应用商店 , 因为应用商店是众多APP进行个人信息收集处理的必要通道 , 从应用商店这个关键环节入手 , 对其提出增强个人信息保护的要求 , 例如要求超大平台建立外部监督委员会 , 主动引入对内部信息处理行为的社会监督 , 主动承担对平台生态中各方个人信息处理行为的监督 , 并发布社会责任报告等多种手段来杜绝APP强制收集非必要个人信息的问题 。
超限收集含7类隐蔽问题
互联网时代 , 大家都有被精准推送的体验 。 采访中 , 中国广告协会法律咨询委员会常务委员杜东为对《中国消费者报》采访人员说 , 由于手机屏幕空间有限 , 平台算法必须在海量信息中找到用户感兴趣和有价值的信息 。 通过完全自动化的决策过程 , 推荐系统在自动分析、评估个人行为习惯、兴趣爱好或者经济、健康、信用状况后进行决策 , 并向用户展示 。
《报告》显示 , 部分APP出于精准用户画像、推广营销等商业目的 , 想方设法地超出实现功能的必要范围 , 进而收集更多个人信息 。 目前 , 超限收集个人信息主要包括7类隐蔽问题:
敏感权限声明超出必要范围 。 少量APP在未提供实际功能的情况下 , 仍然声明了相关敏感权限 , 存在热更新后调用和SDK(软件开发工具包)调用权限的风险 。
权限索取超出必要范围 。 一些APP超出当前功能需要索取权限 , 例如 , 有的电话拦截功能只需3项敏感权限即可实现 , 而应用却索要了短信、存储、通讯录等7项敏感权限 。
收集数据的敏感性超出必要范围 。 一些APP在使用低敏感性数据即可实现功能的情况下 , 仍然收集高敏感性数据 。 例如 , 普通的天气查询功能只需要城市或地区级的粗略位置信息即可 , 但有的天气查询APP却超范围地索要精准位置等敏感个人信息 。
收集数据的具体内容超出必要范围 。 一些APP在仅需部分数据内容即可实现功能的情况下 , 收集了全部内容 。 例如 , 查找好友功能只需匿名化后的手机号码即可实现 , 不应超范围地收集通讯录联系人的姓名、邮箱、地址等内容 。