5月26日,网信办官网发布《APP违法违规收集使用个人信息专项治理报告(2019)》。报告显示,从2019年3月起,APP专项治理工作组根据网民举报等情况,分六批次对下载量大、用户常用的千余款 APP进行了评估。评估发现违法违规收集使用个人信息问题共计6976个,向256款APP的运营者通报问题,督促其完成1267个重点问题的整改工作,建议有关监管部门下架未落实整改要求 APP共11款。同时,督促有关APP运营者整改的工作还在持续进行。
报告还发现,企业个人信息保护能力显著提高,目前已有66%的APP隐私政策透明度为“高”或“较高”,同时,仅有1款APP账号注销“困难”。同时,还有的APP在过度收集个人信息时使用加密数据包,有的APP对测试环境进行识别,以规避检测工具发现其异常传输行为。
四部委联合开展APP 违法违规收集使用个人信息专项治理
2019年1月,中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布《关于开展 APP 违法违规收集使用个人信息专项治理的公告》,在全国范围组织开展 APP 违法违规收集使用个人信息专项治理,并成立 APP 违法违规收集使用个人信息专项治理工作组。
此后,中央网信办、市场监管总局联合推动建立 APP个人信息安全认证制度。由具备资质的认证机构依据相关国家标准对 APP 收集、存储、传输、使用个人 信息等活动进行评价,符合要求后颁发安全认证证书并允许使用认证标识,目前认证试点工作已经启动,首批试点对象包括 15 家企业的28款 APP。
工业和信息化部开展“APP 侵害用户权益行为专项整治行动”,重点整治违规收集使用用户个人信息等8类问题行为,推动多款 APP 完成自查整改,对 236 款 APP 运营者下发整改通知书,公开通报56款 APP、下架3款 APP。
公安部深入开展“净网 2019”专项行动,集中整治 APP 违法违规收集使用个人信息行为,健全完善发现、调查、查处、宣传等工作体系和行政执法规范,继续依法严厉打击侵犯公民个人信息违法犯罪行为,共检测评估 3.1 万余款 APP,累计调查核查相关 APP 违法违规线索3129 条,依法整改2090款 APP,依法查处 1121 款 APP,集中曝光100 款存在违法违规收集使用个人信息行为的 APP。
市场监管总局开展“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动,共立案查处各类侵害消费者个人信息案件1474 件,查获涉案信息369万余条,罚没款1946万余元;组织执法联动4225次,开展行政约谈3536次。
四类问题发现率均有下降
报告显示,通过六批次评估发现的问题比例总体呈现逐批下降趋势。“无隐私政策”、“一次性打开多个权限”、“申请权限未明示目的”三类问题降幅明显。
其中,下降幅度最大的“一次性打开多个权限”问题是指 APP 将 targetSdkVersion 参数值设置小于23,进而导致一次性要求用户打开所有申请的可收集个人信息的权限,否则不能安装使用。至 2019 年底,该问题在常用APP中已经趋于归零。
随着第五批、第六批评估范围的逐步扩大,有个别下载量稍低的 APP 还是存在“无隐私政策”、“申请权限未明示目的”等问题。就“收集与业务功能无关的个人信息”问题来看,由于存在界定“无关”范围的复杂性等问题,该问题目前发现比例较少,且处于波动阶段,应当作为后续治理工作的关注重点。
同时,六类举报问题中,“强制或频繁索要无关权限”、“无隐私政策或隐私政策晦涩难懂”、“默认捆绑功能并一揽子授权”三类问题举报量呈现下降趋势。“无法注销账号”、“无法删除或更正个人信息”、“超范围收集与功能无关个人信息”三类问题举报量呈现波动情形。
APP账号注销更加容易
报告基于研究机构提供的 2018 年、2019 年100款 APP 隐私政策透明度评估数据发现,2019年度100款 App 的隐私政策透明度较 2018 年度有大幅提升,平均分从41.1分跃升为73.93 分,2019 年度隐私政策透明度评分为“高”、“较高”的 APP 占比相比上一年增加了 52.5百分点。
从100款 APP 所在的10个行业来看,2019 年度隐私政策透明度得分有显著的提高,分差最小的体育健身类也上升了17.1分。其中得分显著提高的是社交交友类和移动金融类,均上升了40分左右。
基于研究机构提供的2018年、2019年20款 APP 账号注销难易度测评数据,发现APP 账号注销更加简单了。2018年,有16款APP 账号注销分布在“困难”和“无法注销”区间,而 2019 年仅有1款 App 账号注销为“困难”,其他难易度为“容易”或“中等”。
有APP存在规避检查的行为
报告还表示,从检测评估情况来看,有的 APP 在过度收集个人信息时使用加密数据包,有的 APP 对测试环境进行识别,以规避检测工具发现其异常传输行为,还有的APP绕过移动设备操作系统权限控制机制,采用读取外部存储区方式获取设备唯一标识符。当 APP 使用上述方式,现有检测手段发现超范围收集个人信息问题和举证的难度会加大不少。
因此,进一步加强深度检测技术研究,才可能在后续持续监督的过程中占据主动权,有效震慑违法违规行为。同时,建议加强与该领域研究能力突出的高校、科研院所、企事业单位的合作,形成科研成果,并在相关检测工作过程中予以转化,提升检测效率和质量。
文/北京青年报记者 温婧