5月26日,網信辦官網發佈《APP違法違規收集使用個人信息專項治理報告(2019)》。報告顯示,從2019年3月起,APP專項治理工作組根據網民舉報等情況,分六批次對下載量大、用户常用的千餘款 APP進行了評估。評估發現違法違規收集使用個人信息問題共計6976個,向256款APP的運營者通報問題,督促其完成1267個重點問題的整改工作,建議有關監管部門下架未落實整改要求 APP共11款。同時,督促有關APP運營者整改的工作還在持續進行。
報告還發現,企業個人信息保護能力顯著提高,目前已有66%的APP隱私政策透明度為“高”或“較高”,同時,僅有1款APP賬號註銷“困難”。同時,還有的APP在過度收集個人信息時使用加密數據包,有的APP對測試環境進行識別,以規避檢測工具發現其異常傳輸行為。
四部委聯合開展APP 違法違規收集使用個人信息專項治理
2019年1月,中央網信辦、工業和信息化部、公安部、市場監管總局四部門聯合發佈《關於開展 APP 違法違規收集使用個人信息專項治理的公告》,在全國範圍組織開展 APP 違法違規收集使用個人信息專項治理,併成立 APP 違法違規收集使用個人信息專項治理工作組。
此後,中央網信辦、市場監管總局聯合推動建立 APP個人信息安全認證制度。由具備資質的認證機構依據相關國家標準對 APP 收集、存儲、傳輸、使用個人 信息等活動進行評價,符合要求後頒發安全認證證書並允許使用認證標識,目前認證試點工作已經啓動,首批試點對象包括 15 家企業的28款 APP。
工業和信息化部開展“APP 侵害用户權益行為專項整治行動”,重點整治違規收集使用用户個人信息等8類問題行為,推動多款 APP 完成自查整改,對 236 款 APP 運營者下發整改通知書,公開通報56款 APP、下架3款 APP。
公安部深入開展“淨網 2019”專項行動,集中整治 APP 違法違規收集使用個人信息行為,健全完善發現、調查、查處、宣傳等工作體系和行政執法規範,繼續依法嚴厲打擊侵犯公民個人信息違法犯罪行為,共檢測評估 3.1 萬餘款 APP,累計調查核查相關 APP 違法違規線索3129 條,依法整改2090款 APP,依法查處 1121 款 APP,集中曝光100 款存在違法違規收集使用個人信息行為的 APP。
市場監管總局開展“守護消費”暨打擊侵害消費者個人信息違法行為專項執法行動,共立案查處各類侵害消費者個人信息案件1474 件,查獲涉案信息369萬餘條,罰沒款1946萬餘元;組織執法聯動4225次,開展行政約談3536次。
四類問題發現率均有下降
報告顯示,通過六批次評估發現的問題比例總體呈現逐批下降趨勢。“無隱私政策”、“一次性打開多個權限”、“申請權限未明示目的”三類問題降幅明顯。
其中,下降幅度最大的“一次性打開多個權限”問題是指 APP 將 targetSdkVersion 參數值設置小於23,進而導致一次性要求用户打開所有申請的可收集個人信息的權限,否則不能安裝使用。至 2019 年底,該問題在常用APP中已經趨於歸零。
隨着第五批、第六批評估範圍的逐步擴大,有個別下載量稍低的 APP 還是存在“無隱私政策”、“申請權限未明示目的”等問題。就“收集與業務功能無關的個人信息”問題來看,由於存在界定“無關”範圍的複雜性等問題,該問題目前發現比例較少,且處於波動階段,應當作為後續治理工作的關注重點。
同時,六類舉報問題中,“強制或頻繁索要無關權限”、“無隱私政策或隱私政策晦澀難懂”、“默認捆綁功能並一攬子授權”三類問題舉報量呈現下降趨勢。“無法註銷賬號”、“無法刪除或更正個人信息”、“超範圍收集與功能無關個人信息”三類問題舉報量呈現波動情形。
APP賬號註銷更加容易
報告基於研究機構提供的 2018 年、2019 年100款 APP 隱私政策透明度評估數據發現,2019年度100款 App 的隱私政策透明度較 2018 年度有大幅提升,平均分從41.1分躍升為73.93 分,2019 年度隱私政策透明度評分為“高”、“較高”的 APP 佔比相比上一年增加了 52.5百分點。
從100款 APP 所在的10個行業來看,2019 年度隱私政策透明度得分有顯著的提高,分差最小的體育健身類也上升了17.1分。其中得分顯著提高的是社交交友類和移動金融類,均上升了40分左右。
基於研究機構提供的2018年、2019年20款 APP 賬號註銷難易度測評數據,發現APP 賬號註銷更加簡單了。2018年,有16款APP 賬號註銷分佈在“困難”和“無法註銷”區間,而 2019 年僅有1款 App 賬號註銷為“困難”,其他難易度為“容易”或“中等”。
有APP存在規避檢查的行為
報告還表示,從檢測評估情況來看,有的 APP 在過度收集個人信息時使用加密數據包,有的 APP 對測試環境進行識別,以規避檢測工具發現其異常傳輸行為,還有的APP繞過移動設備操作系統權限控制機制,採用讀取外部存儲區方式獲取設備唯一標識符。當 APP 使用上述方式,現有檢測手段發現超範圍收集個人信息問題和舉證的難度會加大不少。
因此,進一步加強深度檢測技術研究,才可能在後續持續監督的過程中佔據主動權,有效震懾違法違規行為。同時,建議加強與該領域研究能力突出的高校、科研院所、企事業單位的合作,形成科研成果,並在相關檢測工作過程中予以轉化,提升檢測效率和質量。
文/北京青年報記者 温婧