7月3日,工信部公佈了2020年第二批侵害使用者權益行為的15款APP名單,智慧樹、奈米盒、悟飯遊戲廳等APP被點名。
這並非工信部就APP問題的第一次曝光,自2019年12月以來,工信部就開始通報侵害使用者權益行為的APP名單,截至7月3日,工信部已通報了4批APP名單,累計87個APP“上榜”,涉及私自收集個人資訊、過度索取許可權、賬號登出難等8大類問題。
新京報貝殼財經記者梳理發現,累計四批名單中,60.92%的APP都存在私自收集個人資訊的問題,這說明涉及使用者隱私的行為成為了APP被通報的“重災區”。此外,相比2019年第一批通報名單,賬號登出難、不給許可權不讓用兩個問題的出現頻率有所下降,說明賬號登出和強制使用問題得到了改善。
超六成被點名APP私自收集個人資訊
工信部將APP侵害使用者權益行為的所涉問題分為八大類,包括:強制使用者使用定向推送功能、不給許可權不讓用、賬號登出難、私自收集個人資訊、私自共享給第三方、過度索取許可權、超範圍收集個人資訊、頻繁申請許可權。
新京報貝殼財經記者整理發現,上述8類問題中,私自收集個人資訊是出現最頻繁的問題,累計出現53次,也就是說,被工信部點名的APP中超過六成都存在此類問題。
根據《工業和資訊化部關於開展APP侵害使用者權益專項整治工作的通知》中的解釋,私自收集個人資訊指“APP未明確告知收集使用個人資訊的目的、方式和範圍並獲得使用者同意前,收集使用者個人資訊。”
去年年底,網信辦、工信部等四部門印發《App違法違規收集使用個人資訊行為認定方法》,對於如何界定APP明確告知收集使用個人資訊等行為給出了詳細的解釋。APP專項治理工作組有關專家曾對該認定方法進行過解讀,他舉例稱,未明示收集使用個人資訊的目的、方式和範圍的情況包括未逐一列出APP (包括委託的第三方或嵌入的第三方程式碼、外掛)收集使用個人資訊的目的、方式、範圍等。
新京報貝殼財經記者發現,目前絕大多數APP會在首次安裝開啟後彈窗的隱私政策中寫出收集資訊的範圍,不過不同APP對收集資訊的詳細程度描述不一樣,這可能是導致工信部判斷APP是否侵害使用者權益的關鍵點。
例如此次被通報的APP奈米盒在隱私政策中表示,其可能透過cookies等收集如使用者IP地址等資訊,但仍然被認為存在私自收集個人資訊行為。
APP專項治理工作組有關專家解讀稱,APP和APP中嵌入程式碼的第三方收集使用個人資訊,都需要採取適當方式通知使用者。“我們曾使用檢測工具檢測到一款APP中嵌入了54個SDK,這麼多SDK有沒有個人資訊洩露的風險,這些都要提。目前有一些APP在整改後就做得很到位,有些專門列出了SDK的列表,甚至把第三方共享的接收方都列出來了,如果把明示工作做到這個程度,相信使用者也會對APP的信任度有很大的提升。
此外,根據《App違法違規收集使用個人資訊行為認定方法》,APP若未逐一列出有關收集使用規則,或者內容晦澀難懂、冗長繁瑣,使用者難以理解,如使用大量專業術語等,仍然會被認為是“私自收集資訊”。
超95%問題APP按時整改 賬號登出難問題改善最多
工信部每曝出一批問題APP名單,也會給相關APP規定整改期限,如對於7月3日公佈的APP名單,工信部要求在7月14日之前完成整改。
新京報貝殼財經記者下載上述APP發現,一些APP目前仍然未完成整改,如樂教樂學1.0.216版存在不給許可權不讓用的問題。7月6日,記者下載樂教樂學打開發現,該應用彈窗提示要訪問裝置照片、媒體內容和檔案,若記者點選禁止則會彈出“沒有獲得儲存許可權,將無法正常使用”的提示,對其訪問檔案的彈窗只有點選“始終允許”,才能正常使用該APP。
但也有一些APP因版本更新“提前”完善了一些老版本需要整改的問題。如工信部7月3日公佈的名單中,遊民星空5.5.23版因私自收集個人資訊與賬號登出難被點名,但記者瀏覽應用商店發現,該APP在7月1日就已經更新至5.5.24版本,其中更新內容之一就是“完善了登出使用者流程”。
對於超過期限仍未整改問題的,工信部會對相關APP予以下架處理。
記者統計發現,目前在工信部曝光的前三批已過整改時間的72款APP中,只有人人影片4.3.3/4.3.4版、春雨計步器2.5.4版、微唱-原創音樂1.1.0版3款APP曾因未能按時完成整改於1月3日遭到下架處理,其餘95.83%的APP都按時完成了整改。
貝殼財經記者1月3日時曾在華為手機應用商店搜尋上述APP,發現其確實遭到下架,7月5日,記者再次搜尋後發現,人人影片、微唱兩款APP在更新版本後再次出現在了華為手機應用商店中。
兩款APP曾經被通報的問題已經在更新的版本中得到了整改,如人人影片4.3.3/4.3.4版存在私自收集個人資訊、私自共享給第三方、過度索權問題。7月5日,記者下載了人人影片4.8.4版後發現,其在隱私政策中列出了收集個人資訊的詳細用途,並列出了所有第三方公司的SDK名單,公佈了使用目的,同時除了基本裝置許可權外僅彈窗提示了索取了地理位置資訊(但使用者可選擇拒絕),完成了整改。
而微唱-原創音樂1.1.0版被工信部點名存在私自收集個人資訊、強制使用者使用定向推送功能、不給許可權不讓用、過度索權和賬戶登出難問題;7月5日,記者下載了微唱1.1.7版安裝後打開發現,該APP除了基本的裝置許可權外沒有索取任何額外許可權,且在安裝初始就有了完善的隱私協議。記者註冊使用者賬號後發現,在顯眼處就有登出選項,也完成了整改。
新京報貝殼財經記者整理工信部公佈的四批問題APP名單發現,賬號登出難以及不給許可權不讓用兩個問題的改進最為明顯,其中第一批名單有36.59%的APP賬號登出難,而最新一批名單中只有13.33%的APP賬號登出難;不給許可權不讓用問題的出現頻率也從2019年12月的26.83%下降至目前的13.33%。
延展
解決APP侵害使用者權益行為的難點在哪?
根據貝殼財經記者統計,對於工信部通報的四批問題APP名單,除私自收集個人資訊問題出現53次數量最多外,過度索取許可權問題累計出現31次,私自共享給第三方問題累計出現30次,是排行第二第三的問題,可以發現,佔據排行榜前三名的問題全部與使用者隱私資訊相關。
對此,騰訊公司法務部資料及隱私中心負責人黃曉林認為,APP獲取使用者許可權過多、過度的問題由來已久,有些APP超出必要範圍獲取使用者的敏感許可權很不應該。但這些現象屢禁不止的原因在於,其所面臨的法律風險可能遠遠小於可以獲得的商業利益。
有監管層人士告訴貝殼財經記者,企業收集使用者隱私資訊可以用來作為使用者畫像,便於傳送廣告,合理的廣告訴求應該予以理解,“一些小微企業的收入來源就是APP中的廣告,如果採用‘一刀切’的方式完全禁止發廣告,一些APP就無法生存,但從使用者的直觀角度考慮,有可能認為自己的隱私資訊遭到了竊取,此時監管部門需要綜合考慮使用者與企業雙方的需求。”
該人士表示,目前其查到一些APP存在侵權問題時,會直接與APP運營企業聯絡要求對方進行整改,對於比較容易整改的問題,如APP登出難等,企業可以很快出臺登出方式,使用者也能簡單地發現這一改變,因此關於登出難的整改易於推進;但私自收集個人資訊的問題就較為複雜,如一些APP出於使用目的不得不收集必要的個人資訊,此時如何判斷什麼屬於“私自收集”往往較麻煩,這可能就是四批APP通報名單中私自收集個人資訊問題始終存在的原因之一。
新京報貝殼財經記者 羅亦丹 編輯 李薇佳 校對 柳寶慶