中消協發布100款App測評結果
超九成App涉嫌過度收集個人信息
昨天,中國消費者協會在京發布了《100款App個人信息收集與隱私政策測評報告》。報告顯示,100款App中,多達91款App列出的權限存在涉嫌“越界”,即存在過度收集用戶個人信息的問題。綜合評分中,金融理財類App評分較低,只有28.91分。同時在綜合星級評定中,愛搶購、翼支付、E代價、同花順、百程旅行、139郵箱等App的表現只有一星。
據中消協介紹,App個人信息收集與隱私政策測評活動于今年8月到10月展開,由中國電子技術標準化研究院提供專業技術支持。本次被測評的包括10類(通訊社交、影音播放、網上購物、交易支付、出行導航、金融理財、旅游住宿、新聞閱讀、郵箱云盤和拍攝美化)共100款App。所有被測評App都是在9月1日到3日期間從App Store、安卓市場下載的,同時對App的用戶協議、隱私政策進行了錄屏取證。
測評結果顯示App最愛收集“位置信息”
個人信息收集一直都是消費者安裝App時關注的焦點。測評結果顯示,“位置信息”、“通訊錄信息”和“手機號碼”等三種個人信息是過度收集或使用個人信息最常見的內容。100款App中,59款涉嫌過度收集了“位置信息”,過度收集或使用個人信息的情況較多。除此之外,用戶的個人照片、個人財產信息、生物識別信息、工作信息、交易賬號信息、交易記錄、上網瀏覽記錄、教育信息、車輛信息以及短信信息等均存在被過度使用或收集的現象。
測評發現,通訊社交和影音播放類App收集定位信息的問題更為突出,分別有10款和9款App涉嫌存在過度收集用戶位置信息的現象。例如:咪咕視頻。
中消協表示,出行導航、旅游住宿、網上購物類App對于用戶個人位置信息具有根據定位信息提供產品和服務的合理訴求,但是對于大部分社交類、影音播放類、拍攝美化類、新聞閱讀以及金融理財類App來說,調用用戶的位置信息并非這些服務所必需,存在過度收集或使用的嫌疑。
通訊錄信息、手機號碼涉及用戶的個人隱私,屬于個人敏感信息,存在較高的商業價值,部分僅提供手機號注冊方式,借助手機權限開放的便利,很容易收集手機號碼及通訊錄信息。以收集通訊錄為例,10類App中,4款金融理財類App與3款影音播放類App收集用戶通訊錄信息。手機號碼信息收集現象在金融理財類與出行導航類App中較為普遍,10款金融理財類App均收集手機號碼,8款出行導航類App在用戶注冊時要求必須用手機號注冊。
34款App沒有隱私條款
今年5月,推薦性國家標準《個人信息安全規范》正式實施,《個人信息安全規范》對于個人信息收集、保存、使用、流轉等環節提出了要求,是國內在個人信息保護實踐方面的重要參考標準。本次測評針對規范中涉及隱私政策方面的內容進行了測評。
結果顯示,在100款App中僅有一半(53款)的隱私條款得分達到及格分以上,而有13款App具備隱私條款,但得分低于及格分,另外有超過三分之一(34款)的隱私條款得分為0,即未對用戶公布個人信息隱私條款。
測評中發現,設置了隱私條款同樣存在問題,如隱私條款籠統不清,對收集、使用個人信息的目的、方式、范圍、保存期限和地點等沒有明確說明;不主動向用戶展示隱私條款,或展示內容晦澀冗長;征求用戶授權同意時,未給用戶足夠選擇權;沒有為用戶提供訪問、更正、刪除個人信息的途徑;大量收集與所提供服務無直接關聯的個人信息,未遵守標準中最小化收集個人信息的規定等。
中消協表示,個人信息收集規則主要包括兩方面內容,一是明確告知用戶收集的個人信息類型,二是收集敏感信息時明確告知用戶,并告知用戶拒絕提供將帶來的影響。測評中發現,支付寶App未在收集的信息種類中注明個人敏感信息,且未對核心和附加功能進行區分,導致用戶易認為所收集的信息均為必需項。
中消協建議加快隱私保護立法
針對本次測評中發現的問題,中消協建議加強隱私保護立法,為消費者個人信息安全提供法律和制度保護;督促App開發管理者明示隱私條款,不采用默認勾選方式、不使用不公平格式條款,采取顯著方式引起消費者注意,引導消費者主動閱讀、理解相關隱私政策。
中消協同時表示,針對本次測評活動中發現的典型問題,將約談勸諭相關App開發管理者,督促企業整改提高。
體驗
“聚看點”App收集個人財產信息 用途籠統不明確
昨天,北京青年報記者下載了被中消協點名且星級評分只有一星的新聞閱讀類App——聚看點(中消協測試版本號為5.8.0)。下載進入App(已更新為5.9.5版本)后,北青報記者在設置中心找到了隱私協議。平臺可能收集的信息中包括:個人身份證明(包括身份證、護照、駕駛證等);生日、籍貫、性別、個人電話號碼;網絡身份標識信息(包括系統賬號、IP地址、電子郵箱地址);個人財產信息(賬戶余額、賬戶變動、提現情況等);通訊信息;個人上網記錄和日志信息;設備信息;位置信息。
一款App列出了可能收集用戶如此多的信息內容,每一項收集的明確目的又是什么呢?北青報記者發現,該協議雖然在下面對公司收集信息的用途進行了說明,但是比較籠統并不明確,如:向您提供服務;幫助本平臺產品及服務的設計、優化和升級;向您提供個性化服務,例如向您展示、推送與您更加相關的內容和廣告;用于身份驗證、安全防范、存檔和備份,確保服務的安全性等。看完協議,消費者仍然不能明確軟件獲取個人信息到底是做什么用。