昨天,中国消费者协会在京发布了《100款App个人信息收集与隐私政策测评报告》。报告显示,100款App中,多达91款App列出的权限存在涉嫌“越界”,即存在过度收集用户个人信息的问题。综合评分中,金融理财类App评分较低,只有28.91分。同时在综合星级评定中,爱抢购、翼支付、E代价、同花顺、百程旅行、139邮箱等App的表现只有一星。
据中消协介绍,App个人信息收集与隐私政策测评活动于今年8月到10月展开,由中国电子技术标准化研究院提供专业技术支持。本次被测评的包括10类(通讯社交、影音播放、网上购物、交易支付、出行导航、金融理财、旅游住宿、新闻阅读、邮箱云盘和拍摄美化)共100款App。所有被测评App都是在9月1日到3日期间从App Store、安卓市场下载的,同时对App的用户协议、隐私政策进行了录屏取证。
测评结果显示App最爱收集“位置信息”
个人信息收集一直都是消费者安装App时关注的焦点。测评结果显示,“位置信息”、“通讯录信息”和“手机号码”等三种个人信息是过度收集或使用个人信息最常见的内容。100款App中,59款涉嫌过度收集了“位置信息”,过度收集或使用个人信息的情况较多。除此之外,用户的个人照片、个人财产信息、生物识别信息、工作信息、交易账号信息、交易记录、上网浏览记录、教育信息、车辆信息以及短信信息等均存在被过度使用或收集的现象。
测评发现,通讯社交和影音播放类App收集定位信息的问题更为突出,分别有10款和9款App涉嫌存在过度收集用户位置信息的现象。例如:咪咕视频。
中消协表示,出行导航、旅游住宿、网上购物类App对于用户个人位置信息具有根据定位信息提供产品和服务的合理诉求,但是对于大部分社交类、影音播放类、拍摄美化类、新闻阅读以及金融理财类App来说,调用用户的位置信息并非这些服务所必需,存在过度收集或使用的嫌疑。
通讯录信息、手机号码涉及用户的个人隐私,属于个人敏感信息,存在较高的商业价值,部分仅提供手机号注册方式,借助手机权限开放的便利,很容易收集手机号码及通讯录信息。以收集通讯录为例,10类App中,4款金融理财类App与3款影音播放类App收集用户通讯录信息。手机号码信息收集现象在金融理财类与出行导航类App中较为普遍,10款金融理财类App均收集手机号码,8款出行导航类App在用户注册时要求必须用手机号注册。
34款App没有隐私条款
今年5月,推荐性国家标准《个人信息安全规范》正式实施,《个人信息安全规范》对于个人信息收集、保存、使用、流转等环节提出了要求,是国内在个人信息保护实践方面的重要参考标准。本次测评针对规范中涉及隐私政策方面的内容进行了测评。
结果显示,在100款App中仅有一半(53款)的隐私条款得分达到及格分以上,而有13款App具备隐私条款,但得分低于及格分,另外有超过三分之一(34款)的隐私条款得分为0,即未对用户公布个人信息隐私条款。
测评中发现,设置了隐私条款同样存在问题,如隐私条款笼统不清,对收集、使用个人信息的目的、方式、范围、保存期限和地点等没有明确说明;不主动向用户展示隐私条款,或展示内容晦涩冗长;征求用户授权同意时,未给用户足够选择权;没有为用户提供访问、更正、删除个人信息的途径;大量收集与所提供服务无直接关联的个人信息,未遵守标准中最小化收集个人信息的规定等。
中消协表示,个人信息收集规则主要包括两方面内容,一是明确告知用户收集的个人信息类型,二是收集敏感信息时明确告知用户,并告知用户拒绝提供将带来的影响。测评中发现,支付宝App未在收集的信息种类中注明个人敏感信息,且未对核心和附加功能进行区分,导致用户易认为所收集的信息均为必需项。
中消协建议加快隐私保护立法
针对本次测评中发现的问题,中消协建议加强隐私保护立法,为消费者个人信息安全提供法律和制度保护;督促App开发管理者明示隐私条款,不采用默认勾选方式、不使用不公平格式条款,采取显著方式引起消费者注意,引导消费者主动阅读、理解相关隐私政策。
中消协同时表示,针对本次测评活动中发现的典型问题,将约谈劝谕相关App开发管理者,督促企业整改提高。
体验
“聚看点”App收集个人财产信息 用途笼统不明确
昨天,北京青年报记者下载了被中消协点名且星级评分只有一星的新闻阅读类App——聚看点(中消协测试版本号为5.8.0)。下载进入App(已更新为5.9.5版本)后,北青报记者在设置中心找到了隐私协议。平台可能收集的信息中包括:个人身份证明(包括身份证、护照、驾驶证等);生日、籍贯、性别、个人电话号码;网络身份标识信息(包括系统账号、IP地址、电子邮箱地址);个人财产信息(账户余额、账户变动、提现情况等);通讯信息;个人上网记录和日志信息;设备信息;位置信息。
一款App列出了可能收集用户如此多的信息内容,每一项收集的明确目的又是什么呢?北青报记者发现,该协议虽然在下面对公司收集信息的用途进行了说明,但是比较笼统并不明确,如:向您提供服务;帮助本平台产品及服务的设计、优化和升级;向您提供个性化服务,例如向您展示、推送与您更加相关的内容和广告;用于身份验证、安全防范、存档和备份,确保服务的安全性等。看完协议,消费者仍然不能明确软件获取个人信息到底是做什么用。(记者 王薇)