中國消費者報報道（記者武曉莉）12月20日，國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心點名存在隱私不合規(guī)行為的17款A(yù)PP，其中包括哈啰出行、和訊財經(jīng)等在內(nèi)的15款A(yù)PP“未向用戶明示申請的全部隱私權(quán)限”。

一年來，多部門聯(lián)手依法對APP侵犯個人隱私問題進行集中治理。日前，國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國網(wǎng)絡(luò)空間安全協(xié)會基于“APP收集使用個人信息監(jiān)測平臺”“APP舉報受理平臺”的監(jiān)測數(shù)據(jù)，發(fā)布《APP違法違規(guī)收集使用個人信息監(jiān)測分析報告》（以下簡稱《報告》），指出目前強制收集非必要個人信息問題明顯減少，但啟動彈窗索要無關(guān)權(quán)限仍多發(fā);超范圍收集個人信息行為治理成效初顯，但仍須緊盯敏感權(quán)限聲明超出必要范圍等7類隱蔽問題。

彈窗索要無關(guān)權(quán)限仍多發(fā)

細心的用戶可能會發(fā)現(xiàn)，諸如微信、前程無憂51Job等頭部APP的最新版本，啟動時已不再索要存儲、設(shè)備等無關(guān)權(quán)限。據(jù)《報告》統(tǒng)計，目前全國主流安卓應(yīng)用商店在架APP的去重后總數(shù)為112萬款，而APP強制要求收集個人信息是用戶普遍反感的違規(guī)行為之一。今年以來，APP強制要求用戶打開非必要權(quán)限、強制要求用戶填寫非必要個人信息等典型違規(guī)行為明顯減少，監(jiān)測發(fā)現(xiàn)僅有1%的中小應(yīng)用殘留此問題。

《報告》顯示，盡管很多APP不再強制收集個人信息，但仍存在首次啟動時彈窗索要多個無關(guān)權(quán)限的問題，由此產(chǎn)生的投訴舉報也比較集中，用戶對此較為反感。據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心相關(guān)人士介紹，目前量大面廣的APP已將啟動時索要權(quán)限改為在用戶觸發(fā)特定功能時再索要對應(yīng)權(quán)限，改善了用戶體驗。監(jiān)測顯示，在華為、小米、vivo、OPPO、騰訊等主流品牌的應(yīng)用商店近3個月新上架的應(yīng)用中，每月平均有近1000款應(yīng)用存在此問題。

主流應(yīng)用商店APP啟動彈窗索要多個無關(guān)權(quán)限問題分布情況

數(shù)據(jù)來源：《APP違法違規(guī)收集使用個人信息監(jiān)測分析報告》

“由于APP數(shù)量非常多，推陳出新頻率高，而且APP的個人信息收集行為和方式也在不斷變化，監(jiān)管部門很難做到全覆蓋監(jiān)管，很容易出現(xiàn)覆蓋范圍過窄的情況。”TalkingData法務(wù)合規(guī)負責人兼數(shù)據(jù)合規(guī)官葛夢瑩對《中國消費者報》記者說，“針對海量APP收集、使用個人信息的情況，《個人信息保護法》提出了從關(guān)鍵環(huán)節(jié)入手的監(jiān)管思路，即首次區(qū)分了一般的個人信息處理者和充當‘守門人’角色的操作系統(tǒng)、應(yīng)用程序分發(fā)平臺、大型APP平臺等個人信息處理者（以下簡稱超大平臺）。這其中就包括了上述應(yīng)用商店，因為應(yīng)用商店是眾多APP進行個人信息收集處理的必要通道，從應(yīng)用商店這個關(guān)鍵環(huán)節(jié)入手，對其提出增強個人信息保護的要求，例如要求超大平臺建立外部監(jiān)督委員會，主動引入對內(nèi)部信息處理行為的社會監(jiān)督，主動承擔對平臺生態(tài)中各方個人信息處理行為的監(jiān)督，并發(fā)布社會責任報告等多種手段來杜絕APP強制收集非必要個人信息的問題。”

超限收集含7類隱蔽問題

互聯(lián)網(wǎng)時代，大家都有被精準推送的體驗。采訪中，中國廣告協(xié)會法律咨詢委員會常務(wù)委員杜東為對《中國消費者報》記者說，由于手機屏幕空間有限，平臺算法必須在海量信息中找到用戶感興趣和有價值的信息。通過完全自動化的決策過程，推薦系統(tǒng)在自動分析、評估個人行為習慣、興趣愛好或者經(jīng)濟、健康、信用狀況后進行決策，并向用戶展示。

《報告》顯示，部分APP出于精準用戶畫像、推廣營銷等商業(yè)目的，想方設(shè)法地超出實現(xiàn)功能的必要范圍，進而收集更多個人信息。目前，超限收集個人信息主要包括7類隱蔽問題：

敏感權(quán)限聲明超出必要范圍。少量APP在未提供實際功能的情況下，仍然聲明了相關(guān)敏感權(quán)限，存在熱更新后調(diào)用和SDK(軟件開發(fā)工具包)調(diào)用權(quán)限的風險。

權(quán)限索取超出必要范圍。一些APP超出當前功能需要索取權(quán)限，例如，有的電話攔截功能只需3項敏感權(quán)限即可實現(xiàn)，而應(yīng)用卻索要了短信、存儲、通訊錄等7項敏感權(quán)限。

收集數(shù)據(jù)的敏感性超出必要范圍。一些APP在使用低敏感性數(shù)據(jù)即可實現(xiàn)功能的情況下，仍然收集高敏感性數(shù)據(jù)。例如，普通的天氣查詢功能只需要城市或地區(qū)級的粗略位置信息即可，但有的天氣查詢APP卻超范圍地索要精準位置等敏感個人信息。

收集數(shù)據(jù)的具體內(nèi)容超出必要范圍。一些APP在僅需部分數(shù)據(jù)內(nèi)容即可實現(xiàn)功能的情況下，收集了全部內(nèi)容。例如，查找好友功能只需匿名化后的手機號碼即可實現(xiàn)，不應(yīng)超范圍地收集通訊錄聯(lián)系人的姓名、郵箱、地址等內(nèi)容。

收集方式超出必要范圍。APP收集個人信息的方式包括單次讀取、本地存儲、上傳云端等，這些方式對個人的影響程度依次遞增，而APP應(yīng)在滿足功能需求的前提下，選擇影響程度最低的收集方式。例如，只需單次讀取或本地存儲即可實現(xiàn)的功能，不應(yīng)默認使用上傳云端。

收集頻率超出必要范圍。有的APP收集每項個人信息的頻率明顯超出當前功能的必要范圍，例如，運動健身類應(yīng)用在用戶觀看視頻等無關(guān)功能時，也每分鐘獲取位置信息近百次，明顯超出了必要范圍。

收集場景超出必要范圍。很多APP除了在功能必需的合理場景收集信息，還在啟動、自啟動、后臺運行、使用不相關(guān)功能等其他場景收集信息，違反了必要原則。

中小應(yīng)用常頻繁索權(quán)

APP的下載量集中在頭部應(yīng)用，從百萬級到億級的，總共只占APP總數(shù)的3.4%，97%左右的都是中小應(yīng)用?！秷蟾妗凤@示，恰恰是中小應(yīng)用的“知情同意”問題較多，集中表現(xiàn)為同意前收集、頻繁索權(quán)等。

知情同意是處理個人信息的基本前提條件之一。目前常見違規(guī)問題集中表現(xiàn)為4類：

征得用戶同意前收集個人信息。監(jiān)測發(fā)現(xiàn)，2萬中小應(yīng)用樣本在同意隱私政策前將用戶ID等信息上傳至云端服務(wù)器，4.4萬中小應(yīng)用樣本沒有向用戶提供明確的隱私政策拒絕選項。

用戶拒絕后頻繁征求用戶同意，干擾用戶正常使用。13萬存量中小應(yīng)用樣本在用戶明確拒絕授權(quán)后，仍然在使用過程中頻繁索取權(quán)限，或者在用戶下次進入應(yīng)用時再次索取權(quán)限。人工抽驗顯示，近3個月新上架的應(yīng)用仍普遍存在頻繁索權(quán)的問題。

誘導用戶同意，收集個人信息。例如以簽到、福利等為理由誘導用戶提供姓名、手機號、住址，以“絕不收集隱私信息”等欺騙性提示誘導用戶安裝使用APP等。

個人信息進行定向推送但無法關(guān)閉。有27萬個應(yīng)用樣本聲明，會利用個人信息進行定向推送，但人工抽驗卻發(fā)現(xiàn)，除了新聞資訊、網(wǎng)絡(luò)直播、短視頻等部分類別外，大多未提供關(guān)閉定向推送的選項。此外，部分APP盡管提供了關(guān)閉選項，但仍存在為關(guān)閉選項強制設(shè)定為期幾個月的有效期，到期后自動恢復定向推送;關(guān)閉選項極其隱蔽，普通用戶難以發(fā)現(xiàn);關(guān)閉定向推送后并不生效等問題。

隱私政策晦澀隱蔽問題突出

監(jiān)測發(fā)現(xiàn)，存在無隱私政策問題的APP占比已由2019年最高的26%下降至今年的6.7%。平臺企業(yè)公開收集使用規(guī)則的意識顯著增強，小米、華為等頭部品牌的應(yīng)用商店已加強無隱私政策問題應(yīng)用的審核力度，對存在該問題的8.1萬個存量應(yīng)用進行了下架處理。在近3個月新上架的頭部應(yīng)用程序中，此問題已基本清零，但部分中小應(yīng)用商店審核機制尚未健全，仍有7.8萬款存量問題須進行下架清理。

《報告》顯示，明示收集行為日趨受到重視，但未明示敏感數(shù)據(jù)收集與“一攬子”同意問題仍突出。監(jiān)測數(shù)據(jù)與人工抽驗結(jié)果都顯示，隱私政策存在隱瞞個人信息收集行為、“一攬子”同意等較為突出的違規(guī)問題，其中包括隱瞞敏感個人信息收集行為;隱瞞個人信息對外共享行為;要求“一攬子”地同意隱私政策全部條款，甚至不合理條款。

葛夢瑩指出：“隱私政策是用戶感知最為明顯的重要手段，是APP所必備的。隱私政策寫得過于晦澀難懂，也是廣受個人用戶詬病的問題。”對于隱私政策的寫法、展示方式等，也需要嚴格遵守相關(guān)法律法規(guī)和國家標準，例如除落實《個人信息保護法》的相關(guān)要求外，還須充分考慮個人用戶的閱讀習慣，并且切實保障用戶權(quán)利的行使，這也是接下來APP的合規(guī)工作整治重點。她補充說：“目前比較具有參考性和可執(zhí)行性的隱私政策模板還是GB/T352732020《個人信息安全規(guī)范》的附錄D，這也是被APP廣泛應(yīng)用的模板。同時，《個人信息安全規(guī)范》的附錄C也明確了基本業(yè)務(wù)功能和拓展業(yè)務(wù)功能的設(shè)計思路，并且在其注釋中闡明，如果重新劃分產(chǎn)品功能，宜再次告知并征得同意，而這也在一定程度上呼應(yīng)了《個人信息保護法》第十四條的規(guī)定。同時，正在編制中的《互聯(lián)網(wǎng)平臺及產(chǎn)品服務(wù)隱私協(xié)議要求》將對隱私政策提出具有可執(zhí)行性的要求。”

此外，《報告》顯示，目前APP賬號基本具備注銷功能，但仍須重視其設(shè)置不合理注銷條件等違規(guī)情形。中國電子技術(shù)標準化研究院網(wǎng)安中心測評實驗室副主任何延哲對《中國消費者報》記者說，目前，相關(guān)人員已在對包括小程序在內(nèi)的賬號注銷問題進行研究。