7月3日,工信部公布了2020年第二批侵害用户权益行为的15款App名单,智慧树、纳米盒、悟饭游戏厅等App被点名。这并非工信部就App问题的第一次曝光,自2019年12月以来,工信部就开始通报侵害用户权益行为的App名单,截至7月3日,工信部已通报了4批App名单,累计87个App“上榜”,涉及私自收集个人信息、过度索取权限、账号注销难等8大类问题。
累计四批名单中,60.92%的App都存在私自收集个人信息的问题,这说明涉及用户隐私的行为成为了App被通报的“重灾区”。此外,相比2019年第一批通报名单,账号注销难、不给权限不让用两个问题的出现频率有所下降,说明账号注销和强制使用问题得到了改善。
超六成被点名App私自收集个人信息
工信部将App侵害用户权益行为的所涉问题分为八大类,包括:强制用户使用定向推送功能、不给权限不让用、账号注销难、私自收集个人信息、私自共享给第三方、过度索取权限、超范围收集个人信息、频繁申请权限。
上述8类问题中,私自收集个人信息是出现最频繁的问题,累计出现53次,也就是说,被工信部点名的App中超过六成都存在此类问题。
根据《工业和信息化部关于开展App侵害用户权益专项整治工作的通知》中的解释,私自收集个人信息指“App未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前,收集用户个人信息。”
去年年底,网信办、工信部等四部门印发《App违法违规收集使用个人信息行为认定方法》,对于如何界定App明确告知收集使用个人信息等行为给出了详细的解释。App专项治理工作组有关专家曾对该认定方法进行过解读,他举例称,未明示收集使用个人信息的目的、方式和范围的情况包括未逐一列出App (包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。
目前绝大多数App会在首次安装打开后弹窗的隐私政策中写出收集信息的范围,不过不同App对收集信息的详细程度描述不一样,这可能是导致工信部判断App是否侵害用户权益的关键点。
例如此次被通报的App纳米盒在隐私政策中表示,其可能通过cookies等收集如用户IP地址等信息,但仍然被认为存在私自收集个人信息行为。
App专项治理工作组有关专家解读称,App和App中嵌入代码的第三方收集使用个人信息,都需要采取适当方式通知用户。“我们曾使用检测工具检测到一款App中嵌入了54个SDK,这么多SDK有没有个人信息泄露的风险,这些都要提。目前有一些App在整改后就做得很到位,有些专门列出了SDK的列表,甚至把第三方共享的接收方都列出来了,如果把明示工作做到这个程度,相信用户也会对App的信任度有很大的提升。
此外,根据《App违法违规收集使用个人信息行为认定方法》,App若未逐一列出有关收集使用规则,或者内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等,仍然会被认为是“私自收集信息”。
超95%问题App按时整改 账号注销难问题改善最多
工信部每曝出一批问题App名单,也会给相关App规定整改期限,如对于7月3日公布的App名单,工信部要求在7月14日之前完成整改。
下载上述App发现,一些App目前仍然未完成整改,如乐教乐学1.0.216版存在不给权限不让用的问题。7月6日,下载乐教乐学打开发现,该应用弹窗提示要访问设备照片、媒体内容和文件,若点击禁止则会弹出“没有获得存储权限,将无法正常使用”的提示,对其访问文件的弹窗只有点击“始终允许”,才能正常使用该App。
但也有一些App因版本更新“提前”完善了一些老版本需要整改的问题。如工信部7月3日公布的名单中,游民星空5.5.23版因私自收集个人信息与账号注销难被点名,但记者浏览应用商店发现,该App在7月1日就已经更新至5.5.24版本,其中更新内容之一就是“完善了注销用户流程”。
对于超过期限仍未整改问题的,工信部会对相关App予以下架处理。
统计发现,目前在工信部曝光的前三批已过整改时间的72款App中,只有人人视频4.3.3/4.3.4版、春雨计步器2.5.4版、微唱-原创音乐1.1.0版3款App曾因未能按时完成整改于1月3日遭到下架处理,其余95.83%的App都按时完成了整改。
7月3日时曾在华为手机应用商店搜索上述App,发现其确实遭到下架,7月5日,记者再次搜索后发现,人人视频、微唱两款App在更新版本后再次出现在了华为手机应用商店中。
两款App曾经被通报的问题已经在更新的版本中得到了整改,如人人视频4.3.3/4.3.4版存在私自收集个人信息、私自共享给第三方、过度索权问题。7月5日,记者下载了人人视频4.8.4版后发现,其在隐私政策中列出了收集个人信息的详细用途,并列出了所有第三方公司的SDK名单,公布了使用目的,同时除了基本设备权限外仅弹窗提示了索取了地理位置信息(但用户可选择拒绝),完成了整改。
整理工信部公布的四批问题App名单发现,账号注销难以及不给权限不让用两个问题的改进最为明显,其中第一批名单有36.59%的App账号注销难,而最新一批名单中只有13.33%的App账号注销难;不给权限不让用问题的出现频率也从2019年12月的26.83%下降至目前的13.33%。
延展
解决App侵害用户权益行为的难点在哪?
对于工信部通报的四批问题App名单,除私自收集个人信息问题出现53次数量最多外,过度索取权限问题累计出现31次,私自共享给第三方问题累计出现30次,是排行第二第三的问题,可以发现,占据排行榜前三名的问题全部与用户隐私信息相关。
对此,腾讯公司法务部数据及隐私中心负责人黄晓林认为,App获取用户权限过多、过度的问题由来已久,有些App超出必要范围获取用户的敏感权限很不应该。但这些现象屡禁不止的原因在于,其所面临的法律风险可能远远小于可以获得的商业利益。
有监管层人士说,企业收集用户隐私信息可以用来作为用户画像,便于发送广告,合理的广告诉求应该予以理解,“一些小微企业的收入来源就是App中的广告,如果采用‘一刀切’的方式完全禁止发广告,一些App就无法生存,但从用户的直观角度考虑,有可能认为自己的隐私信息遭到了窃取,此时监管部门需要综合考虑用户与企业双方的需求。”
该人士表示,目前其查到一些App存在侵权问题时,会直接与App运营企业联系要求对方进行整改,对于比较容易整改的问题,如App注销难等,企业可以很快出台注销方式,用户也能简单地发现这一改变,因此关于注销难的整改易于推进;但私自收集个人信息的问题就较为复杂,如一些App出于使用目的不得不收集必要的个人信息,此时如何判断什么属于“私自收集”往往较麻烦,这可能就是四批App通报名单中私自收集个人信息问题始终存在的原因之一。