12月22日,“2022啄木鳥數據治理論壇”在京召開。論壇由南都個人信息保護研究中心聯合清華大學人工智能國際治理研究院、人工智能治理研究中心(清華大學)舉辦。會上,南都個人信息保護課題組發布了《個人信息安全年度報告(2022)》(以下簡稱“報告”)。
相比往年,今年的報告拓展了測評維度,從隱私政策、權限獲取、SDK收集使用個人信息和個人信息的復制轉移、個性化展示等六個方面對150款App進行測評。另外,還對四個應用商店的App上架審核情況進行了測評。
報告顯示,八成App的隱私政策透明度得分超過及格線,尾部App雖然有了顯著提升,但依然與頭部App存在較大差距。另外,三成App在用戶首次使用時收集了必要權限以外的其他非必要權限,涉及的權限包括存儲、電話、相冊、定位、應用列表等。
超八成App隱私政策透明度得分及格
南都個人信息保護研究中心對今年工信部、國家網信辦、公安部通報違法違規App(包含SDK)的相關情況進行了梳理,發現今年共有635款因個人信息相關問題被通報。
在今年工信部的通報中,App強制、頻繁、過度索取權限的情況最嚴重,共出現了152次,占比約46.2%。另外,“強制用戶使用定向推送功能”問題也比較嚴重,被工信部通報了58次。在國家網信辦通報下架的App中,“強制索要非必要權限”和“隱私政策無法訪問”問題較為突出。而在今年公安部的通報中,存在“未向用戶明示申請的全部隱私權限”問題的App最多,占比超過九成。
從上述通報可以看出,隱私政策、權限獲取、定向推送等問題均為官方通報的重點。從2017年起,南都個人信息保護研究中心連續六年發布個人信息安全年度報告,對App的隱私政策、權限合規等方面進行測評。隱私政策的透明度越高,則代表隱私政策中關于企業如何收集、使用、存儲和保護個人信息的描述越清晰和全面。
報告結果顯示,在此次被測的150款App中,132款App的隱私政策透明度得分超過了及格線,占到總數的88%。其中,“云閃付”App得分最高,為91分;“自如”和“360借條”兩款App緊隨其后,分別為90分和89分。
150款App的得分主要集中在透明度較高和中等區間,均占約四成。僅有18款App的得分在60分及以下,其中隱私政策透明度較低的App有16款,兩款App的隱私政策透明度為低。
從頭、中、尾部App的平均分來看,頭部略領先于中部,尾部則得分較低,頭、中、尾部的平均分依次為78分、73.72分以及64.6分。
一直以來,尾部App因為合規成本等問題,在個人信息保護方面的動力不足。近年來在App治理的強監管下,尾部App有了明顯的提升,不過整體來看,依然與頭部App存在較大差距。
報告建議,監管部門應持續關注尾部App的個人信息保護工作,尾部App也應該繼續增強合規意識,從而提升App整體的個人信息保護水平。
不到兩成App提及死者個人信息如何處理
報告測評結果顯示,所有150款被測App均向用戶提供了單獨成文的個人信息保護政策,且均為有效鏈接。136款App即93.67%向用戶告知了個人信息的和儲存時限。不過,絕大部分App僅僅說明將在達成目的所需期限內保留個人信息,并沒有明確寫出刪除的具體時限。
比如,“多多進寶”App(2.23.0)在隱私政策中寫道,“我們只會在達成本政策所述目的所需期限內保留您的個人信息,除非需要延長保留期或應法律法規的允許或要求。”
有App雖承諾了具體保存期限,但時間過長。比如,“蘇寧易購”App(9.5.94)在隱私政策中寫道,“原則上,我們在中華人民共和國境內收集和產生的個人信息,將存儲在中華人民共和國境內。數據存儲期間為20年。如果我們更改數據存儲時間,會另行提前通知您。”
根據個人信息保護法,自然人死亡的,其近親屬為了自身的合法、正當利益,可以對死者的相關個人信息行使本章規定的查閱、復制、更正、刪除等權利;死者生前另有安排的除外。
報告顯示,絕大多數App未對用戶去世后個人信息如何處理作出安排。
在150款受測App中,有124款App均未提及此問題,僅有26款App承諾保障死者近親屬為了自身的合法、正當利益,對死者的相關個人信息行使查閱、復制、更正、刪除等權利,并告知用戶申請受理和處理機制,占比17.33%。
三成App首次使用時收集了非必要權限
在權限合規方面,報告主要考察了App是否超范圍申請/獲取權限;是否詳細告知申請權限目的以及對應的個人信息;用戶明確拒絕某權限后,App是否頻繁申請該項權限。
報告顯示,共有14款App的總得分在90分及以上,其中“一起考教師”App以100分位居第一,“快手”“唯品會”“大眾點評”等13款App以90分位居其后,另有10款App獲得了85分。得分為75分的App數量最多,有62款;得分在60分以下的不及格App共27款,其中“金幣云商”App得分最低,僅有20分。
報告顯示,在150款被測App中,有42款App在用戶首次使用時收集了必要權限以外的其他非必要權限,占比近三成,其中不乏“抖音”“網易云音樂”“支付寶”等頭部App,涉及的權限包括存儲、電話、相冊、定位、應用列表等。
報告認為,雖然用戶即使拒絕App獲取這些非必要權限也不影響App其他功能的正常使用,但是在用戶觸發相關功能之前就彈窗,有誘導用戶交出非必要個人信息的嫌疑。
例如,用戶在初次使用在線影音類App“網易云音樂”(8.8.70)時,“網易云音樂”就向用戶彈窗申請獲取存儲權限。根據《規定》,該類基本功能服務為“影視、音樂搜索和播放”的App,無須個人信息即可使用基本功能服務。
首次使用時,網易云音樂的權限申請彈窗頁面
報告認為,根據最小必要原則,App應該在用戶主動觸發相關功能以后再彈窗申請對應權限,而非一打開App就申請。
近八成App超頻率采集個人信息
App超頻率調用權限問題屢受詬病。去年10月,有網友發現多個常用App在用戶未主動激活的情況下,于后臺頻繁讀取手機相冊,每次讀取時間為40秒至1分鐘。相關平臺回應稱,該功能系為方便用戶快速發圖做準備,僅在手機本地完成。
2019年8月,國家市場監管總局和中國國家標準化管理委員會發布的《信息安全技術移動互聯網應用(App)收集個人信息基本規范》(征求意見稿)提出,用戶明確拒絕使用某服務類型后,App不得頻繁(如每48小時超過一次)征求用戶同意使用該類型服務,并保證其他服務類型正常使用。
本次報告也在史賓格安全及隱私合規平臺的技術支持下,將超頻率調用權限問題納入測評范圍。
報告顯示,在150款被測App中,有116款自動采集個人信息頻率超出了實現其業務功能所必需的最低頻率,占比近八成,僅有34款App符合標準。
報告稱,Android ID是本次測評中被超頻率讀取最多的個人信息,“多多進寶”(2.23.0)、“釘釘”(6.5.50)等106款App在一定時限內讀取Android ID超出了實現業務功能所必需的最低頻率。
如“樂視視頻”App(10.5.3)平均每分鐘讀取Android ID約15次,“度小滿金融”App(8.2.2)則是平均每分鐘7.5次——都大大超過了合規標準。
此外,有74款App超頻率讀取了MAC地址,其中“樂視視頻”App(10.5.3)平均每分鐘讀取約38次,而“嘀嗒出行”App(8.41.0)平均每分鐘讀取MAC地址約7次,“天眼查”App(12.70.2)平均每分鐘讀取約6次。
整體較去年提升,但默認獲取非必要權限問題加重
去年南都發布的《個人信息安全報告(2021)》也對十大行業150款常用App進行了測評。結果顯示,透明度高的App數量為零,56款App透明度較高,67款透明度中等,透明度較低的App為21款,透明度低的為6款。
報告顯示,與去年相比,今年的App隱私政策透明度有所提升。在透明度高、較高層面的App數量增加了8款。透明度低的App也僅有兩款,透明度中等的App數量相差無幾。
兩次年度測評選取的App中,有35款重合。在隱私政策透明度得分上,“360借條”和“口袋導游”兩款App進步較大,相較去年,分別提升了12分以及35分。值得注意的是,口袋導游去年僅得25分,今年得分為60分,雖然仍處于隱私政策透明度較低的區間,但在告知個人信息使用場景、個人信息權利、數據保護的承諾等方面已經有了不小的進步。
在權限獲取合規度方面,今年的測評情況相較去年有了明顯改觀。整體來說,150款被測App的整體平均分顯著上升,達到了69.5,高出2021年11.6分,且遠遠超過了及格線。
App收集非必要敏感個人信息的問題一直飽受詬病,這一情況在2022年同樣有了明顯好轉。報告顯示,僅近一成App申請的敏感權限在App內找不到對應功能,2021年卻有超四成找不到。同時,2021年有38%App未逐一在隱私政策中告知申請敏感權限相對應的個人信息,2022年這一數量下降到約9%。
不過,報告顯示,有一項問題比2021年時嚴重許多——默認獲取非必要權限。去年,僅有32%App未經用戶同意自動獲取權限,今年這一數量卻上升到了約83%。在獲取權限的具體內容方面,兩年的情況類似,主要包括讀取應用列表和剪切板。
出品:南都個人信息保護課題組
采寫:南都記者 孫朝