以上音频技术来自:讯飞有声
中国消费者协会新近花了两个月时间,对100款APP的个人信息收集与隐私政策情况进行了测评,在被评测的10个类别中,令人出乎意料地是,常以安全、可信赖等宣传语示人的金融理财,却在此次测评中排名垫底,即便与第9名相比,综合评分也相差甚远。
100款APP中,59款APP涉嫌过度收集了“位置信息”,过度收集或使用个人信息的情况较多,另外“通讯录信息”、“身份信息”、“手机号码”也是用户个人信息过度收集或使用较多的内容,在受测评中分别有28款、23款、22款APP涉嫌存在此类情况。除此之外,用户的个人照片、个人财产信息、生物识别信息、工作信息、交易账号信息、交易记录、上网浏览记录、教育信息、车辆信息以及短信信息等均存在被过度使用或收集的现象。
随着移动互联网发展以及各类手机应用程序的兴起,手机已成为国民日常生活中不可或缺的工具,各类应用程序在给使用者带来便利的同时,背后的使用权限和隐私问题,也随着近年来互联网安全事件的陆续爆发而逐渐引起消费者的密切关注。
今年年初百度董事长兼CEO李彦宏发表的一段颇受争议的讲话,也折射出了用户的无奈、商家的强势及法律的缺失。
李彦宏表示,“中国人对隐私问题的态度更开放,也相对来说没那么敏感。如果他们可以用隐私换取便利、安全或者效率。在很多情况下,他们就愿意这么做。当然我们也要遵循一些原则,如果这个数据能让用户受益,他们又愿意给我们用,我们就会去使用它的。我想这就是我们能做什么和不能做什么的基本标准。”
金融理财APP总平均分28.91
根据测评结果,新闻阅读、网上购物和交易支付等类型APP为总平均分相对较高的APP类别,而金融理财类APP得分相对较低,仅为28.91分。
不难发现,除了金融理财类APP,其他9个类型APP的总平均分都高于50分,即便与第九名邮箱云盘类APP相比,金融理财类依然相差甚远。
中消协将100款APP划分为了消费者常用APP和小企业APP两类,测评发现,两类的平均分差距很大,中小企业APP的平均得分均在各类APP平均水平以下,说明目前中小企业APP在个人信息保护方面问题较为突出,隐私政策缺失或设计存在明显不足。其中金融理财类APP得分相对较低,为15.60分。
8款金融理财APP被授予“一星差评”
根据评星标准,测评中得分60分及以下为一星,61-70分为二星,71-80分为三星,81-85分为三星半,86-90分为四星,91-95分为四星半,96-100分为五星。
被测评的10款金融理财APP中,只有两款达到了三星及以上,分别是网易彩票和中国建设银行(601939,股吧),而胜算在握、微贷网、中国工商银行(601398,股吧)、捷信快贷、随手记、同花顺(300033,股吧)、马上到账贷款、悟空理财的评价均为一星,其中微贷网、中国工商银行、同花顺为上市公司。
哪些信息被收集
金融理财类APP收集的个人信息共计有10类,其中收集最多的是手机号,占比达100%,其次是通信信息、位置信息、身份信息和个人基本资料。
收集个人信息方面的五大问题
一是10类APP普遍存在涉嫌过度收集或使用个人信息的情况。
10类100款APP中,多达91款APP列出的权限存在涉嫌“越界”,即存在过度收集用户个人信息的问题。其中,出行导航、金融理财、拍摄美化、通讯社交和影音播放等5类APP中,每一款都涉嫌存在过度收集或使用用户信息的情况;其次是住宿旅游、网上购物、新闻阅读和邮箱云盘等4类APP中,32款APP涉嫌存在过度收集或使用个人信息情形;而交易支付类APP中有7款涉嫌存在过度收集或使用现象。
二是位置信息、通讯录信息、手机号码等个人信息是过度收集或使用的主要内容。
100款APP中,59款APP涉嫌过度收集了“位置信息”,过度收集或使用个人信息的情况较多,另外“通讯录信息”、“身份信息”、“手机号码”也是用户个人信息过度收集或使用较多的内容,在受测评中分别有28款、23款、22款APP涉嫌存在此类情况。除此之外,用户的个人照片、个人财产信息、生物识别信息、工作信息、交易账号信息、交易记录、上网浏览记录、教育信息、车辆信息以及短信信息等均存在被过度使用或收集的现象。
如在网易彩票APP中,收集个人财产证明、个人上网记录、通讯信息、位置信息(包括行程、住宿)等信息涉嫌过度收集或使用。
三是通讯社交、影音播放和拍摄美化类APP涉嫌过度收集或使用用户位置信息的问题较普遍。
从10大类APP分析,除邮箱云盘、交易支付和出行导航类APP外,其他七大类APP均有超过一半的APP存在过度收集或使用用户位置信息的问题。其中,通讯社交和影音播放类APP产生此类问题更为突出,多达10款和9款APP涉嫌存在过度收集用户位置信息的现象。
出行导航、旅游住宿、网上购物类APP对于用户个人位置信息具有根据定位信息提供产品和服务的合理诉求,但是对于大部分社交类、影音播放类、拍摄美化类、新闻阅读以及金融理财类APP来说,调用用户的位置信息对于这些服务的提供非必需信息,存在过度收集或使用的嫌疑。
四是通讯录信息、手机号码等个人身份信息过度收集现象值得注意。
通讯录信息、手机号码涉及用户的个人隐私,属于个人敏感信息,存在较高的商业价值,部分仅提供手机号注册方式,借助手机权限开放的便利,很容易收集手机号码及通讯录信息。以收集通讯录为例,10类APP中,4款金融理财类APP与3款影音播放类APP收集用户通讯录信息。手机号码信息收集现象在金融理财类与出行导航类APP中较为普遍,10款金融理财类APP均收集手机号码,8款出行导航类APP在用户注册时要求必须用手机号注册。
中消协认为捷信快贷收集工作信息、通讯录、个人征信信息、学历信息涉嫌过度收集,各类信息对应的业务功能未明确说明。
五是部分APP涉嫌过度收集个人财产信息、生物识别信息等敏感信息。
个人敏感信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控,可能对个人信息主体人身和财产带来重大风险。测评发现,10类APP均存在收集这些信息的情况,但部分APP对财产信息、可识别生物信息的收集未能向用户明确重点告知,理由含糊不清,涉嫌过度收集,其中11款APP涉嫌过度收集财产信息,10款APP涉嫌过度收集生物识别信息。
隐私条款存在9大漏洞
万万没想到一个隐私条款暗藏这么多玄机,值得消费者高度关注。
漏洞一:47款APP隐私条款内容不达标,34款APP没有隐私条款。
据悉本次测评中隐私条款各指标总分为70分,其中有超过三分之一(34款)的隐私条款得分为0,即未对用户公布个人信息隐私条款。
当前有关隐私条款存在的典型问题主要集中在四方面:
一是隐私条款笼统不清,对收集、使用个人信息的目的、方式、范围、保存期限、和地点等没有明确说明;
二是不主动向用户展示隐私条款,或展示内容晦涩冗长;
三是征求用户授权同意时,未给用户足够选择权;
四是没有为用户提供访问、更正、删除个人信息的途径;五是大量收集与所提供服务无直接关联的个人信息,未遵守标准中最小化收集个人信息的规定。
如工商银行APP没有单独的隐私政策,链接中仅提供隐私保密声明。
漏洞二:59款APP未明确告知收集个人信息类型,且收集敏感信息时未明确告知用户信息的用途。
在个人信息收集规则中,包括两方面内容:
一是是否明确告知用户收集的个人信息类型;
二是收集敏感信息时是否明确告知用户,并告知用户拒绝提供将带来的影响。
测评结果显示,针对是否明确告知用户收集个人信息的这一规则,从10类APP来看,金融理财类APP在本项中得分相对较低,仅得0.9分,有8款金融理财类APP在隐私条款中未告知用户收集个人信息的类型;网上购物和新闻阅读类APP在此选项得分较高,分别为4.3和3.9分。
针对“是否告知用户收集敏感信息的用途及拒绝提供的影响”这一规则,也未达及格分。对于敏感信息的告知情况得分相对较差的仍为金融理财类APP,表现较好的同样是网购和新闻阅读类APP。
比如支付宝APP未在收集的信息种类中注明个人敏感信息,且未对核心和附加功能进行区分,导致用户易认为所收集的信息均为必需项。
而中国建设银行APP收集个人敏感信息时,虽然概括性地告知了敏感信息的种类和使用的方式,但未告知拒绝提供将具体影响哪些功能。
漏洞三:70款APP未明确告知用户个人信息的保存期限和停止运营的情形。
在个人信息保存规则里,《个人信息安全规范》规定了四方面的内容,分别为告知用户数据保存期限、告知用书数据保存地域、告知用户安全事件应急处理措施、告知用户停止运营的情形。
对于告知个人信息的保存期限,其中有70款APP在此选项扣分。从不同类别来看,邮箱云盘类APP在此项得分相对较低,为0.5分;新闻阅读和拍摄美化类APP表现较好,得分均为1.9分。在被测评的100款APP中,有48款隐私条款中未明确提及有关信息保存期限的相关事宜,另有部分APP隐私条款对个人信息存储期限的表达是含糊的,这些APP有的提到会在服务期间存储信息,在用户注销后删除信息,但没有给出具体的时间。
对于告知个人信息的存放地域,交易支付类APP得分相对较低,影音播放、出行导航和新闻阅读类APP得分较高,得分都为1.8分。
对于告知个人信息安全事件应急处理措施,从大类看,金融理财类APP在此项得分相对较低,新闻阅读和网上购物类APP得分较高。
对于告知用户停止运营的情形,其中100款受测评APP中有66款在此项得分为0,未明确提到用户停止运营的情形。
漏洞四:57款APP未明确告知用户个人信息使用方式。
在个人信息使用规则方面,“告知使用个人信息的规则”这一规则有57款APP扣分。其中,金融理财类APP得分相对较低,仅为0.8分,大部分金融理财类APP未明确告知使用用户个人信息的规则。
漏洞五:42款APP对外提供个人信息时不会单独告知并征得用户同意。
针对向他人提供用户个人信息时是否明确告知用户这一打分项,有42款未明确提到此项条款得分为0,另有57款虽然提到但未明确说明,仅有1款在此项得分为满分。
针对个人信息控制者发生变更时,是否明确告知用户并获得同意这一选项,超过一半的APP此项得分为0,即隐私条款中未提及相关内容。从各类看,金融理财类APP和拍摄美化类APP此项得分相对较低。
漏洞六:57款和96款APP未明确告知用户如何更正个人信息和撤回同意。
在用户权利方面,共包括五方面的测评内容,一是告知用户访问信息的方式,二是告知删除个人信息的方式,三是告知更正个人信息的方式,四是告知用户撤回同意的方式,五是告知用户注销账号的方式。
测评数据显示,这五项得分均未达到及格分。从各大类看,金融理财类APP在用户权利方面表现相对较差,在“告知更正个人信息方式”项中得分相对较高的为交易支付类APP。
漏洞七:41款APP隐私条款未在明显位置公示,52款APP的条款变更时未及时通知用户。
针对是否公开隐私条款这一打分项,网上购物类APP公开隐私条款方面表现相对较好,得分为2.7分,金融理财类APP得分相对较低,得分为0.6分。
对于条款生效和变更通知用户这一要求,有52款在此项扣分。从类别来看,新闻阅读类APP得分相对较高,金融理财类APP得分相对较低。
漏洞八:79款APP隐私政策存在默认同意或未提示阅读等问题。
针对是否征得用户同意这一打分项,仅有21款的隐私条款是在明确征得用户同意后收集相关信息,而大部分APP存在默认同意隐私条款的现象,并未征得用户同意。
从类别来看,金融理财和交易支付类APP默认同意隐私条款的现象相对较严重,网购类APP在征得用户同意方面得分相对较高。
漏洞九:部分APP存在“自行承担风险”等不合理免责条款。
除通讯社交、影音播放和交易支付三类APP外,其他类APP中的隐私条款均存在不合理免责条款的现象,其中金融理财类和邮箱云盘类APP不合理条款问题较突出。如,金融理财类APP某些有出现“自愿承担风险,个人承担一切责任”的条款,邮箱类APP某些有出现“对于外部链接不承担责任”、“附赠产品免责”等不合理的免责条款。
如悟空理财APP存在“您须对您本人在使用本网站所提供的服务时的一切行为、行动(不论是否故意)负全部责任”等不合理免责条款。
中消协表示,“在测评活动中,一方面测评所依据的相关规范的法律层级较低,另一方面有关部门出台的相关管理规定可操作性不强,测评反映出各类APP落实隐私条款要求方面存在较大差异,隐私条款不完善或缺失情况严重。建议有关部门综合考虑当前APP隐私保护方面的严峻形势,加强隐私保护立法,落实具体措施,提高立法立规水平,为消费者个人信息安全提供更好的法律和制度保护。”
本文首发于微信公众号:券商中国。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。
