7月3日,工信部公布了2020年第二批侵害用户权益行为的15款APP名单,智慧树、纳米盒、悟饭游戏厅等APP被点名。

这并非工信部就APP问题的第一次曝光,自2019年12月以来,工信部就开始通报侵害用户权益行为的APP名单,截至7月3日,工信部已通报了4批APP名单,累计87个APP“上榜”,涉及私自收集个人信息、过度索取权限、账号注销难等8大类问题。

新京报贝壳财经记者梳理发现,累计四批名单中,60.92%的APP都存在私自收集个人信息的问题,这说明涉及用户隐私的行为成为了APP被通报的“重灾区”。此外,相比2019年第一批通报名单,账号注销难、不给权限不让用两个问题的出现频率有所下降,说明账号注销和强制使用问题得到了改善。

超六成被点名APP私自收集个人信息

工信部将APP侵害用户权益行为的所涉问题分为八大类,包括:强制用户使用定向推送功能、不给权限不让用、账号注销难、私自收集个人信息、私自共享给第三方、过度索取权限、超范围收集个人信息、频繁申请权限。

新京报贝壳财经记者整理发现,上述8类问题中,私自收集个人信息是出现最频繁的问题,累计出现53次,也就是说,被工信部点名的APP中超过六成都存在此类问题。


根据《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》中的解释,私自收集个人信息指“APP未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前,收集用户个人信息。”

去年年底,网信办、工信部等四部门印发《App违法违规收集使用个人信息行为认定方法》,对于如何界定APP明确告知收集使用个人信息等行为给出了详细的解释。APP专项治理工作组有关专家曾对该认定方法进行过解读,他举例称,未明示收集使用个人信息的目的、方式和范围的情况包括未逐一列出APP (包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。

新京报贝壳财经记者发现,目前绝大多数APP会在首次安装打开后弹窗的隐私政策中写出收集信息的范围,不过不同APP对收集信息的详细程度描述不一样,这可能是导致工信部判断APP是否侵害用户权益的关键点。

例如此次被通报的APP纳米盒在隐私政策中表示,其可能通过cookies等收集如用户IP地址等信息,但仍然被认为存在私自收集个人信息行为。


APP专项治理工作组有关专家解读称,APP和APP中嵌入代码的第三方收集使用个人信息,都需要采取适当方式通知用户。“我们曾使用检测工具检测到一款APP中嵌入了54个SDK,这么多SDK有没有个人信息泄露的风险,这些都要提。目前有一些APP在整改后就做得很到位,有些专门列出了SDK的列表,甚至把第三方共享的接收方都列出来了,如果把明示工作做到这个程度,相信用户也会对APP的信任度有很大的提升。

此外,根据《App违法违规收集使用个人信息行为认定方法》,APP若未逐一列出有关收集使用规则,或者内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等,仍然会被认为是“私自收集信息”。

超95%问题APP按时整改 账号注销难问题改善最多

工信部每曝出一批问题APP名单,也会给相关APP规定整改期限,如对于7月3日公布的APP名单,工信部要求在7月14日之前完成整改。

新京报贝壳财经记者下载上述APP发现,一些APP目前仍然未完成整改,如乐教乐学1.0.216版存在不给权限不让用的问题。7月6日,记者下载乐教乐学打开发现,该应用弹窗提示要访问设备照片、媒体内容和文件,若记者点击禁止则会弹出“没有获得存储权限,将无法正常使用”的提示,对其访问文件的弹窗只有点击“始终允许”,才能正常使用该APP。

但也有一些APP因版本更新“提前”完善了一些老版本需要整改的问题。如工信部7月3日公布的名单中,游民星空5.5.23版因私自收集个人信息与账号注销难被点名,但记者浏览应用商店发现,该APP在7月1日就已经更新至5.5.24版本,其中更新内容之一就是“完善了注销用户流程”。

对于超过期限仍未整改问题的,工信部会对相关APP予以下架处理。

记者统计发现,目前在工信部曝光的前三批已过整改时间的72款APP中,只有人人视频4.3.3/4.3.4版、春雨计步器2.5.4版、微唱-原创音乐1.1.0版3款APP曾因未能按时完成整改于1月3日遭到下架处理,其余95.83%的APP都按时完成了整改。

贝壳财经记者1月3日时曾在华为手机应用商店搜索上述APP,发现其确实遭到下架,7月5日,记者再次搜索后发现,人人视频、微唱两款APP在更新版本后再次出现在了华为手机应用商店中。

两款APP曾经被通报的问题已经在更新的版本中得到了整改,如人人视频4.3.3/4.3.4版存在私自收集个人信息、私自共享给第三方、过度索权问题。7月5日,记者下载了人人视频4.8.4版后发现,其在隐私政策中列出了收集个人信息的详细用途,并列出了所有第三方公司的SDK名单,公布了使用目的,同时除了基本设备权限外仅弹窗提示了索取了地理位置信息(但用户可选择拒绝),完成了整改。

而微唱-原创音乐1.1.0版被工信部点名存在私自收集个人信息、强制用户使用定向推送功能、不给权限不让用、过度索权和账户注销难问题;7月5日,记者下载了微唱1.1.7版安装后打开发现,该APP除了基本的设备权限外没有索取任何额外权限,且在安装初始就有了完善的隐私协议。记者注册用户账号后发现,在显眼处就有注销选项,也完成了整改。


新京报贝壳财经记者整理工信部公布的四批问题APP名单发现,账号注销难以及不给权限不让用两个问题的改进最为明显,其中第一批名单有36.59%的APP账号注销难,而最新一批名单中只有13.33%的APP账号注销难;不给权限不让用问题的出现频率也从2019年12月的26.83%下降至目前的13.33%。

延展

解决APP侵害用户权益行为的难点在哪?


根据贝壳财经记者统计,对于工信部通报的四批问题APP名单,除私自收集个人信息问题出现53次数量最多外,过度索取权限问题累计出现31次,私自共享给第三方问题累计出现30次,是排行第二第三的问题,可以发现,占据排行榜前三名的问题全部与用户隐私信息相关。

对此,腾讯公司法务部数据及隐私中心负责人黄晓林认为,APP获取用户权限过多、过度的问题由来已久,有些APP超出必要范围获取用户的敏感权限很不应该。但这些现象屡禁不止的原因在于,其所面临的法律风险可能远远小于可以获得的商业利益。

有监管层人士告诉贝壳财经记者,企业收集用户隐私信息可以用来作为用户画像,便于发送广告,合理的广告诉求应该予以理解,“一些小微企业的收入来源就是APP中的广告,如果采用‘一刀切’的方式完全禁止发广告,一些APP就无法生存,但从用户的直观角度考虑,有可能认为自己的隐私信息遭到了窃取,此时监管部门需要综合考虑用户与企业双方的需求。”

该人士表示,目前其查到一些APP存在侵权问题时,会直接与APP运营企业联系要求对方进行整改,对于比较容易整改的问题,如APP注销难等,企业可以很快出台注销方式,用户也能简单地发现这一改变,因此关于注销难的整改易于推进;但私自收集个人信息的问题就较为复杂,如一些APP出于使用目的不得不收集必要的个人信息,此时如何判断什么属于“私自收集”往往较麻烦,这可能就是四批APP通报名单中私自收集个人信息问题始终存在的原因之一。

新京报贝壳财经记者 罗亦丹 编辑 李薇佳 校对 柳宝庆