东洲网>财经>广州至尊国际·专项治理组点名61款App 链家违规共享 小米金融频繁获权

广州至尊国际·专项治理组点名61款App 链家违规共享 小米金融频繁获权

2020-01-11 11:39:44
发布:东洲网

广州至尊国际·专项治理组点名61款App 链家违规共享 小米金融频繁获权

广州至尊国际,12月20日,app违法违规收集使用个人信息专项治理工作组(下称“app专项治理组”)发布《关于61款app存在收集使用个人信息问题的通告》,“链家”、“网易公开课”、“小米金融”、“腾讯课堂”、“度小满理财”等不少知名app被点名。

南都记者统计发现,未逐一列出第三方sdk(软件开发工具包)收集使用个人信息的目的和类型,以及未告知申请权限的目的两个问题最为严重。此外,被点名的金融借贷类app占比超过三分之一——此前app专项治理组曾发文表示,该类app是被用户举报最多的。

通告称,app专项治理工作组7月至10月向134家问题app运营者发送整改通知,建议其一个月内整改。目前有四款仍未完成整改,分别是“优联wifi”、“宜人贷借款”、“51人品贷”和“我来贷”。

··1··

据南都记者梳理,大部分app在收集使用个人信息方面的问题数量均在五个及以上,其中“悠悠导航”最多,存在十个问题,“微贷网”和“简理财”存在九个问题。

其中最普遍的问题是:在申请打开可收集个人信息的权限时,未同步告知用户其目的——61款app中,至少51款存在该问题。

比如“招商银行掌上生活”需要收集用户身份证号等个人敏感信息、位置信息等,但在申请权限时,并未同步告知收集目的;“度小满理财”则除了用户身份证号之外,还需要收集面部识别特征等个人敏感信息,但也没有同步告知收集目的。

国家标准《信息安全技术 个人信息安全规范》(下称“个人信息安全规范”)在5.6款“隐私政策的内容和发布”中明确,隐私政策应公开发布且易于访问,例如,在网站主页、移动应用程序安装页、社交媒体首页等显著位置设置链接。

但南都个人信息保护研究中心12月发布的《2019个人信息安全年度报告》显示,100款常用app中,仍有27%采用了默认选择同意的非明示方式征求用户同意。此次的61款app中,也有至少18款存在上述问题,如“懂车帝”、“塔读文学”、“时光网”等。

还有“挖财信用卡管家”、“度小满理财”等八款app的targetsdkversion值小于23,要求用户“一揽子授权”,不同意则无法使用。而事实上,app完全可以通过其他设置来应对兼容旧版安卓系统的问题,而不是刻意调低targetsdkversion值。

在申请权限方面,不少app还存在用户明确表示不同意打开权限后仍频繁征求用户同意,比如“链家”、“小米金融”、“猎聘”等;有的app则在用户撤销授权后,仍通过其他途径收集设备imei号等个人信息等问题,比如“360贷款导航”、“微贷网”、“淘集集”等。

··2··

sdk是集成在app里的第三方工具包。它们可以帮助app高效率、低成本地实现地图、支付、统计、社交、广告等一系列功能。根据南都个人信息保护研究中心发布的《常用第三方sdk收集使用个人信息测评报告》,平均每款app会使用19.3个sdk。

不过,有的开发者会利用sdk收集用户信息或执行越权操作。上述报告显示,部分sdk会“偷偷”收集用户的个人信息,有的还会向自家服务器明文传输。因此,app告知第三方sdk收集使用个人信息的目的、类型就显得格外重要。

在57款整改完成的app中,有高达44款既未经用户同意,也未做匿名化处理,通过客户端嵌入的sdk向第三方提供用户设备imei号、地理位置等个人信息,涉及到的sdk几乎涵盖友盟、个推、talkingdata、支付宝、腾讯、百度、小米推送等所有知名sdk。

比如“链家” 通过百度地图、个信互动、微博等sdk向第三方提供用户设备imei号、地理位置等个人信息;“多点” 通过腾讯、高德、个推等sdk向第三方提供用户设备imei号、mac地址、地理位置、通讯录、应用程序列表等个人信息。

此外,还有33款存在“未逐一列出嵌入的第三方sdk收集使用个人信息的目的、类型”的问题,包括“链家”、“搜狗浏览器”、“有道云笔记”、“悟空租车”等等。

对于sdk等具备收集个人信息功能的第三方产品或服务,最新修订的《个人信息安全规范》明确要求,个人信息控制者应要求第三方向个人信息主体征得收集个人信息的授权同意。但事实上只有极少数app可以做到。

值得注意的是,尽管大多数app都有隐私政策,但是否易于阅读也是此次app专项治理组的考量标准。比如“卡惠信用卡优惠”的隐私政策因为段落划分不明确导致阅读困难;“简理财”的隐私政策中,有关个人信息收集使用规则的内容晦涩难懂,用户难以理解。

··3··

一直以来,app注销难被用户诟病。相比之下,注册时只需要提交一个手机号、一条验证码即可完成,而注销时,有的app需要用户提交身份证正反面照、提供历史登录地点、手持身份证照片等,甚至,有的app根本没有注销功能。

11月,工信部发布《关于开展app侵害用户权益专项整治工作的通知》,其中“为用户账号注销设置障碍”是重点检查的违规问题。

此次被点名的61款app中,有近半存在注销方面的问题。其中“腾讯课堂”、“浦发信用卡”等未提供账号注销功能;“小米金融”、“搜狗浏览器”、“有道云笔记”则提供了无效的注销方式。

根据最新修订的《个人信息安全规范》,注销过程进行身份核验时,用户重新提供的个人信息不应多于注册、使用等环节收集的个人信息。此次就有11款app虽然提供了注销功能,但设置了不合理条件。

比如“挖财信用卡管家”、“给你花”等需要用户提交身份证正反面照片,手持身份证照片;“搜狗浏览器”则需要用户提交注册时间、注册地点、最近一次登录时间及地点等信息才予以注销。

有专家曾对南都记者表示,出于对用户账号利益的保护,为避免账号被盗、被恶意注销等,注销时核验用户身份是可以的,但不能借着核验的目的“实现别的心思”,如防止用户流失、多获取用户其他信息等。

据了解,工作组已将整改情况的核验结果提交相关部门,并建议依法予以处置。

附:61款存在问题app的目录

关于61款app存在收集使用个人信息问题的通告

采写:南都记者蒋琳 个人信息保护研究中心研究员尤一炜

365bet手机官网网址

科技 | 娱乐 | 文化 | 国际 | 时事 | 财经 | 军事 | 旅游 | 体育 | 社会 | 综合 | 教育 | 汽车 | 健康养生 |
© Copyright 2018-2019 seongmo.com东洲网 Inc. All Rights Reserved.