超限收集含7类隐蔽问题

互联网时代，大家都有被精准推送的体验。采访中，中国广告协会法律咨询委员会常务委员杜东为对《中国消费者报》记者说，由于手机屏幕空间有限，平台算法必须在海量信息中找到用户感兴趣和有价值的信息。通过完全自动化的决策过程，推荐系统在自动分析、评估个人行为习惯、兴趣爱好或者经济、健康、信用状况后进行决策，并向用户展示。

《报告》显示，部分APP出于精准用户画像、推广营销等商业目的，想方设法地超出实现功能的必要范围，进而收集更多个人信息。目前，超限收集个人信息主要包括7类隐蔽问题：

敏感权限声明超出必要范围。少量APP在未提供实际功能的情况下，仍然声明了相关敏感权限，存在热更新后调用和SDK(软件开发工具包)调用权限的风险。

权限索取超出必要范围。一些APP超出当前功能需要索取权限，例如，有的电话拦截功能只需3项敏感权限即可实现，而应用却索要了短信、存储、通讯录等7项敏感权限。

收集数据的敏感性超出必要范围。一些APP在使用低敏感性数据即可实现功能的情况下，仍然收集高敏感性数据。例如，普通的天气查询功能只需要城市或地区级的粗略位置信息即可，但有的天气查询APP却超范围地索要精准位置等敏感个人信息。

收集数据的具体内容超出必要范围。一些APP在仅需部分数据内容即可实现功能的情况下，收集了全部内容。例如，查找好友功能只需匿名化后的手机号码即可实现，不应超范围地收集通讯录联系人的姓名、邮箱、地址等内容。

收集方式超出必要范围。APP收集个人信息的方式包括单次读取、本地存储、上传云端等，这些方式对个人的影响程度依次递增，而APP应在满足功能需求的前提下，选择影响程度最低的收集方式。例如，只需单次读取或本地存储即可实现的功能，不应默认使用上传云端。

收集频率超出必要范围。有的APP收集每项个人信息的频率明显超出当前功能的必要范围，例如，运动健身类应用在用户观看视频等无关功能时，也每分钟获取位置信息近百次，明显超出了必要范围。

收集场景超出必要范围。很多APP除了在功能必需的合理场景收集信息，还在启动、自启动、后台运行、使用不相关功能等其他场景收集信息，违反了必要原则。

中小应用常频繁索权

APP的下载量集中在头部应用，从百万级到亿级的，总共只占APP总数的3.4%，97%左右的都是中小应用。《报告》显示，恰恰是中小应用的“知情同意”问题较多，集中表现为同意前收集、频繁索权等。

知情同意是处理个人信息的基本前提条件之一。目前常见违规问题集中表现为4类：

征得用户同意前收集个人信息。监测发现，2万中小应用样本在同意隐私政策前将用户ID等信息上传至云端服务器，4.4万中小应用样本没有向用户提供明确的隐私政策拒绝选项。

用户拒绝后频繁征求用户同意，干扰用户正常使用。13万存量中小应用样本在用户明确拒绝授权后，仍然在使用过程中频繁索取权限，或者在用户下次进入应用时再次索取权限。人工抽验显示，近3个月新上架的应用仍普遍存在频繁索权的问题。

诱导用户同意，收集个人信息。例如以签到、福利等为理由诱导用户提供姓名、手机号、住址，以“绝不收集隐私信息”等欺骗性提示诱导用户安装使用APP等。

个人信息进行定向推送但无法关闭。有27万个应用样本声明，会利用个人信息进行定向推送，但人工抽验却发现，除了新闻资讯、网络直播、短视频等部分类别外，大多未提供关闭定向推送的选项。此外，部分APP尽管提供了关闭选项，但仍存在为关闭选项强制设定为期几个月的有效期，到期后自动恢复定向推送;关闭选项极其隐蔽，普通用户难以发现;关闭定向推送后并不生效等问题。

隐私政策晦涩隐蔽问题突出

监测发现，存在无隐私政策问题的APP占比已由2019年最高的26%下降至今年的6.7%。平台企业公开收集使用规则的意识显著增强，小米、华为等头部品牌的应用商店已加强无隐私政策问题应用的审核力度，对存在该问题的8.1万个存量应用进行了下架处理。在近3个月新上架的头部应用程序中，此问题已基本清零，但部分中小应用商店审核机制尚未健全，仍有7.8万款存量问题须进行下架清理。

《报告》显示，明示收集行为日趋受到重视，但未明示敏感数据收集与“一揽子”同意问题仍突出。监测数据与人工抽验结果都显示，隐私政策存在隐瞒个人信息收集行为、“一揽子”同意等较为突出的违规问题，其中包括隐瞒敏感个人信息收集行为;隐瞒个人信息对外共享行为;要求“一揽子”地同意隐私政策全部条款，甚至不合理条款。

葛梦莹指出：“隐私政策是用户感知最为明显的重要手段，是APP所必备的。隐私政策写得过于晦涩难懂，也是广受个人用户诟病的问题。”对于隐私政策的写法、展示方式等，也需要严格遵守相关法律法规和国家标准，例如除落实《个人信息保护法》的相关要求外，还须充分考虑个人用户的阅读习惯，并且切实保障用户权利的行使，这也是接下来APP的合规工作整治重点。她补充说：“目前比较具有参考性和可执行性的隐私政策模板还是GB/T352732020《个人信息安全规范》的附录D，这也是被APP广泛应用的模板。同时，《个人信息安全规范》的附录C也明确了基本业务功能和拓展业务功能的设计思路，并且在其注释中阐明，如果重新划分产品功能，宜再次告知并征得同意，而这也在一定程度上呼应了《个人信息保护法》第十四条的规定。同时，正在编制中的《互联网平台及产品服务隐私协议要求》将对隐私政策提出具有可执行性的要求。”

此外，《报告》显示，目前APP账号基本具备注销功能，但仍须重视其设置不合理注销条件等违规情形。中国电子技术标准化研究院网安中心测评实验室副主任何延哲对《中国消费者报》记者说，目前，相关人员已在对包括小程序在内的账号注销问题进行研究。(记者武晓莉)

关键词： APP侵犯个人隐私 个人隐私 计算机网络应急技术 中小应用