App超頻率調用權限情況嚴重 僅一成承諾提供個人資訊轉移服務

剛打開App就被索取一系列授權，明确拒絕後仍頻繁彈窗甚至不讓用；隐私政策内容錯漏百出、難以讀懂；想按照App隐私政策裡提供的途徑下載下傳自己的個人資訊副本，客服卻說不知道那是什麼……以上種種情況，你是否也遇到過卻又無力解決？

12月17日，南方都市報個人資訊保護研究中心在北京召開“2021啄木鳥資料治理論壇”。南都個人資訊保護課題組在會上釋出《個人資訊安全年度報告（2021）》（下稱“報告”），從App隐私政策、權限擷取、可攜權以及應用商店稽核機制四個方面披露了150款App和10家應用商店的個人資訊保護合規現狀。

沒有一款透明度高，僅5款披露非SDK第三方

今年報告選取十大行業共計150款App作為測評樣本，其中每個行業頭、中、尾各五款。隐私政策透明度越高，代表其關于企業如何收集、使用、存儲和保護個人資訊的描述越清晰和全面。

測評結果顯示，“知乎”“叮當快藥”以89分位居第一，“快手”“攜程旅行”以兩分之差并列第二。透明度達到中等及較高水準的App占比高達82%，得分“不及格”的App共有27款，各行業平均分相差不大。

值得注意的是，透明度高的App數量為零。報告分析認為，這是由于大多數App尚未落實個保法中的創新性規定，失分較多。比如隻有40款App提供了專門的未成年人隐私政策，不到10款App提及死者權利。

11月，工信部釋出通知，要求相關網際網路企業于12月底前建立個人資訊保護“已收集個人資訊清單”和“與第三方共享個人資訊清單”。測評發現，150款App中有135款都列出了嵌入的第三方SDK（軟體開發工具包），并告知其名稱、處理目的、個人資訊類型和連結。

然而，報告指出，第三方SDK并不是App共享使用者個人資訊的唯一對象，還包括廣告主及其代理商、關聯公司、授權合作夥伴等。但隻有“知乎”“唯品會”等五款App披露了承運商、支付、廣告商、媒體等第三方的部分資訊。

盡管隐私政策告知不清晰、抄襲、頭尾部App得分差距大等問題依然存在，今年150款App的隐私政策透明度平均分仍達到了70.1分，在測評标準更加嚴格的情況下，幾乎與2019年持平。這意味着，App的隐私政策透明度有了明顯提升。

拒絕十次還彈窗，五分鐘内讀定位超兩千次

今年3月印發的《常見類型移動網際網路應用程式必要個人資訊範圍規定》（下稱《規定》）為39類App劃定了滿足基本功能服務所需的必要個人資訊範圍。報告以《規定》為标準，對十大行業的150款App進行了權限擷取合規度測評。

測評結果顯示，隻有“新氧醫美”“360借條”“學而思網校”三款App得分高于90分，整體平均分僅有57.9分。其中近半App得分集中在60-70分，不及格的App則有60款，占比40%。

從具體情況看，150款被測App中有89款都在使用者首次使用App時彈窗申請了非必要權限，涉及電話、定位、存儲、通訊錄、相機、麥克風等，其中不乏“釘釘”“美柚”等頭部App。

此外，不少App需要使用者多次拒絕權限申請後才能正常使用。比如“優健康”“高途課堂”等30款App在使用者明确拒絕某權限後，仍然頻繁彈窗申請，尤其存儲權限被重複申請的次數最多。

如首次打開“粉象生活”，使用者需連續拒絕11次存儲權限彈窗，其中有兩次是選擇了“拒絕且不再詢問”後仍再次彈窗。報告認為，App連續多次彈窗申請同一權限的做法是一種“變相強制”，不符合法律要求的“明示同意”。

在漢華飛天信安科技有限公司的技術支援下，報告還對150款App在一段時間内調用敏感權限的頻率進行了測評。結果顯示，有多達135款頻繁調用權限。

其中情況較為嚴重的是“莉景天氣”，平均每分鐘調用定位權限約153次；退到背景後，又在五分鐘内調用了2286次定位權限。

不少App客服稱不知何為個人資訊副本

根據個保法第四十五條，個人有權向個人資訊處理者查閱、複制其個人資訊，還有權請求将個人資訊轉移至其指定的個人資訊處理者。報告仿照歐盟《通用資料保護條例》，将上述規定簡稱為“可攜權”。

報告發現，App落實可攜權的做法通常是提供個人資訊副本并承諾可轉移。150款App中，57款明确使用者可要求擷取個人資訊副本，占比38%。截至測評結束，僅收到14款App提供的個人資訊副本，内容絕大多數是使用者主動提供的資訊和裝置資訊等，如使用者ID、昵稱，注冊手機号，注冊時間等。

對于何為個人資訊副本，各App給出的答複不盡相同。比如“學而思網校”“斑馬App”稱擷取個人資訊副本的方式為自行截屏；多位App客服直言“不知道什麼是個人資訊副本”。還有不少App告知的擷取途徑無一聯系得上。

還有App會設定身份驗證門檻，要求使用者提供除注冊時提供的個人資訊之外的資訊。比如“叮當快藥”要求使用者送出手機營業廳繳費憑證、手持身份證照片，轉移個人資訊需提供接收方個人資訊證明，願意接收個人資訊的證明材料、接收方式。

報告指出，150款App中承諾提供個人資訊轉移服務的僅有15款，基本都要求使用者提供對方App的接收方式、接口等資訊。然而，沒有任何一款App明示告知使用者如何擷取上述資訊。報告認為，這進一步增加了使用者履行可攜權的難度。

所有應用商店都在隐私政策連結上失分

為了解應用商店稽核機制的合規狀況，報告對OPPO軟體商店、華為應用市場、360手機助手、小米應用商店、vivo應用商店、騰訊應用寶、百度手機助手、PP助手、豌豆莢、三星應用商店十大應用商店進行測評。

結果顯示，OPPO軟體商店、華為應用市場、360手機助手分别以82.4、79.1、70分位居前三名，而PP助手、三星應用商店和豌豆莢得分不及格。整體平均分不足60。

報告指出，該測評的一個普遍失分點在于，10家應用商店均存在隐私政策連結問題，包括未提供隐私政策連結、隐私政策連結無法打開、隐私政策版本與App内不一緻等。

比如，OPPO軟體商店有七款App的展示頁面沒有隐私政策連結，其中不乏“優健康”“華醫通”等知名App；vivo應用商店中，“攜程旅行”展示頁面的隐私政策連結為隐私設計文檔，而非隐私政策；小米應用商店中有九款App在應用商店展示頁的隐私政策與App内版本不一緻。

值得注意的是，絕大多數應用商店展示App将擷取的權限清單時，通常使用的是“允許該應用……”等系統預設表述。隻有小米應用商店的權限詳情頁允許App開發者自行更改權限擷取目的。

如“海豚優惠-購物返利平台”就修改了其應用商店展示頁面定位、手機資訊、相機、錄音四項權限的擷取目的——如擷取手機資訊是為了“防止非法分子使用軟體進行違法違規行為”。

報告認為，系統預設表述的權限說明通常為概括性描述，無法精準地照顧到每一個App的權限申請目的。允許App開發者修改可以讓使用者更加清楚地了解App為什麼要擷取這項權限，有助于保障使用者的知情權。

出品：南都個人資訊保護研究中心

采寫：南都見習記者 樊文揚 記者 孫朝