21世紀經濟報道記者 王俊 實習生 譚鑫 北京報道
購物下單場景中,手機天貓調用系統權限種類最多,為3類,蘇寧易購調用系統權限次數最多,調用位置權限255次;后臺靜默場景中,調用系統權限種類最多的為拼多多,為4類,調用系統權限次數最多的為蘇寧易購,達1199次……這是近期中國網絡空間安全協會、國家計算機網絡應急技術處理協調中心對“網上購物類”公眾大量使用的部分App收集個人信息情況進行測試的報告。
與之前官方點名通報不同,該測試報告將啟動App、搜索商品、購物下單、后臺靜默等常見場景下的系統權限調用、個人信息上傳以及網絡上傳流量情況,逐一說明,10款主流購物App的個人信息收集情況一覽無余。
伴隨著法律法規不斷完善以及App治理走深走實,近年來App個人信息處理逐漸規范,尤其是主流App合規工作越發完善,這次“曬成績單”式的報告,一定程度上將10款主流購物App做了橫向比較,創新了監督模式。該報告被國家網信辦公號轉載。受訪專家認為,App治理從僅關注采集了什么,到部分情況下采集了多少,可以看作是一個小進步。這次報告是一種督促,也是一種告知。
4種使用場景中 蘇寧易購調用系統權限次數最多
本次測試選取了19家應用商店累計下載量排名前10位的“網上購物類”App。10款App分別為淘寶、京東、拼多多、華為商城、唯品會、淘特、手機天貓、蘇寧易購、榮耀親選、當當。
測試以完成一次網上購物活動作為測試單元,包括啟動App、搜索商品、購物下單3種用戶使用場景,以及后臺靜默應用場景。
位置、設備信息、剪切板、應用列表是常見的調用類型,10款App在上述4種場景下未發現調用相機、麥克風、通訊錄等其他權限。
根據測試,在搜索商品場景中,調用系統權限種類最多的為淘寶調用了8次位置權限、8次設備信息權限、1次剪切板權限,調用系統權限次數最多的為蘇寧易購,調用了152次位置權限。
購物下單時,調用系統權限種類最多的為手機天貓,調用了位置權限、設備信息權限以及剪貼板權限,蘇寧易購調用了251次位置權限和4次應用列表權限。
關于個人信息上傳情況,測試發現,在啟動App場景中,個人信息上傳種類最多的為拼多多,包含了位置信息、唯一設備識別碼、剪切板內容信息以及應用列表信息等4類;在搜索商品場景中,個人信息上傳種類最多的為拼多多和手機天貓,包括了位置信息、唯一設備識別碼、剪切板內容信息以及購物信息。
位置信息的權限調用、上傳在實踐中關注度很高。北京理工大學法學院助理教授、智能科技風險法律防控實驗室副研究員裴軼解釋道,位置信息不僅是個人信息、還是敏感個人信息,某些情況下還會成為重要數據。為了保護個人隱私以及避免更嚴重的數據泄露,對于App的監管應該是:完全禁用位置追蹤;明確要求用戶決定是否開啟位置追蹤。但是現實中這種強勢的禁用很難做到,一是技術本身很難實現;二是因為收集位置信息本身也是提供更優服務、更個性化服務的前提,完全禁用位置信息可能會削減部分功能的完全實現。
她提到,現實中IOS系統是可以基本做到用彈窗告知方式明確告知用戶,但是安卓系統由于其開源性、很難做到對所有應用程序的強制要求,因為安卓的API本身允許應用程序獲得基站/WiFi熱點的信息,意味著可以繞過用戶同意就獲得位置信息。
剪貼板讀取問題也備受關注,曾有一些App監控用戶手機剪貼板被曝后登上熱搜。在司法實踐中也有相關判例出現。
剪貼板相當于“公共場所”,用戶在進行復制/粘貼操作時,跨平臺操作時可能存在信息泄露的風險。裴軼指出,剪貼板如果有緩存,且緩存后沒有及時刪除、更有甚者另作他用,屬于超出知情同意范圍的使用,也違反了最小必要性、最短存儲時間;用戶在分享鏈接、口令等操作中剪切了大量信息,此時用戶為了方便操作,其實是期待可以多次、反復使用這些剪切復制的信息的。App可以抗辯這屬于用戶授權的使用,但用戶其實并未意識到這種行為可能帶來的個人信息泄露風險。
裴軼認為,App應明確告知用戶剪切行為可能存在的風險,比如至少像iOS系統那樣彈窗顯示“xx應用正在粘貼來自于xx(另一軟件)復制的內容”,否則是將合規風險、法律風險轉移給了普通用戶。
拼多多、當當后臺靜默期調用應用列表權限
根據測試結果,在后臺靜默場景中,調用系統權限種類最多的為拼多多,調用了4類:位置權限(39次)、設備信息權限(8次)、剪貼板權限(1次)、應用列表權限(1次);調用系統權限次數最多的為蘇寧易購,調用位置權限1199次。
在后臺靜默場景中,拼多多個人信息上傳種類最多,上傳了唯一設備識別碼、剪切板內容信息以及應用列表信息;當當其次,上傳了唯一設備識別碼和應用列表信息,華為商城、唯品會、榮耀親選沒有進行個人信息上傳。
值得注意的是,拼多多、當當在后臺靜默期仍調用應用列表權限。北京尚隱科技有限公司CEO張仁卓提到,合理理由是為了關聯應用的快速啟動,譬如關聯支付可以快速啟動。當然可能也存在隱含理由,譬如關聯啟動,互相喚醒;信息流的互相交換推薦;甚至包括用戶畫像。
App治理監督更細化 督促企業升級個人信息保護
“調用次數可能并不直接說明問題,具體還要結合應用場景確認是否合規。”受訪專家均表示。
伴隨著法律法規的完善以及App治理的不斷深化,近年來App個人信息處理逐漸規范,尤其是主流App合規工作越發完善。
2017年中央網信辦等四部門聯合開展隱私條款專項工作,對微信、淘寶等十款網絡產品和服務的隱私條款進行評審。彼時,多數App連基本的隱私政策都難以合規。
此后,治理范圍擴大到App收集個人信息的方式,個人信息范圍的合理必要以及用戶同意落地成為治理重點。2019年1月中央網信辦、工業和信息化部、公安部、市場監管總局四部門聯合發布《關于開展APP違法違規收集使用個人信息專項治理的公告》,在全國范圍組織開展APP違法違規收集使用個人信息專項治理,并成立APP違法違規收集使用個人信息專項治理工作組。
2021年以來,網信辦、工信部均定期通報違法違規收集個人信息的App、侵害用戶權益行為的APP名單。工信部還將侵權的SDK情況通報。App的治理工作更為密集,監管觸達場景更細化。
逐漸深化的治理,行業整體個人信息保護合規水平得到了提升。此次測試結果公布,張仁卓認為,App治理從僅關注采集了什么,到部分情況下采集了多少,可以看作是一個小進步。
雖然一個客觀評測,而不是行政處罰決定,但裴軼認為,測評報告是一種督促,也是一種告知:執法機構可以獲得平臺的真實合規情況,請大家盡快整改、不要心存僥幸。