為提升消費者對個人信息安全的重視度,積極推動APP依法合規(guī)獲取和使用公民個人信息,浙江省消保委聯(lián)合寧波市消保委對30款A(yù)PP在個人信息保護方面的情況開展了比較試驗,并于7月26日發(fā)布了比較試驗的結(jié)果。結(jié)果顯示,有12款完全符合技術(shù)標準,符合率為40%;暢途汽車票、悟空租車、車來了等多款A(yù)PP在個人信息保護方面存在問題。
四成APP符合標準 叫叫等教育類APP表現(xiàn)差
(相關(guān)資料圖)
據(jù)了解,此次比較試驗選取了醫(yī)療健康、旅游交通、時尚購物、金融理財、學習教育等5大類30款A(yù)PP,委托第三方檢測機構(gòu),根據(jù)《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273-2020),對“收集個人信息的合法性”“收集個人信息的最小必要”“收集個人信息時的授權(quán)同意”“去標識化處理”“個人敏感信息的傳輸和存儲”等有關(guān)個人信息保護的10個方面、27個測試點進行了測試。根據(jù)前期測試情況,追加選取了10款A(yù)PP,對“個人信息收集的合法性”“個人信息收集的最小必要”等方面進行了補充性測試。
結(jié)果顯示,30款A(yù)PP中有12款完全符合本次測試的技術(shù)標準,符合率為40%。大部分APP不符合標準的原因為:在個人信息存儲、使用中不符合去標識化要求,或者在個人信息訪問控制中沒有相應(yīng)內(nèi)部管理規(guī)定。
在加測的10款A(yù)PP中,符合標準的有7款,符合率為70%,在“個人信息收集的合法性”“個人信息收集的最小必要”方面表現(xiàn)尚可。測試還發(fā)現(xiàn),下載量大、企業(yè)知名度高的APP,技術(shù)標準符合率較高。
從類別來看,時尚購物和旅游交通類的APP在測試中技術(shù)標準符合率相對較高,達57.1%和50%。例如,時尚購物類的淘特和識貨APP,旅游交通類的攜程和途牛APP,在本次測試中均符合技術(shù)標準。學習教育類APP在測試中技術(shù)標準符合率相對較低,整體符合率為20%,存在個人信息泄露的風險。例如,叫叫APP在“收集個人信息時的授權(quán)同意”的測試中,被發(fā)現(xiàn)在收集14歲以下兒童的敏感個人信息時,未進行特殊說明或增強式告知。同時,在個人信息的展示限制中,寶貝資料頁面?zhèn)€人信息未進行去標識化處理。
暢途汽車票、悟空租車等在個人信息保護方面存問題
比較試驗發(fā)現(xiàn),被測試的APP存在違反個人信息收集的最小必要原則、過多收集個人信息的問題。在“收集個人信息的合法性”測試中,收集合法性要求(不應(yīng)從非法渠道獲取個人信息)的不符合率略高,達20%,可能會造成間接獲取時采用非法手段或渠道獲取個人信息的不良影響。例如,暢途汽車票APP未在隱私政策中逐一列出所有的收集個人信息的類型、收集方式及其目的,未逐一說明涉及收集個人信息的功能及其所必需收集的個人信息的類型且應(yīng)用軟件存在第三方登錄行為,未在隱私政策向用戶明示其規(guī)則。
另外,被測試的APP中存在個人信息無法以安全方式存儲的情況,從而造成信息泄露的問題。在“個人信息的展示限制測試”中,個人信息展示限制要求(涉及通過界面展示個人信息的如顯示屏幕、紙面,個人信息控制者宜對需展示的個人信息采取去標識化處理等措施,降低個人信息在展示環(huán)節(jié)的泄露風險)不符合率為23.33%。對消費者而言,個人隱私數(shù)據(jù)在APP前臺界面中以明文形式顯示,會造成惡意軟件通過截屏方式造成信息的泄露,同時也可能會發(fā)生公共場合下通過攝像頭或不懷好意的人背后窺探等方式發(fā)生信息泄露。例如,悟空租車APP對真實姓名未設(shè)置去標識化處理,該問題更容易導(dǎo)致用戶個人信息泄露。
在“個人敏感信息的傳輸和儲存”測試中,個人敏感信息的傳輸和儲存要求(個人生物識別信息應(yīng)與個人身份信息分開存儲)不符合率達13.33%,這表明敏感信息或生物識別信息在傳輸或存儲中,以明文形式存在,易造成較大風險。例如,車來了APP被發(fā)現(xiàn)在本地數(shù)據(jù)庫明文存儲用戶位置信息(包括所在位置經(jīng)緯度、目的地經(jīng)緯度及詳細地址),導(dǎo)致用戶敏感信息更容易泄露。
選擇知名度高的APP 不盲目賦予過高權(quán)限
寧波市消保委提醒消費者在使用手機APP時注意以下幾個方面:
注意選用安全合規(guī)的APP產(chǎn)品和服務(wù),并選擇正規(guī)有效的渠道進行下載安裝,盡量選擇規(guī)模大、知名度高的企業(yè)開發(fā)的APP。
注意認真閱讀APP的應(yīng)用權(quán)限和用戶協(xié)議或隱私政策說明,了解操作注意事項。留意給出的權(quán)限提示,不盲目賦予相關(guān)應(yīng)用過高的權(quán)限,不允許其收集不合理的個人信息隱私。
注意培育良好使用習慣,不隨意開放和同意非必要的讀取權(quán)限,不隨意輸入個人隱私信息,定期維護和清理相關(guān)數(shù)據(jù),經(jīng)常檢查APP的權(quán)限授予情況,及時關(guān)閉不必要的授權(quán)。
注意認真應(yīng)對個人隱私信息被泄露的問題,發(fā)現(xiàn)個人信息被泄露,要通過有效手段及時主動維權(quán),必要時向有關(guān)部門反映。
關(guān)鍵詞: 個人信息
責任編輯:Rex_01
