APP收集个人信息整改难:隐私协议内容、形式不一,14岁也能玩金融?
针对App收集个人信息的整治仍在持续进行中。日前,国家计算机病毒应急处理中心称近期开展电商平台整治行动,发现多款电商平台App存在隐私不合规行为,违反《网络安全法》相关规定,涉嫌超范围采集个人隐私信息,毒、微店等10款APP被点名。
其中,楚楚街、毒、萌推、淘集集、折800等APP未经用户同意收集个人隐私信息,贝贝、返利、微店、找靓机、转转等APP未向用户明示申请的全部隐私权限。
柒财经旗下互联网金融新闻中心了解到,除了违规APP陆续遭通报外,此前工信部还宣布启动App侵害用户权益专项整治工作,称将重点针对违规收集个人信息、违规使用个人信息、不合理索取用户权限、为用户注销账号设置障碍四个方面的八类问题开展规范整治工作。
具体问题包括私自收集个人信息、私自收集个人信息、超范围收集个人信息、私自共享给第三方用户信息、强制用户使用定向推送功能、不给权限不让用、频繁申请权限、过度索取权限以及为用户账号注销设置障碍等共计8类。
隐私协议内容暗藏玄机
毒、微店等10款APP被点名已经不是监管方通报的第一批违规APP名单。1月25日,中央网信办、工信部、公安部、市场监管总局等四部门联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》,决定自2019年1月至12月,在全国范围组织开展APP违法违规收集使用个人信息专项治理。
随后,App违法违规收集使用个人信息专项治理工作组陆续通报多款存在收集使用个人信息问题的APP,包括小赢卡贷、有钱花、拉卡拉等多个金融类平台,并要求其限期进行整改。同时,广东省公安厅也监测发现并通报多款违规APP。
11月12日,互联网金融新闻中心下载了多款此前被点名的金融类APP,分析其隐私政策发现,不少平台在被点名后,仍在违规进行信息收集业务。
其中,小赢卡贷新用户在注册时,可以看到注册页面《小赢网金注册服务协议》(下称《注册协议》)、《隐私协议》2份文件提示。柒财经阅读后发现,注册协议中第七条为“用户信息及隐私保护”,其中部分条款内容与《隐私协议》内容有所矛盾。
小赢卡贷《隐私协议》显示,该协议为1.0版本,更新并生效于7月26日。7月16日,小赢卡贷遭监管点名,并要求其10天内完成整改。在整改期限内的最后一天,小赢卡贷发布了独立版的《隐私协议》。
相较于原本附属在《注册协议》里的内容,小赢卡贷独立版本的《隐私协议》内容更为全面。但另一方面,小赢卡贷《隐私协议》里列出的部分获取个人信息的用途并不合理。
小赢卡贷在《隐私协议》里指出,“在您使用小赢卡贷平台的‘借贷引流’及购物服务过程中,我们会基于相关法律法规的要求收集您的位置信息,收集这类信息是为了反欺诈识别,以及辅助识别不符合金融监管规定的借款人。”购物服务收集位置信息无可厚非,但位置、借贷引流与反欺诈、识别监管人之间的业务逻辑则有所欠缺。
此外,互联网金融新闻中心对比发现,对于“个性化展示与推荐”中提到的基于用户个人信息数据分析以推送相关商品和服务,小赢卡贷未标明可以提供取消该项业务的功能。而拉卡拉、有钱花等则表明“若不想接收营销信息,用户可进行取消。”
拉卡拉方面,互联网金融新闻中心下载后注意到,首次打开拉卡拉APP,其《隐私政策》会在主页面弹出、并已经默认勾选“已完整阅读”,用户只能选择“同意”,方能进入主页面。
同时,拉卡拉在“未成年人的个人信息保护”中指出,用户应为14周岁以上的独立责任人,平台仅对14周岁以下的用户信息使用、披露,征求父母或监护人同意。而小赢科技、有钱花等限定年龄均为18周岁。
此前被通报无隐私政策和用户协议的云集,也在2019年7月进行了更新。云集在隐私政策中指出,非重大隐私政策变更将不会通过弹窗、短信等方式提示用户,需要用户自己在官网或APP查看。
互联网金融新闻中心在使用中发现,不同手机系统对于各类APP获取权限情况也有所影响。根据安卓系统手机应用商城提示,包括前述在内的金融类APP普遍存在获取敏感隐私权限的行为,包括显示弹框或全屏界面到其他应用上、必须开启定位服务等方可使用软件、获取设备识别码等。
条款不合理APP不在少数
此前,中国消费者协会发布的《100款App个人信息收集与隐私政策测评报告》显示,在个人信息使用规则方面,金融理财类App得分相对较低,仅为0.8分(满分为5分),大部分金融理财类App未明确告知使用用户个人信息的规则。
对此,零壹研究院院长于百程认为,金融理财类的用户是投资人,用户价值比较高,用户的个人信息也成为平台进行客户运营的依据,因此,平台会倾向于尽可能收集个人信息,甚至出现过度收集的情况。
而APP过度收集用户隐私信息,侵害了个人的合法权益,如果违规使用、买卖或信息泄露,个人用户轻则被垃圾信息和电话骚扰,重则被冒名办理业务,甚至被诈骗,引发财产损失和安全性问题。
于百程表示,在互联网个人信息保护问题上,有几个争议或风险点。比如收集信息的行为是否明确提醒用户,用户是否有选择权,收集信息是否有过度情况,是否存在霸王条款,还有就是信息收集后的合理使用和隐私保护问题。
对于上述问题和争议,于百程指出,在监管上,首先需要有一部明确的法律标准来进行界定和保护,目前《个人信息保护法》已经在加速推进阶段。其次,需要建立完善的投诉举报监督机制,用第三方和公开的力量对APP进行监督。此外,对于个人用户来说,要多注意注册协议和隐私条款,回避明显条款不合理的App。
互联网金融新闻中心了解到,目前,针对App违法违规收集使用个人信息的举报平台已经建立。2019年9月,网信办相关负责人在2019年网络安全博览会新闻发布会上披露,该举报平台已经收到近8000条举报信息,并已将400余款下载量大、用户常用App纳入了评估,向100多家App运营企业发送了整改建议函。
据悉,APP业务违规主要集中在违规收集用户个人信息方面、违规使用用户个人信息方面、不合理索取用户权限方面以及为用户账号注销设置障碍方面等4个方面。
随着App收集个人信息的整治持续推进,应监管要求,各类APP陆续上线了独立的隐私政策等内容,并要求在醒目且易于访问、阅读的地方进行公示,更不能制造障碍、刻意隐藏和诱导用户略过。对于收集信息的用途、使用范围以及业务逻辑与权限的关系,也应该进行合理说明。
同时,App治理工作组介绍,App们通过让用户同意“隐私政策”的方式,达到明示规则和征得同意两个要求,还有些隐私政策以“兜底”的方式免责,例如小赢卡贷APP旧版的隐私保护内容中明确提出,“由于技术限制,平台不保证个人隐私不会通过其他途径泄露”。而这些方式都使得隐私政策失去了其原有的意义,都是不可取的。
正确、合理的信息采集方式,应该是运营方在隐私政策中,先将基本业务功能所收集的必要个人信息进行清晰、完整地列举,再将扩展功能可能要收集的个人信息进行说明。而扩展功能由用户自行选择是否开启,即使用户一开始点击过同意“隐私政策”,也不代表个人信息已经被收集,只有在用户自行开启相应功能和服务时才会收集。