7月3日,工业和信息化部公布了2020年第二批侵犯用户权益的15款应用名单,智慧树、纳米盒、吴梵游戏厅等应用被命名。
这不是工业和信息化部第一次公开应用程序问题。自2019年12月起,工业和信息化部开始上报侵犯用户权益的应用列表。截至7月3日,工业和信息化部已公布了四批应用程序清单,共有87个应用程序在清单上,涉及到八大问题,如私下收集个人信息、过度申请许可、账户注销困难等。
《新京报》壳牌金融的记者了解到,《App违法违规收集使用个人信息行为认定方法》这四个批次是由名单公函处和工业和信息化部发布的,这四个批次详细说明了如何定义App明确告知个人信息收集和使用的行为。应用程序特别治理工作组的专家解释了这种识别方法。例如,他说收集和使用个人信息的目的、方法和范围没有明确列出,包括应用收集和使用个人信息的目的、方法和范围(包括委托第三方或嵌入第三方代码和插件)。
据《新京报》壳牌财经记者报道,目前绝大多数应用在首次安装和开通后都会在弹出窗口的隐私政策中写明收集信息的范围,但不同的应用对收集信息的细节描述不同,这可能是工业和信息化部判断应用是否侵犯用户权益的关键点。
例如,通知的应用程序纳米盒在其隐私政策中声明,它可以通过cookies收集用户的IP地址等信息,但仍被认为是私人收集的个人信息。
应用程序特别治理工作组的专家解释说,应用程序和应用程序中嵌入的第三方需要采取适当措施,在收集和使用个人信息时通知用户。“我们使用检测工具来检测一个应用程序中嵌入了54个SDK,在这么多SDK中没有个人信息泄露的风险。目前,一些应用程序在整改后运行良好,有些还专门列出了SDK,甚至还列出了第三方共享的接收者。如果明确的工作完成到这个程度,我相信用户也会大大提高他们对应用的信任。
此外,根据《App违法违规收集使用个人信息行为认定方法》,如果应用程序没有逐一列出相关的收集和使用规则,或者内容晦涩、繁琐、用户难以理解,如使用大量技术术语,仍将被视为“私下收集信息”。
超过95%的问题应用程序及时纠正了帐户注销,问题得到了最大程度的改善
每当工业和信息化部公布一批有问题的应用列表时,它也会为相关应用设定一个整改期。例如,对于7月3日发布的应用程序列表,工业和信息化部要求在7月14日前完成整改。
《新京报》财经记者下载了上述应用程序,发现有些应用程序还没有整改。例如,《乐教薛乐》的1.0.216版本存在不允许或不使用的问题。7月6日,当记者下载音乐教学时,他发现应用程序的弹出窗口提示访问设备的照片、媒体内容和文件。如果记者点击“禁止”,会弹出“没有存储权限,不能正常工作”的提示。只有在访问文件的弹出窗口中单击“始终允许”,应用程序才能正常使用。
然而,也有一些问题,旧版本的应用程序需要“提前”纠正,因为版本更新。例如,在工业和信息化部7月3日公布的名单中,旅行者之星5.5.23版很难命名,因为它私下收集个人信息并取消账号。然而,记者浏览了应用商店,发现该应用已于7月1日更新至5.5.24版本,其中一个更新内容是“改进用户注销流程”。
如果问题在截止日期后仍未得到纠正,工业和信息化部将采取相对
这两个应用程序报告的问题已经在更新版本中得到纠正。例如,人人网视频版本4.3.3/4.3.4存在私下收集个人信息、与第三方私下分享以及过度主张权利的问题。7月5日,在下载了人人视频4.8.4版后,记者发现其隐私政策列出了收集个人信息的详细目的,列出了所有第三方公司的SDK列表,并宣布了使用目的。同时,除基本设备权限外,只有弹出窗口提示询问地理位置信息(但用户可以选择拒绝),并完成整改。
微唱原创音乐1.1.0版由工业和信息化部命名,存在私人收集个人信息、强迫用户使用定向推送功能、不予许可、索赔过多、销户困难等问题;7月5日,记者下载了微唱1.1.7版,安装后打开。发现该应用程序除了基本设备权限之外没有要求任何额外的权限,并且在初始安装时有一个完美的隐私协议。注册用户账号后,记者发现在显眼的地方有一个注销选项,整改完成。
《新京报》财经记者整理了工业和信息化部公布的四批App清单,发现其中对销户和拒证两个问题的改善最为明显。其中,第一批列表中有36.59%的应用账户难以取消,最新一批列表中只有13.33%的应用账户难以取消;拒绝访问的频率也从2019年12月的26.83%降至目前的13.33%。
延展
解决应用侵犯用户权益的行为有哪些困难?
据壳牌财经记者统计,工业和信息化部通报的四批问题应用列表中,除了个人信息私下收集问题最多,达53次之外,权限过大问题累计达31次,与第三方私下分享问题累计达30次,这是第二、三个问题。可以发现,列表中的前三个问题都与用户的私人信息有关。
在这方面,腾讯法律部数据和隐私中心主任黄筱琳认为,应用程序过度访问用户的问题由来已久,一些应用程序超出必要范围对用户进行敏感访问是不合适的。然而,这些现象的原因是,他们面临的法律风险可能远远低于他们可以获得的商业利益。
一些监管机构对壳牌金融记者表示,企业收集的私人信息可以作为用户的肖像,方便发送广告。应该理解合理的广告需求。“一些小微企业的收入来源是应用程序中的广告。如果采用“一刀切”的方式,一些应用将无法生存。然而,从用户的直觉角度来看,他们可能认为他们的私人信息被盗了。此时,监管机构需要综合考虑用户和企业的需求。”
该人士表示,当发现一些应用存在侵权问题时,将直接联系应用运营商,要求对方进行整改。对于比较容易整改的问题,如取消应用的难度,企业可以快速引入取消方式,用户也可以很容易发现这种变化,所以取消困难的整改很容易推进;然而,私人收集个人信息的问题更加复杂。例如,一些应用程序必须收集必要的个人信息才能使用,判断什么是“私人收集”通常很麻烦,这可能是为什么私人收集个人信息的问题总是存在于四批应用程序的通知列表中的原因之一。
新京报壳牌财经记者罗一丹编辑李校对
