你会向App要求下载自己的个人信息吗?去年11月,《个人信息保护法》正式生效,落实该法要求,不少App在隐私政策中新增了用户下载、转移个人信息副本的条款。可当用户真的提出如此诉求时,他们能否像隐私政策中所承诺的那样做到?
12月22日,南都个人信息保护研究中心联合清华大学人工智能国际治理研究院、人工智能治理研究中心在北京召开“2022啄木鸟数据治理论坛”,并发布《个人信息安全年度报告(2022)》(以下简称“报告”)。
报告对个人信息复制转移作出实测,发现150款被测App中实际可下载个人信息副本的不到一成,其中多数来自App自动化导出,以账号信息为主。不少App将个人信息副本等同于用户可以自行查看的基础信息,有客服明确表示无此业务,或不能理解诉求。此外,报告还对SDK、应用商店等进行测评。
不足一成App在15天内提供个人信息副本
个人信息保护法第四十五条规定,个人有权向个人信息处理者查阅、复制其个人信息,还有权请求将个人信息转移至其指定的个人信息处理者。在业界,这一条款也被类比为欧盟《通用数据保护条例》中的数据“可携权”。
测评结果显示,150款被测App中,共有45款App在隐私政策中明确告知个人信息副本可下载且可转移,更多的App告知可下载但没有提到转移。经实测,在15天内向用户提供了个人信息副本的仅有今日头条、腾讯新闻等14款App,占比不到一成。
这14款App中,有12款是在App内部提供了个人信息自动化导出的功能,用户可立刻从App内下载或获取自动邮件反馈。不过,用户获取个人信息副本的渠道大部分还是发送邮件,其他还有拨打电话、在线客服、留言反馈等。
值得注意的是,不少App将个人信息副本等同于用户可以自行查看的基础信息。“百词斩”“高途”“携程旅行”“京东”“堆糖”等App邮件回复称,请用户自行在App个人设置界面查看个人信息,无法专门提供副本。
此外,很多客服不知道如何应对获取个人信息副本的请求。比如“脉脉”“哈啰”“买单吧”“中移移动办公”“伊对”“连信”等App的客服表示不理解诉求;“堆糖”“云闪付”“中移移动办公”“星辰头条”等App的客服则明确表示无此业务。
以“堆糖”为例,在其更新和生效日期为2022年7月13日的隐私协议条款中,写明“希望获取个人信息副本时,请通过投诉举报邮箱……与堆糖公司联系。”但实际上公司的回复却称“很抱歉,堆糖暂不支持申请个人信息副本以及个人信息转移功能,目前仅对平台账号提供申请注册、使用、注销三项功能。”
从收到的个人信息副本来看,目前App提供的绝大多数个人信息都是自动生成的账号信息和用户主动提供的信息,列出设备信息如设备ID、Android ID等并不常见。
“虎扑”和“红袖读书”提供的个人信息副本
报告认为,引入可携权的初衷或许在于打破不充分竞争格局,实现数据的流通转移,但实际上,许多App运营者并未真正理解以及落实可携权,这项用户权利究竟该如何实现,还需进一步探索。
极光推送等9个SDK读取个人信息未告知
去年10月,工信部首次通报SDK(第三方软件工具开发包),称字节跳动“穿山甲”SDK、腾讯“优量汇”SDK、快手广告SDK存在问题较多。今年也有两批SDK被通报侵权,涉及的问题包括收集个人信息明示、告知不到位,超范围收集个人信息和违规使用第三方服务。
本次报告也在史宾格安全及隐私合规平台的技术支持下,将SDK纳入测评范围。SDK可以帮助App高效率、低成本地实现地图、支付、统计、社交、广告等一系列功能,同时自身也具备获取相当一部分设备信息和用户个人信息的能力。
报告显示,受测的150款App共使用了至少175个不同的SDK,其中68个读取了AndroidID,48个读取了设备IP,45个读取了MAC地址。
报告还发现,有25个SDK读取了用户的电话号码、精确地理位置、IMEI号、剪切板信息、传感器信息等个人信息。其中大部分SDK读取个人信息的行为与其所属App功能之间存在较易理解的相关性,但也有一些SDK收集个人信息的正当性存疑。
比如魅族推送SDK属于消息推送类,实现它的功能无需收集用户手机号,但当嵌入聚美App(8.793)时,魅族推送SDK却读取了这一个人信息。极光推送、LinkedMe、Growingio三款SDK的功能分别是消息推送、埋点统计类和唤醒/拉活,与读取剪切板信息并无直接关联。
此外,上述25个获取了个人信息的SDK中有9个未作出相应声明,其中未告知采集剪切板信息和传感器信息的问题最突出。比如神策数据分析、运营商一键登录、TalkingData移动应用统计分析、有道翻译SDK未声明读取传感器信息;极光推送、LinkedMe、Growingio未声明读取剪切板信息。
根据《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》,SDK收集个人信息的频率应是实现自身业务功能所必需的最低频率。
然而,检测结果显示,在单个App运行期间,TopOn聚合平台SDK读取了24次IMEI号;阿里号码认证服务SDK读取了7次用户的手机号。此外,极光推送SDK读取了23次剪切板;神策数据分析SDK读取了20次传感器信息。
值得注意的是,一些SDK在更新版本后,对于采集个人信息的范围更加谨慎。比如友盟SDK自9.3.7版本起将不再访问精确位置权限,vivo推送无需采集IMEI、AndroidID等设备唯一标识符即可实现功能。
多家应用商店新增年龄分级功能
个人信息保护法规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。
应用商店对平台上对App负有管理和审核责任,承担了部分“守门人”的职责。报告选取了OPPO软件商店、华为应用市场、vivo应用商店、小米应用商店四种应用商店,检查App的应用商店展示页面,并从隐私政策、权限告知、举报反馈、合规检测、年龄分级五大维度打分。
报告显示,OPPO软件商店以96.4分位列第一,较去年有所进步。华为应用市场以78.4分位列第二,vivo应用商店72.8分位列第三,小米应用商店则为68.2分,均和去年相差不大。整体平均分为80.1分。
与去年相比,所有App均能在应用商店中找到隐私政策的展示链接,但有6款App提供的并非有效链接,其中OPPO软件商店有4款,小米应用商店有2款。例如,OPPO软件商店的“寻你”(5.14.3)点入隐私政策链接后进入题为“专题平台”的浏览器界面,里面一片空白, 没有任何文字。
在被测App中,17款App在应用商店展示页的隐私政策与App内版本不一致,其中有不少头部App,如网易新闻(90.2)、新浪新闻(7.93.0)、快手(10.10.20.28422)、哔哩哔哩(7.5.1)、网易云音乐(8.8.70)等。例如在vivo应用商店中,快手的隐私政策为2019年11月8日版,而App内隐私政策为2022年10月18日版。
有6款App的隐私政策界面不适应手机,用户难以阅读。华为应用商店的“大象英语”(5.1)隐私政策是网页版,字体无法放大,不适应手机界面。但其在App内的隐私政策则是适应手机界面的横版。
不过,在年龄分级方面,多个应用商店有所改善。去年,华为应用市场是唯一对App进行年龄分级的应用商店,今年OPPO软件商店和vivo也增加了年龄分级,小米应用商店则针对游戏类App提供了年龄分级。
出品:南都个人信息保护课题组
采写:实习生程雨祺 南都记者孙朝
