文|《中国经济周刊》记者 周琦
视觉中国
又双叒叕有App因为在收集使用个人信息方面存在问题被点名批评了。
7月16日,由中国消费者协会等成立的App违法违规收集使用个人信息专项治理工作组(下称“App专项治理工作组”)发布通知称,有40款App在个人信息收集使用方面存在问题,且未公开有效联系方式。
拉卡拉、中国银行、旺信等App被点名
App专项治理工作组称,这40款App包括宜人贷、ppmoney出借、拉卡拉、小赢卡贷、悟空理财等,此外,还包括Soul、起点读书、扇贝单词、墨迹天气等。
被点名的40款App中,包括深圳市赢众通金融信息服务股份有限公司运营的小赢卡贷、百度金融(度小满金融)旗下“有钱花”等13家互联网借贷平台。
《通知》要求,相关App运营者于本通知发布之日起10日内联系工作组,领取整改通知,于本通知发布之日起30日内完成整改并向工作组提交整改报告,逾期未领取整改通知或未完成整改的,工作组将建议相关部门予以处置。
这不是App专项治理工作组第一次发布公告了。
7月11日,App专项治理工作组就通报称,经评估发现,有10款App违反《网络安全法》第41条“公开收集使用个人信息规则”的要求,无隐私政策。这10款App中,不乏中国银行手机银行、春雨医生、北京预约挂号、韵达快递、北京交通等知名App。
在7月11的通报中,天天酷跑、趣店、探探、旺信、人人等20款App,也因违反《网络安全法》第41条“网络运营者收集使用个人信息,应当遵循合法、正当、必要的原则”的要求,被点名批评。App专项治理工作组称,这20款App要求用户一次性同意开启多个可收集个人信息权限,不同意则无法安装使用。
已收到举报信息5500余条
作为受中央网信办、工信部、公安部、市场监管总局委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立的组织,App专项治理工作组发布的公告,可以看作监管部门的态度。
此前,App专项治理工作组负责人在介绍App违法违规收集使用个人信息专项治理相关工作进展情况时透露,截至6月11日,共收到举报信息5500余条,其中实名举报信息1800余条。
从网民反映的问题看,主要集中在五个方面:
一是实际收集的个人信息与业务功能无关,如金融借贷类App收集用户通信录等,占比约31.2%;
二是未公开收集使用个人信息的规则,如没有隐私政策或隐私政策中没有如何收集使用个人信息的相关内容,占比约19.0%;
三是无法注销账号,App不提供注销功能,或注销后不及时删除个人信息,占比约16.3%;
四是将基本业务功能与其他业务功能“捆绑”,要求用户一次性授权同意收集个人信息,不同意则拒绝提供任何业务功能,占比约9.6%;
五是未经用户同意收集个人信息,或在提醒用户阅读隐私政策前就开始收集、上传个人信息,占比约8.1%。
“默认勾选”似乎成顽疾
App在个人信息收集使用方面存在的问题,不仅限于未通知用户,“默认勾选”的“绑架”行为,在此前也时有发生。
比如,在2018年闹得沸沸扬扬的“支付宝年度账单事件”中,涉事企业在页面中并不显眼的地方安排了“我同意《芝麻服务协议》”的选项,并且提前替用户勾选,用户如果不同意,需要再点击一下复选框。用户如果稍有疏漏,就会“被自愿”地同意该协议,存在第三方和支付宝内的个人信息便会被企业收集。
类似于“默认勾选”的“绑架”做法其实不只存在于某一家企业,其似乎是互联网行业的“顽疾”。
当前的法律法规还留有空子可钻
2018年5月1日正式实施的《信息安全技术 个人信息安全规范》即规定,有关数据控制方“若接收方处理个人信息超出上述范围的,还应在合理期限内另行征得个人信息主体的明示同意。”
欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)则对何谓有效的“个人同意”做了非常严格的要求:个人沉默、预先勾选和静止状态不足以认定个人表达了“同意”。
业内人士认为,这欧盟的做法,可以为国内的相关规定提供非常有价值的参考意义。
尽管我国已经存在一部网络安全法,但其解决的主要是与网络安全相关的问题,涉及面比较广泛,虽然网络安全法中有专门针对个人信息安全保护的章节,但由于立法目的不同,可能对个人信息的保护并不全面。
5月5日,App专项治理工作组起草了《App违法违规收集使用个人信息行为认定方法(征求意见稿)》(下称《认定方法》),并公开征求社会意见,引发业内热议。
中国人民大学法学院教授杨立新介绍,随着社会对个人信息保护问题的愈加关注,我国已经有多部法律、法规、规章涉及个人信息保护。但从实践看,未能明晰过度采集行为及其应当的责任范围,使得大量App仍有空子可钻。因此,及时出台《认定方法》,明确App违规行为的具体认定标准,对于落实《网络安全法》的相关要求有重大作用。
编审 | 姚冬琴
