中國銀行、拉卡拉……40款A(yù)pp違規(guī)收集個人信息被點(diǎn)名批評

保護(hù)個人信息和隱私，僅有《網(wǎng)絡(luò)安全法》是不夠的

《中國經(jīng)濟(jì)周刊》記者 周琦｜北京報(bào)道

(本文刊發(fā)于《中國經(jīng)濟(jì)周刊》2019年第14期)

又雙叒叕有App因?yàn)樵谑占褂脗€人信息方面存在問題被點(diǎn)名批評了。

7月16日，由中國消費(fèi)者協(xié)會等成立的App違法違規(guī)收集使用個人信息專項(xiàng)治理工作組(下稱“App專項(xiàng)治理工作組”)發(fā)布通知稱，有40款A(yù)pp在個人信息收集使用方面存在問題，且未公開有效聯(lián)系方式。

拉卡拉、中國銀行、旺信等App被點(diǎn)名

App專項(xiàng)治理工作組稱，這40款A(yù)pp包括宜人貸、ppmoney出借、拉卡拉、小贏卡貸、悟空理財(cái)?shù)龋送猓€包括Soul、起點(diǎn)讀書、墨跡天氣等。

被點(diǎn)名的40款A(yù)pp中，包括深圳市贏眾通金融信息服務(wù)股份有限公司運(yùn)營的小贏卡貸、百度金融(度小滿金融)旗下“有錢花”等13家互聯(lián)網(wǎng)借貸平臺。

這不是App專項(xiàng)治理工作組第一次發(fā)布公告了。

7月11日，App專項(xiàng)治理工作組就通報(bào)稱，有10款A(yù)pp違反《網(wǎng)絡(luò)安全法》第41條“公開收集使用個人信息規(guī)則”的要求，無隱私政策。這10款A(yù)pp中，不乏中國銀行手機(jī)銀行、春雨醫(yī)生、北京預(yù)約掛號、韻達(dá)快遞、北京交通等知名App。

在7月11日的通報(bào)中，天天酷跑、趣店、探探、旺信、人人等20款A(yù)pp，也因違反《網(wǎng)絡(luò)安全法》第41條“網(wǎng)絡(luò)運(yùn)營者收集使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則”的要求，被點(diǎn)名批評。App專項(xiàng)治理工作組稱，這20款A(yù)pp要求用戶一次性同意開啟多個可收集個人信息權(quán)限，不同意則無法安裝使用。

已收到舉報(bào)信息5500余條

此前，App專項(xiàng)治理工作組負(fù)責(zé)人在介紹App違法違規(guī)收集使用個人信息專項(xiàng)治理相關(guān)工作進(jìn)展情況時(shí)透露，截至6月11日，共收到舉報(bào)信息5500余條，其中實(shí)名舉報(bào)信息1800余條。

從網(wǎng)民反映的問題看，主要集中在五個方面：

一是實(shí)際收集的個人信息與業(yè)務(wù)功能無關(guān)，如金融借貸類App收集用戶通訊錄等，占比約31.2%；

二是未公開收集使用個人信息的規(guī)則，如沒有隱私政策或隱私政策中沒有如何收集使用個人信息的相關(guān)內(nèi)容，占比約19.0%；

三是無法注銷賬號，App不提供注銷功能，或注銷后不及時(shí)刪除個人信息，占比約16.3%；

四是將基本業(yè)務(wù)功能與其他業(yè)務(wù)功能“捆綁”，要求用戶一次性授權(quán)同意收集個人信息，不同意則拒絕提供任何業(yè)務(wù)功能，占比約9.6%；

五是未經(jīng)用戶同意收集個人信息，或在提醒用戶閱讀隱私政策前就開始收集、上傳個人信息，占比約8.1%。

“默認(rèn)勾選”似乎成頑疾

App在個人信息收集使用方面存在的問題，不僅限于未通知用戶，“默認(rèn)勾選”的“綁架”行為，在此前也時(shí)有發(fā)生。

比如，在2018年鬧得沸沸揚(yáng)揚(yáng)的“支付寶年度賬單事件”中，涉事企業(yè)在頁面中并不顯眼的地方安排了“我同意《芝麻服務(wù)協(xié)議》”的選項(xiàng)，并且提前替用戶勾選，用戶如果不同意，需要再點(diǎn)擊一下復(fù)選框。用戶如果稍有疏漏，就會“被自愿”地同意該協(xié)議，存在第三方和支付寶內(nèi)的個人信息便會被企業(yè)收集。

類似于“默認(rèn)勾選”的“綁架”做法其實(shí)不只存在于某一家企業(yè)，這已成互聯(lián)網(wǎng)行業(yè)的“頑疾”。

當(dāng)前的法律法規(guī)還留有空子可鉆

2018年5月1日正式實(shí)施的《信息安全技術(shù)個人信息安全規(guī)范》即規(guī)定，有關(guān)數(shù)據(jù)控制方“若接收方處理個人信息超出上述范圍的，還應(yīng)在合理期限內(nèi)另行征得個人信息主體的明示同意”。

歐盟《通用數(shù)據(jù)保護(hù)條例》則對何謂有效的“個人同意”做了非常嚴(yán)格的要求：個人沉默、預(yù)先勾選和靜止?fàn)顟B(tài)不足以認(rèn)定個人表達(dá)了“同意”。

盡管我國已經(jīng)存在一部《網(wǎng)絡(luò)安全法》，但其解決的主要是與網(wǎng)絡(luò)安全相關(guān)的問題，涉及面比較廣泛。雖然網(wǎng)絡(luò)安全法中有專門針對個人信息安全保護(hù)的章節(jié)，但由于立法目的不同，可能對個人信息的保護(hù)并不全面。

5月5日，App專項(xiàng)治理工作組起草了《App違法違規(guī)收集使用個人信息行為認(rèn)定方法(征求意見稿)》(下稱《認(rèn)定方法》)，引發(fā)業(yè)內(nèi)熱議。

中國人民大學(xué)法學(xué)院教授楊立新介紹，我國已經(jīng)有多部法律、法規(guī)、規(guī)章涉及個人信息保護(hù)。但從實(shí)踐看，未能明晰過度采集行為及其應(yīng)當(dāng)?shù)呢?zé)任范圍，使得大量App仍有空子可鉆。因此，及時(shí)出臺《認(rèn)定方法》，對于落實(shí)《網(wǎng)絡(luò)安全法》的相關(guān)要求有重大作用。