近日,网信办经检测核实“滴滴出行”APP存在违法违规收集使用个人信息问题,并发布了下架“滴滴出行”APP的通报。同时,网信办还启动对“运满满”“货车帮”“BOSS直聘” 网络安全审查,要求审查期间停止新用户注册。
这些事件将个人信息安全、数据安全、网络安全等问题推向新的高潮。
近几年,一些公司通过APP以各种借口获取并违规使用我们的个人信息,包括面部信息、身份信息、金融信息等。
作为用户,当我们下载某款APP时,一定会困惑,是否应该授权APP开启权限?
隐私政策太长,如何快速阅读?
没有隐私政策,代表没有收集行为?
删除卸载就可以防止信息泄露了吗?
作为用户,如果我们没有一点隐私安全意识,极容易导致个人信息被不法分子获取并被兜售或用于其他商业目的。
为此,本文章仅围绕APP授权、隐私政策、强制授权、账户注销和投诉举报5个方面,判断APP是否存在违规行为。
一、还未读《隐私政策》,就开始向用户所要授权,是否违规?
答案:是
当我们下载某款APP并首次打开时,一些APP会直接弹窗提示开启权限。
根据《App违法违规收集使用个人信息行为认定方法》,征得用户同意前就开始收集个人信息或打开可收集个人信息的权限,被认定为“未经用户同意收集使用个人信息”。
并且在2020年,工信部以及地方通信管理局多次通报了近300款APP存在该行为。
当我们还未了解这些APP具备哪些功能,就要求授权,很容易导致我们的个人信息被非法获取。
合规情况应该是:用户先阅读并同意隐私政策,之后再弹窗提示授权,或者当我们使用某功能时,弹窗授权。
当我们遇到这种违规APP,如非必要,尽量直接卸载。这些APP很显然有超过1年以上,没有对其APP进行整改,或整改不彻底。
在过去2年,各执法部门的整治活动下,大部分APP有明显改善,仅少量APP仍存在问题。
二、隐私政策这么长,如何快速阅读?
隐私政策大部分为8-10个部分,我们可以优先阅读“如何收集您的个人信息”、“如何访问和管理自己的个人信息”和“如何联系我们”这三部分。
图片来源:中信银行(601998,股吧)APP
在“如何收集您的个人信息”,快速阅读了解APP基本功能,同时与《常见类型移动互联网应用程序必要个人信息范围规定》所提到的39类APP进行对比,确定是否存在超范围收集个人信息。根据《App违法违规收集使用个人信息行为认定方法》,收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关,可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”。
在“如何访问和管理自己的个人信息”部分,是否有更改、删除个人信息和注销账户的路径和功能。《App违法违规收集使用个人信息行为认定方法》,未提供有效的更正、删除个人信息及注销用户账号功能,可被认定为“未按法律规定提供删除或更正个人信息功能”。
在“如何联系我们”部分,查看是否有提供投诉举报途径,并且反馈时间不超过15个工作日。《App违法违规收集使用个人信息行为认定方法》,未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。可被认定为“未公布投诉、举报方式等信息”。
三、强制同意隐私政策/同意授权
阅读完《隐私政策》之后,你可能会选择拒绝同意;或同意《隐私政策》之后,弹窗索要授权,你在选择拒绝之后,被强制退出APP。
尽管有法律要求不能强制授权,但如果按照该要求,可能大部分手机APP均存在问题,包括社交、新闻、工具、游戏、电商类APP。
难道就任由这些公司开启权限吗?也不是
除非隐私政策中提到相关业务收集的个人信息,超过你的接受范围,并且你还有其他可替代方式,否则,我们只能选择同意。
此外照片、相机、定位权限,除非我们需要或计划使用相关功能,否则不能强制要求用户授权。
四、是否能够注销
根据国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》,用户有权注销账户,同时,账户注销不仅能停止APP信息的收集使用行为,还能删除部分相关公司留存的个人信息。
我们除了在阅读隐私政策时,留意是否有注销路径和方法。同时,也需要验证一下。确认是否有该功能在APP上,(注,手机银行APP需要用户去网点注销)。
同时,确认注销的流程和所提交的材料,以及注销功能的时效性。如果时长超过15天,或所提交材料超过我们注册认证时所提交材料的范围。则存在超范围收集用户信息行为。
五、是否能够投诉举报
根据国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》,App应该留有投诉举报途径。并且要求给予15天反馈时间。
如果不满足任意一条,我们均需要对这些APP保持警戒心。可能当我们进行投诉举报时,留存的电话不是相关部门,最终导致举报无门,问题无法解决。
目前,APP呈现多样化,例如支付宝、微信、京东、滴滴、美团等APP,同时具备“金融”的属性。例如,美团App不仅提供外卖订餐服务,同时还是提供信用卡、贷款等个人金融服务。
因此,以单一业务和功能判断隐私政策是否存在违规行为,是不合理。
以上5点,仅仅是能够排除一些APP不重视个人信息隐私保护、整改不完全、不彻底的公司。一些公司私下通过技术手段或用晦涩难懂的文字隐瞒自己存在超范围收集用户信息行为,是很难通过阅读隐私政策和功能体验来判断的。
最为用户和消费者,对于违法违规收集用户信息行为,我们应该0容忍。
END.
(点击下方图片,看金融APP测评专题)
(董云龙 )