还在违心说“我已阅读隐私政策”? 我们帮你看了千款应用发现…
12月25日,2018南都智库产品发布周“互联网法治论坛(北京)”发布了《2018年度常用APP隐私政策透明度排行榜》(下称“报告”)。南都个人信息保护研究中心对购物导购、移动金融、教育文化、旅游交通、生活服务、社交交友、体育健身、新闻资讯、休闲娱乐、医疗健康等十个行业共1000款APP进行了测评。
图:十大行业平均分布
据悉,这是国内首次专门针对APP的大规模测评。测评结果显示,在个人信息保护相关法规和标准相继出台、相关部委展开隐私政策专项评审工作的大环境下,APP的隐私政策透明度整体比去年有所提升,但依然有逾七成APP的隐私政策不合格,甚至出现了盗用别家隐私政策的现象。
高分APP多属知名企业,12306、韵达速递无隐私政策
“隐私政策”,是企业与用户之间关于如何处理和保护用户个人信息的基本权利义务的文件。根据测评得分,1000款APP被划分为从高到低五个透明度层级:透明度越高,代表隐私条款中关于企业如何收集、使用、存储和保护个人信息的描述越清晰和全面。
测评结果显示,百度贴吧以97分位居第一,爱奇艺和百度地图以一分之差并列第二。1000款APP中,有13款达到隐私政策透明度高的层级;透明度低的APP数量过半,共538款,其中21%没有任何隐私条款,其中不乏12306、爱鲜蜂、韵达速递、小猿搜题这些人们耳熟能详、下载量较大的APP。
十大行业中,生活服务、休闲娱乐、医疗健康和旅游交通四个行业的平均分处于透明度较低的层级,其余为低。其中生活服务类的平均分最高,体育健身类最低。教育文化行业的平均从2017年度的30.2分提高到了2018年度的39.6分,进步最为显著。
与2017年度南都个人信息保护研究中心测评的683款APP相比,尽管测评标准更加严格,2018年度还是从测评最高得分、透明度高的APP数量和行业平均分等方面全方位“碾压”2017年度——整体平均分提高了近4分,透明度中等及以上的APP占比增加了12个百分点。
图:隐私政策透明度分布:2017年度 vs.2018年度
这些变化并非无迹可寻。据南都记者了解,过去一年里,不仅个人信息保护相关法规和标准相继出台,隐私政策专项评审工作也再次启动。
去年7月,中央网信办、工信部、公安部、国家标准委等四部委指导开展首次隐私条款专项工作,10款常用APP参与评审。今年8月底,第二次隐私条款专项工作正式启动,参评APP增加到30款。
此外,以《信息安全技术 个人信息安全规范》《信息安全技术 个人信息安全影响评估指南(征求意见稿)》为首的一批国家标准相继出台和实施,也对企业极具参考价值。
南都记者注意到,首批参评的10款APP中有不少都在这一年时间里数次更新隐私政策,在本次测评中几乎全部达到透明度高或较高的层级。事实上,透明度高或各行业排在前几名的“头部”APP中,90%以上都是BATJ、华为、爱奇艺、360等知名企业旗下的产品。
隐私设计首次被纳入测评标准,“仅浏览”、视频齐上阵
很多调查报告都曾提到,注册时会阅读隐私政策的用户是极少数。甚至有人戏称,“我已阅读并同意隐私政策”是当代人最违心的话。
人们不愿意看隐私政策主要有两层原因:一是APP强制同意——不同意就不能用,二是文本过于冗长晦涩。不过,已经有不少企业开始实践隐私设计(privacy by design)的理念,试图用更明显和轻松愉快的方式让人们了解隐私政策。
因此,南都个人信息保护研究中心首次把“呈现方式”纳入了测评标准,意在考察隐私政策设计上的创新性和用户友好程度。测评结果显示,企业已经开始探索“仅浏览”模式、解说视频、段落摘要、权限表格等多种呈现方式。
今年4月,知乎曾因新版隐私政策引起了网友的极大反弹,其中一个引起网友不满的地方是点击“不同意”则无法使用,选择权形同虚设。
而在这次测评中,知乎创新性地提供了“仅浏览”的选项。在“仅浏览”状态下,用户可以正常进入知乎,只是无法使用提问、回答、评论等功能。知乎还承诺,浏览模式下所必需的信息将在一个月内删除并采用去标识化、加密等处理。抖音、今日头条、搜狐新闻等APP也都采用了这种模式。
随着如今人们接受资讯方式的转变,用视频来吸引用户了解隐私政策的核心内容或许是一个不错的办法。比如谷歌地图就在隐私政策的不同章节嵌入了几个一分钟以内的动漫小视频,尤其对人们最困惑的两大问题——我们收集哪些信息、我们为什么要收集这些信息——做出了解释。
报告提到,随着隐私政策文本的逐渐完善,设计或将成为决定高分APP名次的重要依据——如果文本赘述太多,不重视产品设计,同样影响得分。
逾七成APP不合格,白丁健康医生APP盗用百度隐私政策
不过,值得注意的是,尽管1000款APP的隐私政策透明度总体有所提升,透明度较低或低的APP仍超过七成,平均分也只有41.1分,尚未“及格”。
1000款APP隐私政策透明度分布
中国电子技术标准化研究院信息安全研究中心审查部技术总监何延哲曾表示,隐私评审专项工作的下一步是在增强式告知、使用过程中的即时提示等方面优化推进,化解一揽子同意、只在文字上做表面功夫而忽略实际应用等现象。
测评结果显示,上述不规范现象的确广泛存在。
比如点击12306在苹果APP商店里的隐私政策链接,跳转的不是隐私政策页面,而是12306官网主页。类似提供无效或错误链接的APP还不少,白丁健康医生甚至盗用了百度的隐私政策。报告认为,由于很多用户没有点开链接阅读隐私政策的习惯,这些APP难免有蒙混过关的嫌疑。
APP在隐私政策里要求用户“一揽子同意”所有授权,在测评中也十分常见,只有不到10%的APP区分了核心功能和附加功能,并告知相应权限,承诺拒绝提供附加功能所需信息不影响核心功能使用。
报告还提到,有些APP拒绝对黑客攻击、电脑病毒侵入的信息泄露负责。事实上,这是企业推脱自身责任的表现。在个人信息泄露事件中,即使企业被证明已经尽了最大努力保护用户个人信息,仍然应该立即通知监管机构和受影响的用户,并采取补救措施。
其他普遍缺失的条款还包括告知保存个人信息的具体期限,首次使用时用弹窗等增强式告知的形式告知用户隐私条款的核心内容,告知用户停止运营时处理个人信息的方式,涉及敏感信息处理时获得用户的明示同意等。
报告指出,在“头部”APP愈发完善的同时,“尾部”APP的隐私政策中,文本雷同、暗藏霸王条款和格式条款等问题依然层出不穷,甚至出现了盗用其他APP隐私政策的情况。可见,隐私政策透明度分布的两极分化现象十分严重,企业对个人信息保护的重视程度亟待提高。
报料请点击
推荐阅读:
深圳8岁女童遭父母家暴,警方介入!为救孩子,除了曝光家庭监控视频外,还有别的办法吗?