逾七成App隐私政策不合格,文本雷同、盗用等问题广泛存在
1月17日下午,由南都个人信息保护研究中心主办的“2018个人信息安全大会暨‘啄木鸟安全奖’颁奖典礼”在北京举行,微博大V“花总丢了金箍棒”、安全公司技术大咖、企业法务等嘉宾发表与隐私保护相关的演讲。会上还重磅发布了《2018个人信息保护年度报告》(下称《报告》)。
《报告》分为隐私政策透明度、隐私热点事件及企业舆情危机应对、隐私设计和2019年展望等四部分,全方位剖析了2018年的个人信息保护态势,认为2019年有望迎来公众隐私观念的全面觉醒与成熟。《报告》显示,相比2017年,企业整体的隐私政策透明度有所提升,在隐私设计方面有了更多创新性的尝试,但七成以上App的隐私政策不合格、两极分化严重等问题依然严峻。
01
逾七成App不合格,百度隐私政策被盗用
“隐私政策”,是企业与用户之间关于如何处理和保护用户个人信息的基本权利义务的文件。透明度越高,代表隐私条款中关于企业如何收集、使用、存储和保护个人信息的描述越清晰和全面。
1000款App隐私政策透明度分布。
南都个人信息保护研究中心对购物、金融、交通、社交等十个行业共1000款App的隐私政策进行测评发现,只有13款达到隐私政策透明度高的层级,百度贴吧以97分位居第一,爱奇艺和百度地图以一分之差并列第二;透明度低的App数量过半,共538款,其中21%在测评期间没有任何隐私条款,不乏12306、爱鲜蜂、中通快递等人们耳熟能详、下载量较大的App。
十大行业中,生活服务、休闲娱乐、医疗健康和旅游交通四个行业的平均分处于透明度较低的层级,其余为低。其中生活服务类的平均分最高,体育健身类最低。教育文化行业的平均分从2017年度的30.2分提高到了2018年度的39.6分,进步最为显著。
2017年度与2018年度的测评结果对比。
与2017年度南都个人信息保护研究中心的测评结果相比,尽管2018年度测评标准更加严格,但无论从测评最高得分、透明度高的App数量和行业平均分来看,2018年度都全方位“碾压”2017年度——整体平均分提高了近4分,透明度中等及以上的App占比增加了12个百分点。
这些变化并非无迹可寻。2018年,不仅个人信息保护相关法规和标准相继出台,隐私政策专项评审工作也再次启动,参评App增加到30款。此外,以《信息安全技术 个人信息安全规范》《信息安全技术 个人信息安全影响评估指南(征求意见稿)》为首的一批国家标准相继出台和实施,也对企业极具参考价值。
南都记者注意到,首批参评的10款App中有不少都在2018年间数次更新隐私政策,在本次测评中几乎全部达到透明度高或较高的层级。事实上,透明度高或各行业排在前几名的“头部”App中,90%以上都是BATJ、华为、爱奇艺、360等知名企业旗下的产品。
尽管1000款App的隐私政策透明度总体有所提升,透明度“不及格”的App仍超过七成,平均分也只有41.1分,文本雷同、暗藏霸王条款和格式条款等问题层出不穷。《报告》指出,不少App的隐私政策链接是无效页面,一款名为“白丁健康医生”的App甚至明目张胆地盗用了百度的隐私政策,连企业名称都没改,企图蒙混过关。
据《报告》显示,从测评标准的角度看,只有不到10%的App区分了核心功能和附加功能,同样普遍缺失的条款还包括:告知保存个人信息的具体期限,首次使用时用弹窗等增强式告知的形式告知用户隐私条款的核心内容,告知用户停止运营时处理个人信息的方式,涉及敏感信息处理时获得用户的明示同意等。可见,企业的个人信息保护态势依然严峻。
02
隐私设计曾引发舆论风波,被纳入测评标准
有网友戏称,“我已阅读并同意隐私政策”是当代人说过最违心的话之一。《报告》认为,这是由于目前企业在制定隐私政策时,更多还是专注于条款本身,忽略页面设计,导致隐私政策文本动辄上万字。用户往往没有耐心读完如此冗长且晦涩难懂的协议。
因此,在此次测评中,南都个人信息保护研究中心首次把“呈现方式”作为加分项纳入了测评标准,意在考察隐私政策设计上的创新性和用户友好程度。结果显示,仅有谷歌地图和领英获得满分,而在此项未获得分数的App占比高达92%。
事实上,不光是隐私政策的呈现,一款App从安装、注册,到勾选同意隐私政策、使用的所有相关设计,都可能影响用户体验,甚至引发舆论风波。
《报告》提到,2018年7月,知名即时通讯软件LINE在台湾更新隐私政策,用户需在弹窗页面作出三次勾选同意,否则无法使用。此举招致很多用户的不满,最后LINE不得不公开道歉。
据了解,2017以来,随着《中华人民共和国网络安全法》等一系列法律法规陆续实施,多家企业完善了隐私政策,并用弹窗的方式获得用户的明示同意,却屡屡因为选“不同意”就无法使用被用户吐槽。《报告》发现,目前仍有不少企业沿用这种设计——从法律合规的角度看,这种设计并无不妥,但它隐含的舆情风险却像一颗定时炸弹,随时可能引爆。
通过长期观察,南都个人信息保护研究中心发现,近期有些企业创新性的弹窗设计令人眼前一亮。
“仅浏览”模式。
比如知乎推出的“仅浏览”模式,即使不同意隐私政策,用户也可以游客身份使用。
Pillow App的“管理数据”页面。
一款名为“Pillow”的自动睡眠追踪App,则提供了“管理数据”选项,用户可以从隐私政策随时跳转,导出和清除自己的数据。
从最初强制用户同意隐私政策,到给用户“退出”以外的选择,可以明显看出企业正在尝试对用户更加友好的隐私设计。
《报告》认为,隐私政策弹窗页面的设计核心,在于给用户说“不”的权利。如何在保证这一用户权利的同时,保护企业利益不受损害,是未来企业舆情合规的核心任务。随着隐私政策文本的逐渐完善,设计或将成为决定高分App名次的重要依据。
03
企业需同等注重文本合规和舆情合规
《报告》统计了10款有代表性的App的隐私设置情况发现,从进入路径看,用户至少需要点击2次才可到达隐私设置中心,有些设置较为隐蔽的App甚至需要4步。从设置选项看,App在隐私设置里主要体现的是法律政策、授权管理、好友设置等内容,其中领英提供的选项最多,达到23项。
《报告》指出,在2018年政策法规趋严的背景下,为满足合规要求,不少App的积极变化不仅体现在隐私政策透明度大幅跃升上,还体现在呈现方式多种多样,以及上线特殊的隐私保护工具上。
以谷歌地图App为例,它在隐私政策的不同章节提供了4个不超过一分钟的动漫小视频,分别是隐私政策简介、隐私控制功能说明、以及对人们最困惑的两个问题做出解释——我们收集哪些信息、我们为什么要收集这些信息。如此一来,用户不必读完冗长晦涩的隐私政策文本,也能通过视频大致了解其内容。
Juro的隐私设计。
Juro团队则采用了一图读懂的方式直观展示隐私政策的主要内容。如果用户想了解更多,可点击“告诉我为什么”、“我可以如何选择”等继续阅读。另一个隐私设计典范是全球旅游搜索平台天巡Skyscanner,隐私政策的每段正文都用简短的摘要概括,用户可以点击下拉菜单阅读详细内容。从用户的观感体验上看,隐私政策简洁轻巧,信息量却不减。
《报告》还提到了一些特殊的隐私设计。爱奇艺、今日头条推出了“广告限制”功能,用户可以自行决定是否允许平台展示广告;百度贴吧的“无痕浏览”允许用户不把浏览过的帖子显示在浏览历史中;滴滴对用户的手机号码加密,司机只能通过“虚拟中间号”联系用户。2018年下半年,虚拟号码功能也在美团、饿了么等外卖平台上线并默认开启。
2018年以来,为满足公众的期待,一些国内大型互联网公司在隐私工作上频频发力。《报告》发现,最近腾讯和百度先后上线了隐私保护平台,尝试通过视频解说介绍其隐私保护理念,并在平台上详解旗下多款热门产品的隐私设计。
随着政府和公众对隐私话题的关注程度不断提升,企业不能仅仅满足于隐私政策文本合规,舆情合规已经对企业提出了更高的要求。《报告》强调,如果企业只遵循合法合规而不考虑用户友好,极有可能产生舆情风波。因此,将隐私保护需求主动嵌入系统设计的过程和实际操作中,或许是一项有益的尝试。
报料请点击
推荐阅读:
花总现身南都个人信息安全大会:找信息泄露源头不为送他进监狱,而是想告诉他有悖职业道德