其他
南都实测:多款App收集人脸等敏感信息未获单独同意
5月1日,由国家市场监督管理总局制定出台的《网络交易监督管理办法》(以下简称“《办法》”)将正式实施。
《办法》规定,网络交易经营者不得采用一次概括授权等方式,强迫消费者同意收集、使用与经营活动无直接关系的信息。收集、使用个人生物特征、医疗健康、金融账户等敏感信息的,应当逐项取得消费者同意。
南都记者抽取了十款金融类、人脸识别类、医疗健康类App进行测评。结果显示,八成被测App没有逐项取得消费者同意,便直接收集上述敏感信息。另外,三成被测App存在强制授权的情况。
文|孙朝 尤一炜 樊文扬 王子黎
三成被测App强制要求用户授权
当你刚刚安装好一款App,第一次打开时它便向你索取各种权限。而你只有两种选择——要么全盘接受,要么退出不用。许多人都曾遇到过“一揽子授权”和“不授权就退出”的问题,甚至有网友调侃,“这是强盗行为”。去年12月,南都个人信息保护课题组发布《个人信息安全年度报告》显示,上述现象依然存在。比如小猪民宿App强制获取定位权限,否则无法使用。陌恋同城聊天交友App首次打开会一次性申请四个权限,全部拒绝后无法使用。
对此,《办法》规定,网络交易经营者不得采用一次概括授权、默认授权、与其他授权捆绑、停止安装使用等方式,强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息。
南都记者实测发现,十款App均不存在一次概括授权的情况。但有三成被测App都强制要求用户授权,包括拍拍贷(v9.4.7)、袋鼠校园(v2.5.0)、窥小查人脸识别(1.0.0)。
如窥小查人脸识别App要求访问用户设备上的照片、媒体内容和文件时,一旦用户选择禁止,则会出现另一弹窗——“应用保存运行状态等信息,需要获取读写手机存储(系统提示为访问设备上的照片、媒体内容和文件)权限,请允许。”如用户拒绝,则会被强制退出应用。
多款App收集敏感信息未获单独同意
南都记者注意到,个人信息保护法草案单独设立敏感个人信息的处理规则章节,其中明确,基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。
反观《办法》,市场监管总局网监司负责人曾表示,强化网络消费者个人信息保护是《办法》的一个突出亮点。
《办法》规定,网络交易经营者应遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的,网络交易经营者应当逐项取得消费者同意。
然而,南都记者实测发现,本次被测App大多无单独协议取得用户同意,便收集敏感信息。仅有两成App在收集用户敏感信息有单独的协议获取用户同意。比如云闪付(8.3.2)和京东金融(6.1.41)。
值得注意的是,十款被测App均有隐私政策,且大多在隐私政策中详细告知了收集、使用信息的目的、方式和范围,并说明了与第三方共享的情况,做出了保护用户个人信息的承诺。不过,教务宝(v10.25.2)(2583)仍未详细告知收集、使用信息的目的、方式和范围,教务宝与窥小查人脸识别未详细说明与第三方共享情况。