中國(guó)銀行、拉卡拉……40款A(yù)pp違規(guī)收集個(gè)人信息被點(diǎn)名批評(píng)

保護(hù)個(gè)人信息和隱私，僅有《網(wǎng)絡(luò)安全法》是不夠的

《中國(guó)經(jīng)濟(jì)周刊》記者 周琦｜北京報(bào)道

(本文刊發(fā)于《中國(guó)經(jīng)濟(jì)周刊》2019年第14期)

又雙叒叕有App因?yàn)樵谑占褂脗€(gè)人信息方面存在問(wèn)題被點(diǎn)名批評(píng)了。

7月16日，由中國(guó)消費(fèi)者協(xié)會(huì)等成立的App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理工作組(下稱“App專項(xiàng)治理工作組”)發(fā)布通知稱，有40款A(yù)pp在個(gè)人信息收集使用方面存在問(wèn)題，且未公開(kāi)有效聯(lián)系方式。

拉卡拉、中國(guó)銀行、旺信等App被點(diǎn)名

App專項(xiàng)治理工作組稱，這40款A(yù)pp包括宜人貸、ppmoney出借、拉卡拉、小贏卡貸、悟空理財(cái)?shù)?，此外，還包括Soul、起點(diǎn)讀書(shū)、墨跡天氣等。

被點(diǎn)名的40款A(yù)pp中，包括深圳市贏眾通金融信息服務(wù)股份有限公司運(yùn)營(yíng)的小贏卡貸、百度金融(度小滿金融)旗下“有錢(qián)花”等13家互聯(lián)網(wǎng)借貸平臺(tái)。

這不是App專項(xiàng)治理工作組第一次發(fā)布公告了。

7月11日，App專項(xiàng)治理工作組就通報(bào)稱，有10款A(yù)pp違反《網(wǎng)絡(luò)安全法》第41條“公開(kāi)收集使用個(gè)人信息規(guī)則”的要求，無(wú)隱私政策。這10款A(yù)pp中，不乏中國(guó)銀行手機(jī)銀行、春雨醫(yī)生、北京預(yù)約掛號(hào)、韻達(dá)快遞、北京交通等知名App。

在7月11日的通報(bào)中，天天酷跑、趣店、探探、旺信、人人等20款A(yù)pp，也因違反《網(wǎng)絡(luò)安全法》第41條“網(wǎng)絡(luò)運(yùn)營(yíng)者收集使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則”的要求，被點(diǎn)名批評(píng)。App專項(xiàng)治理工作組稱，這20款A(yù)pp要求用戶一次性同意開(kāi)啟多個(gè)可收集個(gè)人信息權(quán)限，不同意則無(wú)法安裝使用。

已收到舉報(bào)信息5500余條

此前，App專項(xiàng)治理工作組負(fù)責(zé)人在介紹App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理相關(guān)工作進(jìn)展情況時(shí)透露，截至6月11日，共收到舉報(bào)信息5500余條，其中實(shí)名舉報(bào)信息1800余條。

從網(wǎng)民反映的問(wèn)題看，主要集中在五個(gè)方面：

一是實(shí)際收集的個(gè)人信息與業(yè)務(wù)功能無(wú)關(guān)，如金融借貸類(lèi)App收集用戶通訊錄等，占比約31.2%；

二是未公開(kāi)收集使用個(gè)人信息的規(guī)則，如沒(méi)有隱私政策或隱私政策中沒(méi)有如何收集使用個(gè)人信息的相關(guān)內(nèi)容，占比約19.0%；

三是無(wú)法注銷(xiāo)賬號(hào)，App不提供注銷(xiāo)功能，或注銷(xiāo)后不及時(shí)刪除個(gè)人信息，占比約16.3%；

四是將基本業(yè)務(wù)功能與其他業(yè)務(wù)功能“捆綁”，要求用戶一次性授權(quán)同意收集個(gè)人信息，不同意則拒絕提供任何業(yè)務(wù)功能，占比約9.6%；

五是未經(jīng)用戶同意收集個(gè)人信息，或在提醒用戶閱讀隱私政策前就開(kāi)始收集、上傳個(gè)人信息，占比約8.1%。

“默認(rèn)勾選”似乎成頑疾

App在個(gè)人信息收集使用方面存在的問(wèn)題，不僅限于未通知用戶，“默認(rèn)勾選”的“綁架”行為，在此前也時(shí)有發(fā)生。

比如，在2018年鬧得沸沸揚(yáng)揚(yáng)的“支付寶年度賬單事件”中，涉事企業(yè)在頁(yè)面中并不顯眼的地方安排了“我同意《芝麻服務(wù)協(xié)議》”的選項(xiàng)，并且提前替用戶勾選，用戶如果不同意，需要再點(diǎn)擊一下復(fù)選框。用戶如果稍有疏漏，就會(huì)“被自愿”地同意該協(xié)議，存在第三方和支付寶內(nèi)的個(gè)人信息便會(huì)被企業(yè)收集。

類(lèi)似于“默認(rèn)勾選”的“綁架”做法其實(shí)不只存在于某一家企業(yè)，這已成互聯(lián)網(wǎng)行業(yè)的“頑疾”。

當(dāng)前的法律法規(guī)還留有空子可鉆

2018年5月1日正式實(shí)施的《信息安全技術(shù)個(gè)人信息安全規(guī)范》即規(guī)定，有關(guān)數(shù)據(jù)控制方“若接收方處理個(gè)人信息超出上述范圍的，還應(yīng)在合理期限內(nèi)另行征得個(gè)人信息主體的明示同意”。

歐盟《通用數(shù)據(jù)保護(hù)條例》則對(duì)何謂有效的“個(gè)人同意”做了非常嚴(yán)格的要求：個(gè)人沉默、預(yù)先勾選和靜止?fàn)顟B(tài)不足以認(rèn)定個(gè)人表達(dá)了“同意”。

盡管我國(guó)已經(jīng)存在一部《網(wǎng)絡(luò)安全法》，但其解決的主要是與網(wǎng)絡(luò)安全相關(guān)的問(wèn)題，涉及面比較廣泛。雖然網(wǎng)絡(luò)安全法中有專門(mén)針對(duì)個(gè)人信息安全保護(hù)的章節(jié)，但由于立法目的不同，可能對(duì)個(gè)人信息的保護(hù)并不全面。

5月5日，App專項(xiàng)治理工作組起草了《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法(征求意見(jiàn)稿)》(下稱《認(rèn)定方法》)，引發(fā)業(yè)內(nèi)熱議。

中國(guó)人民大學(xué)法學(xué)院教授楊立新介紹，我國(guó)已經(jīng)有多部法律、法規(guī)、規(guī)章涉及個(gè)人信息保護(hù)。但從實(shí)踐看，未能明晰過(guò)度采集行為及其應(yīng)當(dāng)?shù)呢?zé)任范圍，使得大量App仍有空子可鉆。因此，及時(shí)出臺(tái)《認(rèn)定方法》，對(duì)于落實(shí)《網(wǎng)絡(luò)安全法》的相關(guān)要求有重大作用。