你最常用的淘宝、闲鱼等网购APP安全吗?

 新闻资讯     |      2020-05-18 09:54

受疫情影响,大家被迫居家隔离,网上购物、在线教育、在线办公等线上化成为了人们主要的生活、学习、工作方式。

当我们通过手机下载或更新这些APP时,都会被要求阅读并同意《隐私政策》。相信很多人跟我一样,没有阅读,只是“被迫”选择了“同意”,因为不同意则无法使用。

如何判断APP是否存在违法违规搜集使用个人信息?我们的哪些个人信息又被违规搜集?带着这些疑问,零壹财经APP评测中心基于《网络安全法》以及网信办、工信部、公安部、市场监督总局、信息安全标委会等部门发布的关于APP收集使用个人信息相关法规,整理了8条标准,对20款常用的网上购物APP进行了评测。

基于以上标准,我们对20款网上购物平台APP进行了评测,结果显示:仅京东、唯品会、苏宁易购3款APP未发现违规行为;其余17款APP当中,闲鱼和网易严选2款APP违规问题最多。

1)APP违反最小必要原则,超范围收集个人信息,例如收集设备唯一标识、手持身份证照片、已安装的应用列表等信息,存在该问题的有闲鱼、蘑菇街、得物、小米有品、手机淘宝等10款APP;

2)在收集用户信息时,未详细说明收集个人信息的目的、范围等,存在该问题的有寺库奢侈品、转转、微店、有货等11款APP;

3)在用户拒绝授权之后,仍频繁向用户申请授权,干扰用户正常使用,存在该问题的APP有考拉海购、多点、平安好医生、网易严选等APP。

当我们下载APP时,我们会发现,在一些APP中没有《隐私政策》,有些用户会认为这些APP没有收集我们的个人信息。事实上,这种想法是错误的,绝大部分APP都会在我们注册过程中,甚至在我们非注册情况下,都会收集我们的个人信息。因此,该行为属于未公开收集使用规则。

除此之外,根据网信办、工信部、公安部等部门要求,《隐私政策》需要以单独成文的形式发布,不能作为用户协议等文件的一部分。

当我们首次打开APP、或通过APP注册账户时,会要求我们阅读并同意隐私政策。绝大部分的APP会需要用户主动勾选、主动点击“同意”“注册”等方式,同意《隐私政策》,个别APP直接省略了该步骤,例如拼多多APP,事实上,默认用户同意《隐私政策》这种行为并不合规。

绝大部分用户,一定会困扰,为什么这些APP要收集我们的通讯录、短信记录、相册、位置定位、身份证号等个人信息,这些行为是否合法合规。甚至我们很难界定,哪些信息是必须要收集的、哪些是我们可以拒绝的。

实际上,《网络安全法》第41条就已经规定,网络运营者不得收集与其业务无关的个人信息。如何确定哪些信息与其业务无关呢?我国信息安全标委会针对30种类型的APP,整理了可收集的最小必要信息,这些信息主要分为两部分,法律法规要求的个人信息和业务所需的个人信息。

以网上购物APP为例,法律法规要求的最小必要信息包括:网络访问日志、手机号码和交易信息。实现业务所需的个人信息有:账号信息、收货人信息、第三方支付信息、与客服沟通的通话录音和聊天信息。如果网上购物APP收集的个人信息超过该范围,即可认定为超范围收集个人信息。

一些APP在收集使用我们的个人信息时,会用“等、例如”概括个人信息收集范围,我们很难从这些文字当中获知这些APP到底收集了我们的哪些信息。

根据GB/T 35273《信息安全技术 个人信息安全规范》和APP治理工作组要求,这些行为均不合规。

当我们遇到有APP存在侵权行为时,一些用户会选择向商家进行投诉举报,此时,用户会面临几个问题:首先,一些APP未提供投诉举报途径;其次,在用户投诉举报之后,长时间没有反馈。

根据《网络安全法》第49条,网络运营者应当建立安全投诉、举报制度,并公布投诉、举报方式,及时受理并处理相关投诉举报。除此之外,网信办、公安部等部门还对投诉举报进行了时间限制,要求15个工作日内完成核查和处理。

由于某些原因,我们会选择将APP账户进行注销。而在此时,我们会发现,一些APP注册容易,注销难。主要存在的问题有3个:

其次,一些APP支持用户注销,但是需要用户提交超过注册时的个人信息,例如在金融APP当中,用户注销账户需要提交手持身份证照片,APP治理工作组表示,该行为属于典型的以欺骗方式收集个人敏感信息;

此外,一些APP的账户注销需要通过其他APP进行操作,并且会导致用户无法使用其他相关的APP,例如注销闲鱼APP时,同时会导致淘宝、飞猪等APP无法使用。

相信大部分用户都被商家的推送短信骚扰过,即使我们回复“T” “回T退订”也很难取消广告推送。

根据网信办、工信部等部门发布的《App违法违规收集使用个人信息行为认定方法》,APP在利用个人信息和算法定向推送信息时,未提供取消功能的,被认定为违法违规收集使用个人信息。

在我们拒绝APP的某些授权后,每次我们重新打开APP时均会弹窗询问是否同意收集个人信息,严重影响用户体验。

针对这一行为,相关法规认定标准:在用户明确表示不同意收集后的48小时内,每次重新打开APP、或使用某一业务功能时,重复向用户申请权限,均不合规。

如果是用户在选择使用某一具体功能所触发的弹窗询问授权,则不属于频繁干扰情形。例如,用户选择发送图片功能时,所触发的“照片”权限。

1. 向APP运营商投诉举报。在APP《隐私政策》查找“如何联系我们”,可以获取电话、邮箱等方式进行投诉举报。

2. 向外部监管机构投诉举报。如果我们发现APP存在不合规不合法行为,可以直接向网信部、电信、公安部进行投诉举报。

除此之外,受中央网信办、工信部、公安部、市场监管总局四部门委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立了“APP专项治理工作组”,用户也可以通过“APP个人信息举报”微信公众号和pip@tc260.org.cn向“APP专项治理工作组”进行投诉举报。

目前,我国数字金融服务的主要媒介是手机端,因此近两年商业银行日益注重手机银行建设,以此来进行获客、活客、场景嵌入、线上营销等金融生态平台建设。在此基础上,银行业不断拓展外部合作伙伴,展开智能营销、AI服务、风控建模等科技合作。