12月20日，國家計算機網絡應急技術處理協調中心點名存在隱私不合規行為的17款APP，其中包括哈啰出行、和訊財經等在內的15款APP“未向用戶明示申請的全部隱私權限”。

一年來，多部門聯手依法對APP侵犯個人隱私問題進行集中治理。日前，國家計算機網絡應急技術處理協調中心、中國網絡空間安全協會基于“APP收集使用個人信息監測平臺”“APP舉報受理平臺”的監測數據，發布《APP違法違規收集使用個人信息監測分析報告》(以下簡稱《報告》)，指出目前強制收集非必要個人信息問題明顯減少，但啟動彈窗索要無關權限仍多發;超范圍收集個人信息行為治理成效初顯，但仍須緊盯敏感權限聲明超出必要范圍等7類隱蔽問題。

彈窗索要無關權限仍多發

細心的用戶可能會發現，諸如微信、前程無憂51Job等頭部APP的最新版本，啟動時已不再索要存儲、設備等無關權限。據《報告》統計，目前全國主流安卓應用商店在架APP的去重后總數為112萬款，而APP強制要求收集個人信息是用戶普遍反感的違規行為之一。今年以來，APP強制要求用戶打開非必要權限、強制要求用戶填寫非必要個人信息等典型違規行為明顯減少，監測發現僅有1%的中小應用殘留此問題。

《報告》顯示，盡管很多APP不再強制收集個人信息，但仍存在首次啟動時彈窗索要多個無關權限的問題，由此產生的投訴舉報也比較集中，用戶對此較為反感。據國家計算機網絡應急技術處理協調中心相關人士介紹，目前量大面廣的APP已將啟動時索要權限改為在用戶觸發特定功能時再索要對應權限，改善了用戶體驗。監測顯示，在華為、小米、vivo、OPPO、騰訊等主流品牌的應用商店近3個月新上架的應用中，每月平均有近1000款應用存在此問題。

主流應用商店APP啟動彈窗索要多個無關權限問題分布情況

“由于APP數量非常多，推陳出新頻率高，而且APP的個人信息收集行為和方式也在不斷變化，監管部門很難做到全覆蓋監管，很容易出現覆蓋范圍過窄的情況。”TalkingData法務合規負責人兼數據合規官葛夢瑩對《中國消費者報》記者說，“針對海量APP收集、使用個人信息的情況，《個人信息保護法》提出了從關鍵環節入手的監管思路，即首次區分了一般的個人信息處理者和充當‘守門人’角色的操作系統、應用程序分發平臺、大型APP平臺等個人信息處理者(以下簡稱超大平臺)。這其中就包括了上述應用商店，因為應用商店是眾多APP進行個人信息收集處理的必要通道，從應用商店這個關鍵環節入手，對其提出增強個人信息保護的要求，例如要求超大平臺建立外部監督委員會，主動引入對內部信息處理行為的社會監督，主動承擔對平臺生態中各方個人信息處理行為的監督，并發布社會責任報告等多種手段來杜絕APP強制收集非必要個人信息的問題。”

超限收集含7類隱蔽問題

互聯網時代，大家都有被精準推送的體驗。采訪中，中國廣告協會法律咨詢委員會常務委員杜東為對《中國消費者報》記者說，由于手機屏幕空間有限，平臺算法必須在海量信息中找到用戶感興趣和有價值的信息。通過完全自動化的決策過程，推薦系統在自動分析、評估個人行為習慣、興趣愛好或者經濟、健康、信用狀況后進行決策，并向用戶展示。

《報告》顯示，部分APP出于精準用戶畫像、推廣營銷等商業目的，想方設法地超出實現功能的必要范圍，進而收集更多個人信息。目前，超限收集個人信息主要包括7類隱蔽問題：

敏感權限聲明超出必要范圍。少量APP在未提供實際功能的情況下，仍然聲明了相關敏感權限，存在熱更新后調用和SDK(軟件開發工具包)調用權限的風險。

權限索取超出必要范圍。一些APP超出當前功能需要索取權限，例如，有的電話攔截功能只需3項敏感權限即可實現，而應用卻索要了短信、存儲、通訊錄等7項敏感權限。

收集數據的敏感性超出必要范圍。一些APP在使用低敏感性數據即可實現功能的情況下，仍然收集高敏感性數據。例如，普通的天氣查詢功能只需要城市或地區級的粗略位置信息即可，但有的天氣查詢APP卻超范圍地索要精準位置等敏感個人信息。

收集數據的具體內容超出必要范圍。一些APP在僅需部分數據內容即可實現功能的情況下，收集了全部內容。例如，查找好友功能只需匿名化后的手機號碼即可實現，不應超范圍地收集通訊錄聯系人的姓名、郵箱、地址等內容。

收集方式超出必要范圍。APP收集個人信息的方式包括單次讀取、本地存儲、上傳云端等，這些方式對個人的影響程度依次遞增，而APP應在滿足功能需求的前提下，選擇影響程度最低的收集方式。例如，只需單次讀取或本地存儲即可實現的功能，不應默認使用上傳云端。

收集頻率超出必要范圍。有的APP收集每項個人信息的頻率明顯超出當前功能的必要范圍，例如，運動健身類應用在用戶觀看視頻等無關功能時，也每分鐘獲取位置信息近百次，明顯超出了必要范圍。

收集場景超出必要范圍。很多APP除了在功能必需的合理場景收集信息，還在啟動、自啟動、后臺運行、使用不相關功能等其他場景收集信息，違反了必要原則。

中小應用常頻繁索權

APP的下載量集中在頭部應用，從百萬級到億級的，總共只占APP總數的3.4%，97%左右的都是中小應用。《報告》顯示，恰恰是中小應用的“知情同意”問題較多，集中表現為同意前收集、頻繁索權等。

知情同意是處理個人信息的基本前提條件之一。目前常見違規問題集中表現為4類：

征得用戶同意前收集個人信息。監測發現，2萬中小應用樣本在同意隱私政策前將用戶ID等信息上傳至云端服務器，4.4萬中小應用樣本沒有向用戶提供明確的隱私政策拒絕選項。

用戶拒絕后頻繁征求用戶同意，干擾用戶正常使用。13萬存量中小應用樣本在用戶明確拒絕授權后，仍然在使用過程中頻繁索取權限，或者在用戶下次進入應用時再次索取權限。人工抽驗顯示，近3個月新上架的應用仍普遍存在頻繁索權的問題。

誘導用戶同意，收集個人信息。例如以簽到、福利等為理由誘導用戶提供姓名、手機號、住址，以“絕不收集隱私信息”等欺騙性提示誘導用戶安裝使用APP等。

個人信息進行定向推送但無法關閉。有27萬個應用樣本聲明，會利用個人信息進行定向推送，但人工抽驗卻發現，除了新聞資訊、網絡直播、短視頻等部分類別外，大多未提供關閉定向推送的選項。此外，部分APP盡管提供了關閉選項，但仍存在為關閉選項強制設定為期幾個月的有效期，到期后自動恢復定向推送;關閉選項極其隱蔽，普通用戶難以發現;關閉定向推送后并不生效等問題。

隱私政策晦澀隱蔽問題突出

監測發現，存在無隱私政策問題的APP占比已由2019年最高的26%下降至今年的6.7%。平臺企業公開收集使用規則的意識顯著增強，小米、華為等頭部品牌的應用商店已加強無隱私政策問題應用的審核力度，對存在該問題的8.1萬個存量應用進行了下架處理。在近3個月新上架的頭部應用程序中，此問題已基本清零，但部分中小應用商店審核機制尚未健全，仍有7.8萬款存量問題須進行下架清理。

《報告》顯示，明示收集行為日趨受到重視，但未明示敏感數據收集與“一攬子”同意問題仍突出。監測數據與人工抽驗結果都顯示，隱私政策存在隱瞞個人信息收集行為、“一攬子”同意等較為突出的違規問題，其中包括隱瞞敏感個人信息收集行為;隱瞞個人信息對外共享行為;要求“一攬子”地同意隱私政策全部條款，甚至不合理條款。

葛夢瑩指出：“隱私政策是用戶感知最為明顯的重要手段，是APP所必備的。隱私政策寫得過于晦澀難懂，也是廣受個人用戶詬病的問題。”對于隱私政策的寫法、展示方式等，也需要嚴格遵守相關法律法規和國家標準，例如除落實《個人信息保護法》的相關要求外，還須充分考慮個人用戶的閱讀習慣，并且切實保障用戶權利的行使，這也是接下來APP的合規工作整治重點。她補充說：“目前比較具有參考性和可執行性的隱私政策模板還是GB/T352732020《個人信息安全規范》的附錄D，這也是被APP廣泛應用的模板。同時，《個人信息安全規范》的附錄C也明確了基本業務功能和拓展業務功能的設計思路，并且在其注釋中闡明，如果重新劃分產品功能，宜再次告知并征得同意，而這也在一定程度上呼應了《個人信息保護法》第十四條的規定。同時，正在編制中的《互聯網平臺及產品服務隱私協議要求》將對隱私政策提出具有可執行性的要求。”

此外，《報告》顯示，目前APP賬號基本具備注銷功能，但仍須重視其設置不合理注銷條件等違規情形。中國電子技術標準化研究院網安中心測評實驗室副主任何延哲對《中國消費者報》記者說，目前，相關人員已在對包括小程序在內的賬號注銷問題進行研究。（記者武曉莉）