中國銀行,、拉卡拉……40款App違規(guī)收集個人信息被點名批評

保護個人信息和隱私，僅有《網(wǎng)絡安全法》是不夠的

《中國經(jīng)濟周刊》記者 周琦｜北京報道

(本文刊發(fā)于《中國經(jīng)濟周刊》2019年第14期)

又雙叒叕有App因為在收集使用個人信息方面存在問題被點名批評了。

7月16日,，由中國消費者協(xié)會等成立的App違法違規(guī)收集使用個人信息專項治理工作組(下稱“App專項治理工作組”)發(fā)布通知稱,，有40款App在個人信息收集使用方面存在問題,，且未公開有效聯(lián)系方式,。

拉卡拉、中國銀行,、旺信等App被點名

App專項治理工作組稱,，這40款App包括宜人貸,、ppmoney出借、拉卡拉,、小贏卡貸,、悟空理財?shù)龋送?，還包括Soul,、起點讀書、墨跡天氣等,。

被點名的40款App中,，包括深圳市贏眾通金融信息服務股份有限公司運營的小贏卡貸、百度金融(度小滿金融)旗下“有錢花”等13家互聯(lián)網(wǎng)借貸平臺,。

這不是App專項治理工作組第一次發(fā)布公告了,。

7月11日，App專項治理工作組就通報稱,，有10款App違反《網(wǎng)絡安全法》第41條“公開收集使用個人信息規(guī)則”的要求,，無隱私政策。這10款App中,，不乏中國銀行手機銀行,、春雨醫(yī)生、北京預約掛號,、韻達快遞,、北京交通等知名App。

在7月11日的通報中,，天天酷跑,、趣店、探探,、旺信,、人人等20款App，也因違反《網(wǎng)絡安全法》第41條“網(wǎng)絡運營者收集使用個人信息,，應當遵循合法,、正當、必要的原則”的要求,，被點名批評,。App專項治理工作組稱，這20款App要求用戶一次性同意開啟多個可收集個人信息權限,，不同意則無法安裝使用。

已收到舉報信息5500余條

此前,，App專項治理工作組負責人在介紹App違法違規(guī)收集使用個人信息專項治理相關工作進展情況時透露,，截至6月11日,，共收到舉報信息5500余條，其中實名舉報信息1800余條,。

從網(wǎng)民反映的問題看,，主要集中在五個方面：

一是實際收集的個人信息與業(yè)務功能無關，如金融借貸類App收集用戶通訊錄等,，占比約31.2%,；

二是未公開收集使用個人信息的規(guī)則，如沒有隱私政策或隱私政策中沒有如何收集使用個人信息的相關內(nèi)容,，占比約19.0%,；

三是無法注銷賬號，App不提供注銷功能,，或注銷后不及時刪除個人信息,，占比約16.3%；

四是將基本業(yè)務功能與其他業(yè)務功能“捆綁”,，要求用戶一次性授權同意收集個人信息,，不同意則拒絕提供任何業(yè)務功能，占比約9.6%,；

五是未經(jīng)用戶同意收集個人信息,，或在提醒用戶閱讀隱私政策前就開始收集、上傳個人信息,，占比約8.1%,。

“默認勾選”似乎成頑疾

App在個人信息收集使用方面存在的問題，不僅限于未通知用戶,，“默認勾選”的“綁架”行為,，在此前也時有發(fā)生。

比如,，在2018年鬧得沸沸揚揚的“支付寶年度賬單事件”中,，涉事企業(yè)在頁面中并不顯眼的地方安排了“我同意《芝麻服務協(xié)議》”的選項，并且提前替用戶勾選,，用戶如果不同意,，需要再點擊一下復選框。用戶如果稍有疏漏,，就會“被自愿”地同意該協(xié)議,，存在第三方和支付寶內(nèi)的個人信息便會被企業(yè)收集。

類似于“默認勾選”的“綁架”做法其實不只存在于某一家企業(yè),，這已成互聯(lián)網(wǎng)行業(yè)的“頑疾”,。

當前的法律法規(guī)還留有空子可鉆

2018年5月1日正式實施的《信息安全技術個人信息安全規(guī)范》即規(guī)定，有關數(shù)據(jù)控制方“若接收方處理個人信息超出上述范圍的,，還應在合理期限內(nèi)另行征得個人信息主體的明示同意”,。

歐盟《通用數(shù)據(jù)保護條例》則對何謂有效的“個人同意”做了非常嚴格的要求：個人沉默,、預先勾選和靜止狀態(tài)不足以認定個人表達了“同意”。

盡管我國已經(jīng)存在一部《網(wǎng)絡安全法》,，但其解決的主要是與網(wǎng)絡安全相關的問題,，涉及面比較廣泛。雖然網(wǎng)絡安全法中有專門針對個人信息安全保護的章節(jié),，但由于立法目的不同,，可能對個人信息的保護并不全面。

5月5日,，App專項治理工作組起草了《App違法違規(guī)收集使用個人信息行為認定方法(征求意見稿)》(下稱《認定方法》),，引發(fā)業(yè)內(nèi)熱議。

中國人民大學法學院教授楊立新介紹,，我國已經(jīng)有多部法律,、法規(guī)、規(guī)章涉及個人信息保護,。但從實踐看,，未能明晰過度采集行為及其應當?shù)呢熑畏秶沟么罅緼pp仍有空子可鉆,。因此,，及時出臺《認定方法》，對于落實《網(wǎng)絡安全法》的相關要求有重大作用,。