如今,App、小程序等已成为日常生活离不开的重要智能工具,它把控着人们数字生活“命脉”,全方面提供便利服务的同时,也掌握着大量用户个人信息。因此,对其收集和处理个人信息行为进行监督显得尤为重要。
自2019年起,工信部每年都会对侵害用户权益的App进行通报,要求其进行整改,否则面临下架等处置后果。临近农历新年,南都·隐私护卫队对2023年工信部通报的共289款侵权App(SDK、小程序)的相关情况进行了梳理,发现强制、频繁、过度索取权限问题最严重,占比近一半,近三成违规收集个人信息;另外,来自百度手机助手、小米应用商店的问题App数量最多。
共289款被通报,近一半有强制频繁索权问题
2023年,工信部共通报了9批侵害用户权益行为的App、SDK和小程序,因存在同一款被多次通报的情况,去重后共有289款。
为便于展开分析,南都·隐私护卫队进一步归纳总结,将通报所涉问题“欺骗误导强迫用户”“欺骗误导用户使用产品或服务”“欺骗误导用户提供个人信息”“欺骗误导用户下载App”四项统称为“欺骗误导强迫行为”。
统计显示,在9批通报中,App强制、频繁、过度索取权限的情况最严重,共出现了143次,占比近一半;其次是“违规收集个人信息”,共出现76次,占比约26.3%。“欺骗误导强迫行为”位列其后,存在该问题的App(SDK、小程序)有58款,占比约两成;与之比例相近的,还有51款App(SDK、小程序)因超范围收集个人信息而被通报。
工信部通报问题分布
另外,经梳理发现,上述四项问题占据了通报所涉原因的主要部分,其他问题出现次数均在20次以下。
具体而言,从所涉问题数量来看,由北京微方程科技有限公司开发的“深链”SDK在所有被通报App(SDK、小程序)中存在问题最多,前后被通报两次,涉及“收集个人信息明示、告知不到位”“违规使用第三方服务”“SDK强制、频繁、过度索取权限”等7项问题。北京前呈无限科技有限公司开发的SDK“Mediatom SDK Android”存在5项问题,包括“超范围收集个人信息”“SDK公示信息不完整”等。
另外,还有“个性女王秀”“达人直播优艺版”“葫芦星球”“Adview广告SDK”“多酷单机SDK”5款分别因存在4项问题被工信部通报,后两款为SDK。这意味着,在工信部过去一年的检测中,存在侵害用户权益行为的SDK问题呈多样化,侵权情况较为严重。
289款问题App(SDK、小程序)的来源较为分散,其中来自百度手机助手、小米应用商店和应用宝的较多,各有31款、29款和28款,占比均约为一成。来自vivo应用商店和360手机助手的紧随其后,均为26款。来自用户熟悉的豌豆荚、OPPO软件商店、华为应用市场的问题App(SDK、小程序)占比均在7%至8%左右。
来源分布
需要说明的是,在被通报的App(SDK、小程序)中,存在同一款但所涉版本、问题以及来源应用市场不一致的情况。因此,在进行问题App(SDK、小程序)来源统计时,会独立看待这些来自不同应用市场、不同版本的同名App(SDK、小程序),分别统计。
监管执法走向精细化、场景化是必然趋势
如何看待2023年工信部的通报情况?释放了哪些信号?北京汉华飞天信安科技有限公司总经理彭根表示,这是工信部在App治理方面开展的一项日常化工作,2023年延续了此前几年的检测方式、通报形式以及内容等,并且将问题SDK、小程序也纳入通报范围。
北京大成(杭州)律师事务所律师孙鹏程告诉南都·隐私护卫队,其中值得关注的是微信、支付宝、快手等头部App也被定义为“应用分发平台”出现在通报名单中。
2020年工信部发布的《关于开展纵深推进APP侵害用户权益专项整治行动的通知》显示,整治对象包括App服务提供者,软件工具开发包(SDK)提供者以及应用分发平台,应用分发平台包括网站、应用商店、App等承担下载、安装、升级等分发服务的各类平台。
“以前通报的基本都是来自各大应用市场的问题App,现在App中的小程序、快应用等也会被纳入检测对象,App会作为应用分发平台出现在通报中。”孙鹏程表示,这是对上述要求的进一步落实,也体现出当前全链路合规的监管思路。从整个治理轨迹来看,最早是仅针对问题App,后来扩展到了SDK,现在App也可能被视为应用分发平台进行通报,“监管范围和力度在不断扩大。”
2022年,工信部通报了6批App和SDK,共计329款。南都·隐私护卫队对比两年的情况后发现,在整体通报数量方面两年相差不大,被通报的重点问题具有延续性。比如2022年,App强制、频繁、过度索取权限以及违规收集个人信息两项问题最严重,2023年依然如此;其次,“超范围收集个人信息”问题均占据了较高比例。
对此,彭根坦言,在此之前,互联网曾有过十来年无条件攫取用户个人信息的“野蛮生长期”,留下的问题如今还未能完全解决,其中就包括部分企业对个人信息保护合规不够了解和重视。
“比如,有些App在新加入一个功能模块的时候,还是会延续原来‘以业务为优先’的思维方式。为了让业务先‘跑起来’而忽视了很多合规问题——这种就是工信部App治理工作的整改对象。”
此外,相较于2022年,2023年工信部通报的问题种类也有所增加,比如新增了SDK公示信息不完整、SDK使用说明不完整、违规利用个人信息开展自动化决策等问题。在彭根看来,随着相关法律法规的完善,个人信息保护的责任划分、落实标准等逐渐清晰,相关监管执法走向精细化、场景化是必然趋势。
谈及被通报的SDK,彭根表示,目前SDK方面的个人信息保护问题较为严重,由于一款SDK可能会嵌入众多App并得到使用,其用户覆盖面非常广,掌握的用户个人信息数量也很庞大,“一款知名SDK有问题,可能意味着许多App都有问题。”
值得一提的是,今年1月,工信部首次就开屏弹窗“乱跳转”“关不掉”问题进行检查,并通报了10款存在该问题的App。孙鹏程表示,这是工信部对公众重点关注问题的一种回应,“App的传统问题还在继续查,针对‘摇一摇’这些热点问题,也可能会有一些专门的新要求。”
出品:南都数字经济治理研究中心
采写:南都记者 樊文扬
制图:李蓓