中國銀行、拉卡拉……40款App違規收集個人信息被點名批評

保護個人信息和隱私，僅有《網絡安全法》是不夠的

《中國經濟周刊》記者 周琦｜北京報道

(本文刊發于《中國經濟周刊》2019年第14期)

又雙叒叕有App因為在收集使用個人信息方面存在問題被點名批評了。

7月16日，由中國消費者協會等成立的App違法違規收集使用個人信息專項治理工作組(下稱“App專項治理工作組”)發布通知稱，有40款App在個人信息收集使用方面存在問題，且未公開有效聯系方式。

拉卡拉、中國銀行、旺信等App被點名

App專項治理工作組稱，這40款App包括宜人貸、ppmoney出借、拉卡拉、小贏卡貸、悟空理財等，此外，還包括Soul、起點讀書、墨跡天氣等。

被點名的40款App中，包括深圳市贏眾通金融信息服務股份有限公司運營的小贏卡貸、百度金融(度小滿金融)旗下“有錢花”等13家互聯網借貸平臺。

這不是App專項治理工作組第一次發布公告了。

7月11日，App專項治理工作組就通報稱，有10款App違反《網絡安全法》第41條“公開收集使用個人信息規則”的要求，無隱私政策。這10款App中，不乏中國銀行手機銀行、春雨醫生、北京預約掛號、韻達快遞、北京交通等知名App。

在7月11日的通報中，天天酷跑、趣店、探探、旺信、人人等20款App，也因違反《網絡安全法》第41條“網絡運營者收集使用個人信息，應當遵循合法、正當、必要的原則”的要求，被點名批評。App專項治理工作組稱，這20款App要求用戶一次性同意開啟多個可收集個人信息權限，不同意則無法安裝使用。

已收到舉報信息5500余條

此前，App專項治理工作組負責人在介紹App違法違規收集使用個人信息專項治理相關工作進展情況時透露，截至6月11日，共收到舉報信息5500余條，其中實名舉報信息1800余條。

從網民反映的問題看，主要集中在五個方面：

一是實際收集的個人信息與業務功能無關，如金融借貸類App收集用戶通訊錄等，占比約31.2%；

二是未公開收集使用個人信息的規則，如沒有隱私政策或隱私政策中沒有如何收集使用個人信息的相關內容，占比約19.0%；

三是無法注銷賬號，App不提供注銷功能，或注銷后不及時刪除個人信息，占比約16.3%；

四是將基本業務功能與其他業務功能“捆綁”，要求用戶一次性授權同意收集個人信息，不同意則拒絕提供任何業務功能，占比約9.6%；

五是未經用戶同意收集個人信息，或在提醒用戶閱讀隱私政策前就開始收集、上傳個人信息，占比約8.1%。

“默認勾選”似乎成頑疾

App在個人信息收集使用方面存在的問題，不僅限于未通知用戶，“默認勾選”的“綁架”行為，在此前也時有發生。

比如，在2018年鬧得沸沸揚揚的“支付寶年度賬單事件”中，涉事企業在頁面中并不顯眼的地方安排了“我同意《芝麻服務協議》”的選項，并且提前替用戶勾選，用戶如果不同意，需要再點擊一下復選框。用戶如果稍有疏漏，就會“被自愿”地同意該協議，存在第三方和支付寶內的個人信息便會被企業收集。

類似于“默認勾選”的“綁架”做法其實不只存在于某一家企業，這已成互聯網行業的“頑疾”。

當前的法律法規還留有空子可鉆

2018年5月1日正式實施的《信息安全技術個人信息安全規范》即規定，有關數據控制方“若接收方處理個人信息超出上述范圍的，還應在合理期限內另行征得個人信息主體的明示同意”。

歐盟《通用數據保護條例》則對何謂有效的“個人同意”做了非常嚴格的要求：個人沉默、預先勾選和靜止狀態不足以認定個人表達了“同意”。

盡管我國已經存在一部《網絡安全法》，但其解決的主要是與網絡安全相關的問題，涉及面比較廣泛。雖然網絡安全法中有專門針對個人信息安全保護的章節，但由于立法目的不同，可能對個人信息的保護并不全面。

5月5日，App專項治理工作組起草了《App違法違規收集使用個人信息行為認定方法(征求意見稿)》(下稱《認定方法》)，引發業內熱議。

中國人民大學法學院教授楊立新介紹，我國已經有多部法律、法規、規章涉及個人信息保護。但從實踐看，未能明晰過度采集行為及其應當的責任范圍，使得大量App仍有空子可鉆。因此，及時出臺《認定方法》，對于落實《網絡安全法》的相關要求有重大作用。