六年专注于网络推广、网络营销研究

  • 首页
  • 互联网
  • 南都实测:多款App收集人脸等敏感信息未获单独同意

作者:淘小白5-3 21:01分类: 互联网

5月1日,由国家市场监督管理总局制定出台的《网络交易监督管理办法》(以下简称“《办法》”)将正式实施。

《办法》规定,网络交易经营者不得采用一次概括授权等方式,强迫消费者同意收集、使用与经营活动无直接关系的信息。收集、使用个人生物特征、医疗健康、金融账户等敏感信息的,应当逐项取得消费者同意。

南都记者抽取了十款金融类、人脸识别类、医疗健康类App进行测评。结果显示,八成被测App没有逐项取得消费者同意,便直接收集上述敏感信息。另外,三成被测App存在强制授权的情况。

三成被测App强制要求用户授权

当你刚刚安装好一款App,第一次打开时它便向你索取各种权限。而你只有两种选择——要么全盘接受,要么退出不用。许多人都曾遇到过“一揽子授权”和“不授权就退出”的问题,甚至有网友调侃,“这是强盗行为”。

去年12月,南都个人信息保护课题组发布《个人信息安全年度报告》显示,上述现象依然存在。比如小猪民宿App强制获取定位权限,否则无法使用。陌恋同城聊天交友App首次打开会一次性申请四个权限,全部拒绝后无法使用。

对此,《办法》规定,网络交易经营者不得采用一次概括授权、默认授权、与其他授权捆绑、停止安装使用等方式,强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息。

南都记者实测发现,十款App均不存在一次概括授权的情况。但有三成被测App都强制要求用户授权,包括拍拍贷(v9.4.7)、袋鼠校园(v2.5.0)、窥小查人脸识别(1.0.0)。

如窥小查人脸识别App要求访问用户设备上的照片、媒体内容和文件时,一旦用户选择禁止,则会出现另一弹窗——“应用保存运行状态等信息,需要获取读写手机存储(系统提示为访问设备上的照片、媒体内容和文件)权限,请允许。”如用户拒绝,则会被强制退出应用。

图:窥小查人脸识别App存在“不授权就退出”的情况。

多款App收集敏感信息未获单独同意

人脸信息、医疗健康类数据、金融账户这类敏感信息一旦遭到泄露,可能会对当事人造成严重影响。疫情期间,新冠患者隐私泄露事件时有发生。而隐私泄露对于新冠患者而言,无疑是“雪上加霜”——患者在忍受病痛带来折磨的同时,还要面对网络上的歧视与谩骂。

南都记者注意到,个人信息保护法草案单独设立敏感个人信息的处理规则章节,其中明确,基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。

反观《办法》,市场监管总局网监司负责人曾表示,强化网络消费者个人信息保护是《办法》的一个突出亮点。

《办法》规定,网络交易经营者应遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的,网络交易经营者应当逐项取得消费者同意。

然而,南都记者实测发现,本次被测App大多无单独协议取得用户同意,便收集敏感信息。仅有两成App在收集用户敏感信息有单独的协议获取用户同意。 比如云闪付(8.3.2)和京东金融(6.1.41)。

图:云闪付App在收集人脸信息、金融信息时有单独的协议获取用户同意。

此外,《办法》还规定,网络交易经营者及其工作人员应当对收集的个人信息严格保密,除依法配合监管执法活动外,未经被收集者授权同意,不得向包括关联方在内的任何第三方提供。

值得注意的是,十款被测App均有隐私政策,且大多在隐私政策中详细告知了收集、使用信息的目的、方式和范围,并说明了与第三方共享的情况,做出了保护用户个人信息的承诺。不过,教务宝(v10.25.2)(2583)仍未详细告知收集、使用信息的目的、方式和范围,教务宝与窥小查人脸识别未详细说明与第三方共享情况。

出品:南都个人信息保护课题组

采写:南都个人信息保护研究中心研究员 孙朝尤一炜 樊文扬 王子黎

温馨提示如有转载或引用以上内容之必要,敬请将本文链接作为出处标注,谢谢合作!

已有 0/4 人参与

发表评论:




微信扫一扫,加我好友