编者按:本文来自微信公众号“少数派”(ID:sspaime),作者:jijiali,36氪经授权发布。
上周,工业和信息化部印发了一份名为《关于电信服务质量的通告》(2020 年第 1 号)的文件,从电信用户申诉举报情况、电信服务监管情况、经营及消费提示等三个方面通告了 2019 年第四季度我国电信服务有关情况。值得注意的是,这份报告中提到了不良手机应用的举报情况。
不良手机应用举报情况。四季度,12321 举报受理中心接到不良手机应用有效举报 15585 件次,环比下降 23.50%。通过行业自律,12321 举报受理中心联合应用商店、安全检测厂商对其中存在问题的 164 款不良手机应用进行了下架处理。
这 164 款应用离你并不远。自国家互联网信息办公室去年年底印发《APP 违法违规收集使用个人信息行为认定方法》的通知后,工信部先后通报过不少存在「侵害用户权益行为」的 App(第一批、第二批),这当中不仅有来自大厂的 QQ、新浪体育、小米金融、搜狐新闻等,一些大家耳熟能详的 App,如顺义区图书馆、知米背单词、瑞幸咖啡等也赫然在列。
很多人可能不知道的是,曾经荼毒国内 Android 生态的种种 App 流氓行为其实正在逐步得到矫正。下次遇到一份晦涩难懂、可读性堪比「天书」的 App 隐私协议时先别急着点「同意」——那些你司空见惯的个人信息收集行为可能违法违规了。
考虑到网信办这个规定的最初印发时间,彼时大部分 App 的信息收集行为可能是都不合规的。在工信部信管函〔2019〕337 号《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》(以下简称「通知」)文件中,明确将「侵害用户权益的行为」分为 4 个方面、8 类问题:
违规收集用户个人信息方面主要包括「私自收集个人信息」和「超范围收集个人信息」两类。在这里,通知中明确列举了通讯录、位置、身份证、人脸等都属于用户个人信息,而且 App 在使用个人信息时需要明确告知用户使用的目的、方式和范围。
此外,「非服务所必需或无合理应用场景」的信息需要明确界定为超范围使用用户个人信息。
用户个人信息的违规使用主要体现是两类,包括私自共享用户个人信息给第三方和强制用户使用定向推送功能。在这里,通知进一步明确,设备识别信息、商品浏览记录、搜索使用习惯」、常用软件应用列表这些都属于用户的个人信息。
举个例子,此前我们在介绍存储重定向这类工具时所提到的通过公共存储空间读写权限向其他应用分享用户数据的行为就属于违规使用个人信息。此外,这份通知还要求 App 必须提供「关闭该功能(指定向推送或精准营销功能)的选项」,也就是大家常见的「关闭个性化广告推送」。
在「不合理索取用户权限」这一问题上,不给权限不让用、频繁申请权限、过度索取权限三类常见流氓行为都成为了这份通知的重点政治内容。索取与应用核心功能无关的权限(如索取电话权限的相机应用),在用户明确拒绝后频繁申请权限这类行为都在整治范围内,具体到权限上,通讯录、定位、短信、录音、相机这些权限则是关注重点。
这一点主要体现是账号注销难。通俗地说,就是 App 不提供注销服务或者为注销「使绊子」。
好了,到这里我们可以简单的梳理一下,「侵害用户权益的行为」一共包括了这样的一些信息,具体参见下图。
「侵害用户权益的行为」涉及信息
从某种程度上来说,上述《通知》和规定的出台让规范国内 Android 应用权限和信息收集行为「有法可依」。那具体到执行环节,这份《通知》的效力和成果究竟怎么样?
在工信部先后两次的通报名单出炉后,对于涉及到的 56 款 App 我也进行了一下简单的统计和分析。具体的统计分析可以参见下图。
问题行为分析
从图中不难看出,早前整治的 App 违规行为中占比较大的依次为私自收集个人信息、过度索取权限、私自共享给第三方和不给权限不让用。具体到应用,我就通报中提到过的 App 进行了简单的对比体验,主要发现了以下三个变化。
以往大家所见到的大部分隐私政策往往都堆砌了大量的法律和专业术语,久而久之自然就变成了「太长不看」的「天书」,只需无脑点「同意」就好。
殊不知在各种违规信息收集行为中,这些第一次打开应用或注册、登录账号前出现的「隐私政策」,往往就是开启「潘多拉魔盒」的那把钥匙。
在工信部通报的第二批名单中,拉勾招聘(参见第二批名单)就因「私自收集个人信息」榜上有名。通过应用宝渠道,目前(指测试时下载的版本,下同)我们看到的「拉勾招聘」已经由通报时的 v7.31.0 升级到了 v7.33.0。且最新版本的隐私政策已经于 2020 年 1 月 8 日进行了更新。
在新的隐私政策文档中,拉勾招聘列明了用户信息的用途,第三方的授权也进行了相应的表述。坦率地讲,对于一个招聘类的 App 来讲,个人信息的索取和使用尤为频繁,因此一份简明扼要的隐私政策对用户而言自然也很重要。
整改后是不是更能读懂了?
除了拉勾招聘,同样因为隐私问题被点名的还有第一批名单中的 QQ 阅读、搜狐新闻、界面新闻和第二批名单中的瑞幸咖啡,这些应用后续均进行了相应的调整。
不给权限不让用也是一个各大 App 沦陷的「重灾区」,这一点《通知》更是做出了非常详尽的解释(看来是对国内 Android 应用生态做了足够的调研):
因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;
APP 新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;
要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
在一般观念中「不给权限不让用」行为的基础上,工信部的整治范围不仅涵盖了 App 的既有功能,还考虑到了 App 的更新情况,顾及到了部分应用「一箭多雕」的骚操作。
具体到应用,在第二批名单中被通报的天涯社区(版本 v 6.9.7 参见第二批名单)存在「不给权限不让用」和「过度索取权限」问题。因此在通报整改后,天涯社区新版本对权限索取规则进行了调整,首次安装启动后,天涯社区不仅会在「隐私政策」说明对于联系电话、通讯录、位置信息等权限的具体使用情况,如果我们不同意其隐私政策要求,可以点击「仅浏览」来正常使用 App 并浏览相应的文章,应用所申请的相关权限也可以根据情况拒绝授予,均不会影响我们的正常浏览。
可以选择「仅浏览」
这种针对不同意隐私政策、部分授予权限的行为提供「仅浏览」选项的设定在知乎这样的应用中也同样得到了采用,相比以往「拒绝就再见」的蛮横无理,我们在使用应用时的自由度显然更高了一点。
账号注销难也是用户比较反感的问题之一,涉及到到这一问题的应用以第一批公布的居多,如 QQ、QQ 阅读、小米金融、看看新闻,第二批中涉及到这一点的 App 也有,如知米背单词。
以大家熟知的 QQ 为例,当前应用宝平台上的版本为 v8.2.7,下载安装后,点击左上角的「头像」进入「设置」,依次按照下图所示就可以进入到注销账号的界面。满足了「申请注销账号」页面所需要的条件,就可以申请注销。
QQ 的账号注销流程
关联阅读:为了响应工信部要求,我们整理了这些网络账户注销指南
回到文章开头提到的数据,可以说 2019 年第四季度被下架处理的 164 款不良手机应用还仅仅只是一个开始,对于大部分「碰线」的应用来说,被工信部通报存在问题行为后通常只有两个选项:要么整改,要么下架,治理力度可谓给力。
这对用户而言无疑是一个利好,就像统一推送联盟的出现正逐步解决国内 Android 消息推送乱象一样,App 行为的规范也能让「国产毒瘤」应用越来越少,引导整个国内 Android 生态向一个积极、健康的方向发展。
因此如果你在用的 App 还有「漏网之鱼」,不妨通过互联网信息服务投诉平台[sspai.com/s/zwV6] 进行投诉。