千款APP隐私政策平均仅得41.1分

来源:南方都市报 2018-12-28 08:48:45

...

12月27日,2018大数据合作与合规峰会暨腾讯隐私保护白皮书发布会在深圳举行。南方都市报大数据研究院个人信息保护研究中心副主任蒋琳基于《2018年度常用APP隐私政策透明度观察报告》作了主题发言。

蒋琳介绍,报告中的测评是国内首次针对网民常用APP进行的大规模测评,受测APP共有1000款,覆盖了购物导购、移动金融、教育文化、旅游交通、生活服务、社交交友、体育健身、新闻资讯、休闲娱乐、医疗健康等十大行业。

测评结果显示,在个人信息保护相关法规和标准相继出台、相关部委展开隐私政策专项评审工作的大环境下,APP的隐私政策透明度整体比去年有所提升,但依然有逾七成APP的隐私政策不合格,甚至出现了盗用别家隐私政策的现象。

A

测评得分

知名企业APP得分较高 2306等113款无隐私政策

“隐私政策”,是企业与用户之间关于如何处理和保护用户个人信息的基本权利义务的文件。根据测评得分,1000款APP被划分为从高到低五个透明度层级:透明度越高,代表隐私条款中关于企业如何收集、使用、存储和保护个人信息的描述越清晰和全面。

测评结果显示,百度贴吧以97分位居第一,爱奇艺和百度地图以一分之差并列第二。1000款A PP中,有13款达到隐私政策透明度高的层级;透明度低的A PP数量过半,共538款,其中113款没有任何隐私条款,包括12306、爱鲜蜂、韵达速递、小猿搜题这些人们耳熟能详、下载量较大的APP。

十大行业中,生活服务、休闲娱乐、医疗健康和旅游交通四个行业的平均分处于透明度较高的层级,其余较低。其中生活服务类的平均分最高,体育健身类最低。教育文化行业的平均分从2017年度的30.2分提高到了2018年度的39.6分,进步最为显著。

与2017年度南都个人信息保护研究中心测评的683款A PP相比,尽管测评标准更加严格,2018年度还是在测评最高得分、透明度高的APP数量和行业平均分等方面全方位“碾压”2017年度———整体平均分提高了近4分,透明度中等及以上的APP占比增加了12个百分点。

这些变化并非无迹可循。据南都记者了解,过去一年里,不仅个人信息保护相关法规和标准相继出台,隐私政策专项评审工作也再次启动。

去年7月,中央网信办、工信部、公安部、国家标准委等四部委指导开展首次隐私条款专项工作,10款常用A PP参与评审。今年8月底,第二次隐私条款专项工作正式启动,参评APP增加到30款。

此外,以《信息安全技术个人信息安全规范》《信息安全技术个人信息安全影响评估指南(征求意见稿)》为首的一批国家标准相继出台和实施,也对企业极具参考价值。

南都记者注意到,首批参评的10款APP中有不少都在这一年时间里数次更新隐私政策,在本次测评中几乎全部达到透明度高或较高的层级。事实上,透明度高或各行业排在前几名的“头部”APP中,90%以上都是BATJ、华为、爱奇艺、360等知名企业旗下的产品。

B

测评标准

“呈现方式”首次纳入标准 考察设计创新性和用户友好程度

很多调查报告都曾提到,注册时会阅读隐私政策的用户是极少数。甚至有人戏称,“我已阅读并同意隐私政策”是当代人最违心的话。

人们不愿意看隐私政策主要有两层原因:一是A PP强制同意———不同意就不能用,二是文本过于冗长晦涩。不过,已经有不少企业开始实践“隐私设计”(Privacy bydesign)的理念,试图用更明显和轻松愉快的方式让人们了解隐私政策。

因此,南都个人信息保护研究中心首次把“呈现方式”纳入了测评标准,意在考察隐私政策设计上的创新性和用户友好程度。测评结果显示,企业已经开始探索“仅浏览”模式、解说视频、段落摘要、权限表格等多种呈现方式。

今年4月,知乎曾因新版隐私政策引起了网友的极大反弹,其中一个引起网友不满的地方是点击“不同意”则无法使用,选择权形同虚设。

而在本次测评中,知乎创新性地提供了“仅浏览”的选项。在“仅浏览”状态下,用户可以正常进入知乎浏览内容,只是无法使用提问、回答、评论等功能。知乎还承诺,浏览模式下所必需的信息将在一个月内删除并采用去标识化、加密等处理。抖音、今日头条、搜狐新闻等A P P也都采用了这种模式。

随着如今人们接受资讯方式的转变,用视频来吸引用户了解隐私政策的核心内容或许是一个不错的办法。比如谷歌地图就在隐私政策的不同章节嵌入了几个一分钟以内的动漫小视频,尤其对人们最困惑的两大问题———“我们收集哪些信息”、“我们为什么要收集这些信息”——— 做出了解释。

报告提到,随着隐私政策文本的逐渐完善,设计或将成为决定高分APP名次的重要依据———如果文本赘述太多,不重视产品设计,同样影响得分。

C

测评分析

超七成APP得分低 均分尚未“及格”

不过,值得注意的是,尽管1000款APP的隐私政策透明度总体有所提升,透明度较低或低的A PP数量仍超过七成,平均分也只有41.1分,尚未“及格”。

中国电子技术标准化研究院信息安全研究中心审查部技术总监何延哲曾表示,隐私评审专项工作的下一步是在增强式告知、使用过程中的即时提示等方面优化推进,化解一揽子同意、只在文字上做表面功夫而忽略实际应用等现象。

测评结果显示,上述不规范现象的确广泛存在。

比如点击12306在苹果A PP商店里的隐私政策链接,跳转的不是隐私政策页面,而是12306官网主页。类似提供无效或错误链接的A PP还不少,白丁健康医生甚至盗用了百度的隐私政策。报告认为,由于很多用户没有点开链接阅读隐私政策的习惯,这些A PP难免有蒙混过关的嫌疑。

A PP在隐私政策里要求用户“一揽子同意”所有授权,在测评中也较为多见,只有不到10%的A PP区分了核心功能和附加功能,并告知相应权限,承诺拒绝提供附加功能所需信息不影响核心功能使用。

报告还提到,有些A PP拒绝对黑客攻击、电脑病毒侵入造成的信息泄露负责。事实上,这是企业推脱自身责任的表现。在个人信息泄露事件中,即使企业被证明已经尽了最大努力保护用户个人信息,仍然应该立即主动通知监管机构和受影响的用户,并积极采取补救措施。

其他普遍缺失的条款还包括告知保存个人信息的具体期限,首次使用时用弹窗等增强式告知的形式告知用户隐私条款的核心内容,告知用户停止运营时处理个人信息的方式,涉及敏感信息处理时获得用户的明示同意等。

报告总结指出,在“头部”APP愈发完善的同时,“尾部”APP的隐私政策中,文本雷同、暗藏霸王条款和格式条款等问题依然层出不穷,甚至出现了盗用其他APP隐私政策的情况。可见,隐私政策透明度分布的两极分化现象十分严重,企业对个人信息保护的重视程度亟待提高。

采写:南都记者 蒋琳

隐私 政策
0 0

热门阅读

更多精彩关注财经网官方微信

写评论
写评论
退出