12月20日，国家计算机网络应急技术处理协调中心点名存在隐私不合规行为的17款APP，其中包括哈啰出行、和讯财经等在内的15款APP“未向用户明示申请的全部隐私权限”。

　　一年来，多部门联手依法对APP侵犯个人隐私问题进行集中治理。日前，国家计算机网络应急技术处理协调中心、中国网络空间安全协会基于“APP收集使用个人信息监测平台”“APP曝光受理平台”的监测数据，发布《APP违法违规收集使用个人信息监测分析报告》(以下简称《报告》)，指出目前强制收集非必要个人信息问题明显减少，但启动弹窗索要无关权限仍多发；超范围收集个人信息行为治理成效初显，但仍须紧盯敏感权限声明超出必要范围等7类隐蔽问题。

　　弹窗索要无关权限仍多发

　　细心的用户可能会发现，诸如微信、前程无忧51Job等头部APP的最新版本，启动时已不再索要存储、设备等无关权限。据《报告》统计，目前全国主流安卓应用商店在架APP的去重后总数为112万款，而APP强制要求收集个人信息是用户普遍反感的违规行为之一。今年以来，APP强制要求用户打开非必要权限、强制要求用户填写非必要个人信息等典型违规行为明显减少，监测发现仅有1%的中小应用残留此问题。

　　《报告》显示，尽管很多APP不再强制收集个人信息，但仍存在首次启动时弹窗索要多个无关权限的问题，由此产生的投诉曝光也比较集中，用户对此较为反感。据国家计算机网络应急技术处理协调中心相关人士介绍，目前量大面广的APP已将启动时索要权限改为在用户触发特定功能时再索要对应权限，改善了用户体验。监测显示，在华为、小米、vivo、OPPO、腾讯等主流品牌的应用商店近3个月新上架的应用中，每月平均有近1000款应用存在此问题。

　　“由于APP数量非常多，推陈出新频率高，而且APP的个人信息收集行为和方式也在不断变化，监管部门很难做到全覆盖监管，很容易出现覆盖范围过窄的情况。”TalkingData法务合规负责人兼数据合规官葛梦莹对《中国消费者报》记者说，“针对海量APP收集、使用个人信息的情况，《个人信息保护法》提出了从关键环节入手的监管思路，即首次区分了一般的个人信息处理者和充当‘守门人’角色的操作系统、应用程序分发平台、大型APP平台等个人信息处理者(以下简称超大平台)。这其中就包括了上述应用商店，因为应用商店是众多APP进行个人信息收集处理的必要通道，从应用商店这个关键环节入手，对其提出增强个人信息保护的要求，例如要求超大平台建立外部监督委员会，抖客网，主动引入对内部信息处理行为的社会监督，主动承担对平台生态中各方个人信息处理行为的监督，并发布社会责任报告等多种手段来杜绝APP强制收集非必要个人信息的问题。”

　　超限收集含7类隐蔽问题

　　互联网时代，大家都有被精准推送的体验。采访中，中国广告协会法律咨询委员会常务委员杜东为对《中国消费者报》记者说，由于手机屏幕空间有限，平台算法必须在海量信息中找到用户感兴趣和有价值的信息。通过完全自动化的决策过程，推荐系统在自动分析、评估个人行为习惯、兴趣爱好或者经济、健康、信用状况后进行决策，并向用户展示。

　　《报告》显示，部分APP出于精准用户画像、推广营销等商业目的，想方设法地超出实现功能的必要范围，进而收集更多个人信息。目前，超限收集个人信息主要包括7类隐蔽问题：

　　敏感权限声明超出必要范围。少量APP在未提供实际功能的情况下，仍然声明了相关敏感权限，存在热更新后调用和SDK(软件开发工具包)调用权限的风险。

　　权限索取超出必要范围。一些APP超出当前功能需要索取权限，例如，有的电话拦截功能只需3项敏感权限即可实现，而应用却索要了短信、存储、通讯录等7项敏感权限。

　　收集数据的敏感性超出必要范围。一些APP在使用低敏感性数据即可实现功能的情况下，仍然收集高敏感性数据。例如，普通的天气查询功能只需要城市或地区级的粗略位置信息即可，但有的天气查询APP却超范围地索要精准位置等敏感个人信息。

　　收集数据的具体内容超出必要范围。一些APP在仅需部分数据内容即可实现功能的情况下，收集了全部内容。例如，查找好友功能只需匿名化后的手机号码即可实现，不应超范围地收集通讯录联系人的姓名、邮箱、地址等内容。

　　收集方式超出必要范围。APP收集个人信息的方式包括单次读取、本地存储、上传云端等，这些方式对个人的影响程度依次递增，而APP应在满足功能需求的前提下，选择影响程度最低的收集方式。例如，只需单次读取或本地存储即可实现的功能，不应默认使用上传云端。

　　收集频率超出必要范围。有的APP收集每项个人信息的频率明显超出当前功能的必要范围，例如，运动健身类应用在用户观看视频等无关功能时，也每分钟获取位置信息近百次，明显超出了必要范围。

　　收集场景超出必要范围。很多APP除了在功能必需的合理场景收集信息，还在启动、自启动、后台运行、使用不相关功能等其他场景收集信息，违反了必要原则。

　　中小应用常频繁索权

　　APP的下载量集中在头部应用，从百万级到亿级的，总共只占APP总数的3.4%，97%左右的都是中小应用。《报告》显示，恰恰是中小应用的“知情同意”问题较多，集中表现为同意前收集、频繁索权等。

　　知情同意是处理个人信息的基本前提条件之一。目前常见违规问题集中表现为4类：

　　征得用户同意前收集个人信息。监测发现，2万中小应用样本在同意隐私政策前将用户ID等信息上传至云端服务器，4.4万中小应用样本没有向用户提供明确的隐私政策拒绝选项。

　　用户拒绝后频繁征求用户同意，干扰用户正常使用。13万存量中小应用样本在用户明确拒绝授权后，仍然在使用过程中频繁索取权限，或者在用户下次进入应用时再次索取权限。人工抽验显示，近3个月新上架的应用仍普遍存在频繁索权的问题。

　　诱导用户同意，收集个人信息。例如以签到、福利等为理由诱导用户提供姓名、手机号、住址，以“绝不收集隐私信息”等欺骗性提示诱导用户安装使用APP等。

　　个人信息进行定向推送但无法关闭。有27万个应用样本声明，会利用个人信息进行定向推送，但人工抽验却发现，除了新闻资讯、网络直播、短视频等部分类别外，大多未提供关闭定向推送的选项。此外，部分APP尽管提供了关闭选项，但仍存在为关闭选项强制设定为期几个月的有效期，到期后自动恢复定向推送；关闭选项极其隐蔽，普通用户难以发现；关闭定向推送后并不生效等问题。

　　隐私政策晦涩隐蔽问题突出

　　监测发现，存在无隐私政策问题的APP占比已由2019年最高的26%下降至今年的6.7%。平台企业公开收集使用规则的意识显著增强，小米、华为等头部品牌的应用商店已加强无隐私政策问题应用的审核力度，对存在该问题的8.1万个存量应用进行了下架处理。在近3个月新上架的头部应用程序中，此问题已基本清零，但部分中小应用商店审核机制尚未健全，仍有7.8万款存量问题须进行下架清理。