12月20日，国家计算机网络应急技术处理协调中心点名存在隐私不合规行为的17款APP，其中包括哈啰出行、和讯财经等在内的15款APP“未向用户明示申请的全部隐私权限”。

　　一年来，多部门联手依法对APP侵犯个人隐私问题进行集中治理。日前，国家计算机网络应急技术处理协调中心、中国网络空间安全协会基于“APP收集使用个人信息监测平台”“APP举报受理平台”的监测数据，发布《APP违法违规收集使用个人信息监测分析报告》（以下简称《报告》），指出目前强制收集非必要个人信息问题明显减少，但启动弹窗索要无关权限仍多发;超范围收集个人信息行为治理成效初显，但仍须紧盯敏感权限声明超出必要范围等7类隐蔽问题。

　　弹窗索要无关权限仍多发

　　细心的用户可能会发现，诸如微信、前程无忧51Job等头部APP的最新版本，启动时已不再索要存储、设备等无关权限。据《报告》统计，目前全国主流安卓应用商店在架APP的去重后总数为112万款，而APP强制要求收集个人信息是用户普遍反感的违规行为之一。今年以来，APP强制要求用户打开非必要权限、强制要求用户填写非必要个人信息等典型违规行为明显减少，监测发现仅有1%的中小应用残留此问题。

　　《报告》显示，尽管很多APP不再强制收集个人信息，但仍存在首次启动时弹窗索要多个无关权限的问题，由此产生的投诉举报也比较集中，用户对此较为反感。据国家计算机网络应急技术处理协调中心相关人士介绍，目前量大面广的APP已将启动时索要权限改为在用户触发特定功能时再索要对应权限，改善了用户体验。监测显示，在华为、小米、vivo、OPPO、腾讯等主流品牌的应用商店近3个月新上架的应用中，每月平均有近1000款应用存在此问题。

　　“由于APP数量非常多，推陈出新频率高，而且APP的个人信息收集行为和方式也在不断变化，监管部门很难做到全覆盖监管，很容易出现覆盖范围过窄的情况。”TalkingData法务合规负责人兼数据合规官葛梦莹对记者说，“针对海量APP收集、使用个人信息的情况，《个人信息保护法》提出了从关键环节入手的监管思路，即首次区分了一般的个人信息处理者和充当‘守门人’角色的操作系统、应用程序分发平台、大型APP平台等个人信息处理者（以下简称超大平台）。这其中就包括了上述应用商店，因为应用商店是众多APP进行个人信息收集处理的必要通道，从应用商店这个关键环节入手，对其提出增强个人信息保护的要求，例如要求超大平台建立外部监督委员会，主动引入对内部信息处理行为的社会监督，主动承担对平台生态中各方个人信息处理行为的监督，并发布社会责任报告等多种手段来杜绝APP强制收集非必要个人信息的问题。”

　　超限收集含7类隐蔽问题

　　互联网时代，大家都有被精准推送的体验。采访中，中国广告协会法律咨询委员会常务委员杜东为对记者说，由于手机屏幕空间有限，平台算法必须在海量信息中找到用户感兴趣和有价值的信息。通过完全自动化的决策过程，推荐系统在自动分析、评估个人行为习惯、兴趣爱好或者经济、健康、信用状况后进行决策，并向用户展示。

　　《报告》显示，部分APP出于精准用户画像、推广营销等商业目的，想方设法地超出实现功能的必要范围，进而收集更多个人信息。目前，超限收集个人信息主要包括7类隐蔽问题：

　　敏感权限声明超出必要范围。少量APP在未提供实际功能的情况下，仍然声明了相关敏感权限，存在热更新后调用和SDK(软件开发工具包)调用权限的风险。

　　权限索取超出必要范围。一些APP超出当前功能需要索取权限，例如，有的电话拦截功能只需3项敏感权限即可实现，而应用却索要了短信、存储、通讯录等7项敏感权限。

　　收集数据的敏感性超出必要范围。一些APP在使用低敏感性数据即可实现功能的情况下，仍然收集高敏感性数据。例如，普通的天气查询功能只需要城市或地区级的粗略位置信息即可，但有的天气查询APP却超范围地索要精准位置等敏感个人信息。

　　收集数据的具体内容超出必要范围。一些APP在仅需部分数据内容即可实现功能的情况下，收集了全部内容。例如，查找好友功能只需匿名化后的手机号码即可实现，不应超范围地收集通讯录联系人的姓名、邮箱、地址等内容。

　　收集方式超出必要范围。APP收集个人信息的方式包括单次读取、本地存储、上传云端等，这些方式对个人的影响程度依次递增，而APP应在满足功能需求的前提下，选择影响程度最低的收集方式。例如，只需单次读取或本地存储即可实现的功能，不应默认使用上传云端。

　　收集频率超出必要范围。有的APP收集每项个人信息的频率明显超出当前功能的必要范围，例如，运动健身类应用在用户观看视频等无关功能时，也每分钟获取位置信息近百次，明显超出了必要范围。

　　收集场景超出必要范围。很多APP除了在功能必需的合理场景收集信息，还在启动、自启动、后台运行、使用不相关功能等其他场景收集信息，违反了必要原则。

　　中小应用常频繁索权

　　APP的下载量集中在头部应用，从百万级到亿级的，总共只占APP总数的3.4%，97%左右的都是中小应用。《报告》显示，恰恰是中小应用的“知情同意”问题较多，集中表现为同意前收集、频繁索权等。

　　知情同意是处理个人信息的基本前提条件之一。目前常见违规问题集中表现为4类：

　　征得用户同意前收集个人信息。监测发现，2万中小应用样本在同意隐私政策前将用户ID等信息上传至云端服务器，4.4万中小应用样本没有向用户提供明确的隐私政策拒绝选项。

　　用户拒绝后频繁征求用户同意，干扰用户正常使用。13万存量中小应用样本在用户明确拒绝授权后，仍然在使用过程中频繁索取权限，或者在用户下次进入应用时再次索取权限。人工抽验显示，近3个月新上架的应用仍普遍存在频繁索权的问题。

　　诱导用户同意，收集个人信息。例如以签到、福利等为理由诱导用户提供姓名、手机号、住址，以“绝不收集隐私信息”等欺骗性提示诱导用户安装使用APP等。

　　个人信息进行定向推送但无法关闭。有27万个应用样本声明，会利用个人信息进行定向推送，但人工抽验却发现，除了新闻资讯、网络直播、短视频等部分类别外，大多未提供关闭定向推送的选项。此外，部分APP尽管提供了关闭选项，但仍存在为关闭选项强制设定为期几个月的有效期，到期后自动恢复定向推送;关闭选项极其隐蔽，普通用户难以发现;关闭定向推送后并不生效等问题。

　　隐私政策晦涩隐蔽问题突出

　　监测发现，存在无隐私政策问题的APP占比已由2019年最高的26%下降至今年的6.7%。平台企业公开收集使用规则的意识显著增强，小米、华为等头部品牌的应用商店已加强无隐私政策问题应用的审核力度，对存在该问题的8.1万个存量应用进行了下架处理。在近3个月新上架的头部应用程序中，此问题已基本清零，但部分中小应用商店审核机制尚未健全，仍有7.8万款存量问题须进行下架清理。

　　《报告》显示，明示收集行为日趋受到重视，但未明示敏感数据收集与“一揽子”同意问题仍突出。监测数据与人工抽验结果都显示，隐私政策存在隐瞒个人信息收集行为、“一揽子”同意等较为突出的违规问题，其中包括隐瞒敏感个人信息收集行为;隐瞒个人信息对外共享行为;要求“一揽子”地同意隐私政策全部条款，甚至不合理条款。

　　葛梦莹指出：“隐私政策是用户感知最为明显的重要手段，是APP所必备的。隐私政策写得过于晦涩难懂，也是广受个人用户诟病的问题。”对于隐私政策的写法、展示方式等，也需要严格遵守相关法律法规和国家标准，例如除落实《个人信息保护法》的相关要求外，还须充分考虑个人用户的阅读习惯，并且切实保障用户权利的行使，这也是接下来APP的合规工作整治重点。她补充说：“目前比较具有参考性和可执行性的隐私政策模板还是GB/T352732020《个人信息安全规范》的附录D，这也是被APP广泛应用的模板。同时，《个人信息安全规范》的附录C也明确了基本业务功能和拓展业务功能的设计思路，并且在其注释中阐明，如果重新划分产品功能，宜再次告知并征得同意，而这也在一定程度上呼应了《个人信息保护法》第十四条的规定。同时，正在编制中的《互联网平台及产品服务隐私协议要求》将对隐私政策提出具有可执行性的要求。”

　　此外，《报告》显示，目前APP账号基本具备注销功能，但仍须重视其设置不合理注销条件等违规情形。中国电子技术标准化研究院网安中心测评实验室副主任何延哲对记者说，目前，相关人员已在对包括小程序在内的账号注销问题进行研究。