由南方都市報大數據研究院·南都個人信息保護研究中心主辦的“2019啄木鳥數據治理論壇”在北京舉行。在“個人信息保護”專場，南都個人信息保護研究中心發布《2019個人信息安全年度報告》（簡稱《報告》）。《報告》指出，為實際考察App在個人信息收集使用方面的情況，南都個人信息保護研究中心從隱私政策透明度、移動金融類App權限獲取情況等3方面展開測評。

結果顯示，在移動金融類App測評中，設備識別碼被嚴重頻繁調取，“招聯金融”一分鐘內調用了6109次，而“拍拍貸借款”一分鐘調用1468次定位權限。

2019年的3·15晚會上，金融借貸領域“714”高炮（具有借款週期為7天或14天，年利率畸高、需要交納砍頭息及高額逾期費用的特點）問題被曝光；下半年，公安部門套路貸整治專項行動查處多家金融借貸平台。

針對公眾關注度較高的移動金融類App，南都個人信息保護研究中心選取100款下載量較高的App，從是否超範圍獲取權限，尤其是危險權限、用戶拒絕某權限後是否頻繁申請等方面展開測評。

《報告》顯示，超七成App得分不及格，過半分數集中在40分和50分。

100款移動金融App的得分分佈

《信息安全技術移動互聯網應用（App）收集個人信息基本規範》（草案）指出，金融借貸類App保障服務正常運行所需要的最少權限範圍只涉及存儲權限。

而《報告》顯示，22款App強制要求獲取設備識別碼、定位、相機等權限，用戶不同意就不能使用App。

比如用戶首次打開“匯中網”時，APP要求授權攝像頭、定位權限等。當用戶拒絕時則彈出“為了給您更好的體驗，匯中網需要您同意使用權限”的窗口，用戶不同意授權則只能退出。

匯中網強制獲取非必要權限

值得注意的是，強制獲取權限、一次性過多獲取權限都是監督者關注的重點問題。

今年7月，受網信辦、工信部等四部委委託，由全國信安標委、消協等成立的App專項治理工作組曾通報20款App，這些App要求用戶一次性同意開啟多個可收集個人信息權限，且不同意則無法安裝使用，涉及獵豹安全大師、探探等。

除了上述問題，默認獲取隱私權限也是監督者重點關注的問題。2018年11月，上海市消保委測評18款App並邀請企業進行溝通，多款App被曝存在默認獲取權限問題。

在南都個人信息保護研究中心測評的100款移動金融類App中，68款App存在默認獲取非必要權限的行為。所謂默認獲取，是指用戶安裝以後，打開權限設置面板，發現一些權限已經默認打開。比如“小米金融”App會默認獲取讀取（通知類）短信的權限，“天天基金”會默認獲取通話狀態、訪問手機識別碼權限。

小米金融（左）和天天基金默認獲取非必要權限

在中國金融認證中心（CFCA）的技術支持下，此次測評還對移動金融類App一段時間調用危險權限的次數進行監測。《報告》顯示，設備識別碼被嚴重頻繁調取，有59款App每分鐘調用超過100次，其中“招聯金融”一分鐘內調用了6109次，“融360”調用了2586次，“51信用卡管家”、“51人品貸”、“還唄”、“ 國美易卡”、“360借條”調用超過1000次。

僅次於設備識別碼、被頻繁調用的是定位權限。共有44款App調用頻率超過50次/分鐘，其中“拍拍貸借款”調用了1468次，調用500次以上的有7款App，包括“捷信金融”、“匯中網”等。

App調用各個隱私權限的頻率分佈

很長時間以來，App註銷難一直被用戶詬病。相比之下，註冊時一個手機號、一條驗證碼即可完成，而註銷時，有的App要求用戶提供歷史登錄地點等信息，有的還要求消費完代金券，甚至需要提供手持身份證照片。

《信息安全技術個人信息安全規範》規定，註銷過程進行身份核驗時，用戶重新提供的個人信息不應多於註冊、使用等環節收集的個人信息。

針對註銷問題，南都個人信息保護研究中心選取了20款頭部App進行測評，涉及“滴滴出行”、“QQ”、“淘寶”等。值得肯定的是，註銷時身份核驗的體驗感顯著提升，要求用戶上傳有效身份證件或手持身份證照的現象完全消失。

《報告》顯示，19款App得分在70分或以上，且大部分支持在線註銷，需滿足的條件也控制在5條以內。

唯一一款不及格的App是“網易郵箱”，雖然該APP在隱私政策中提到用戶可以註銷，但App未提供明確的註銷入口及註銷指引，且在App內提交反饋也沒有得到回复，註銷條款形同虛設。

網易郵箱在《隱私聲明》裡的註銷條款

《報告》指出，儘管App在註銷功能整體得分較高，但仍有改進的地方。比如，只有一款App——“高德地圖”允許用戶導出、下載個人數據。

《信息安全技術個人信息安全規範》指出，個人信息控制者宜為個人信息主題提供獲取其基本資料、身份信息等個人信息副本的方法。

在隱私政策透明度方面，南都個人信息保護研究中心共檢測100款App，涉及購物導購、移動金融、教育文化等十個行業。

《報告》顯示，100款App中，有13款達到隱私政策透明度高的層級，其中“ 京東金融”以95分位居第一，“美團”和“餓了麼”以一分之差並列第二，其他透明度高的包括“百度”、“淘寶”等。

十大行業排名靠前的App列表

值得注意的是，“悟空租車”、“悅跑圈”、“慢慢買”、“汽車頭條”、“跳跳舞蹈”仍沒有隱私政策。

2018年底，南都個人信息保護研究中心發布《2018年度常用App隱私政策透明度排行榜》。與去年相比，今年測評的App在隱私政策透明度上有明顯提升，從41.1分提升到73.93分。但是，仍有需要提升的地方。

《信息安全技術個人信息安全規範》規定，企業保存個人信息的期限為實現目的所必須的最短時間，超出期限應對個人信息進行刪除或匿名化處理。然而，只有29%的App有上述表示，27%的App沒有提到保存期限，其餘則表達含糊。

比如“360借條”寫道：“為保證您的合法權益，除法律法規另有規定外，您的個人信息保存期限將截止您註銷賬戶之日後的5年。”

此外，先輸入個人信息才能看到隱私政策的情況依然存在，還有的App在隱私政策裡暗藏限制用戶權利或減少企業的法定義務的條款。