App個人信息規範出台實測拼多多、美團、抖音等10款App合規性
保護個人信息及隱私成為了科技圈近期的焦點話題。在315晚會上,企業違規收集人臉信息、清理類軟件竊取老年人信息等案例被曝光。在監管層角度,對個人信息的保護措施也不斷加碼。上週,國家互聯網信息辦公室副主任楊小偉在新聞發布會上說,目前加緊制定出台《數據安全法》《個人信息保護法》,從而在法律層面為數據安全和個人隱私保護提供法律保障。
昨天,國家互聯網信息辦公室、工業和信息化部、公安部、國家市場監督管理總局聯合印發《常見類型移動互聯網應用程序必要個人信息範圍規定》(以下簡稱《規定》)。
《規定》明確了地圖導航、網絡約車、即時通信、網絡購物等39類常見類型移動應用程序必要個人信息範圍,自2021年5月1日起施行。
App是否存在過度收集個人信息的情況?用戶不同意提供非必要個人信息,App就拒絕為用戶提供基本功能服務?對此,搜狐科技查閱了十大常用App隱私政策,並與《規定》中所明確的必要個人信息範圍進行比對。
需要注意的是,設備和日誌信息以及Cookie是否屬於個人信息仍存在爭議。如果算作個人信息並嚴格按照《規定》中的限制,搜狐科技發現,包括愛奇藝、百度地圖、滴滴、支付寶、美團、拼多多、淘寶、微信、QQ、抖音在內的十大App都可能需要進行整改。因為除了《規定》中提到的必要信息,這些App還會默認收集用戶的設備和日誌信息、Cookie及類似數據文件。
一般來說,設備信息主要包括唯一設備識別碼、登錄IP地址、設備型號等,日誌信息主要包括瀏覽記錄、檢索記錄、訪問日期和時間等。
當然,如果上述信息不被定義為個人信息,那麼這些App的個人信息收集算基本合規。部分App存在超出範圍的信息收集,用戶可以拒絕,並且只會影響附加服務。
愛奇藝:
在《規定》中,在線影音類App基本功能服務為“影視、音樂搜索和播放”,無須個人信息,即可使用基本功能服務。
而在愛奇藝的隱私權政策中,愛奇藝稱收集設備信息和日誌信息是為了提供最核心的服務內容展示/播放/下載服務,如果拒絕提供上述信息和/或權限將可能導致無法使用產品與服務。愛奇藝還強調,單獨的設備信息、日誌信息等無法識別用戶的身份信息。
具體來看,設備信息包括設備MAC地址、唯一設備識別碼、登錄IP地址、設備型號、設備名稱、設備標識、瀏覽器類型和設置、語言設置、操作系統和應用程序版本、接入網絡的方式、網絡質量數據、移動網絡信息(包括運營商名稱)、產品版本號、設備所在位置相關信息。
日誌信息方面,愛奇藝會自動收集用戶的個人上網記錄,並作為有關操作日誌、服務日誌保存,包括瀏覽記錄、點贊/分享/評論/互動記錄、收藏/關注/預約記錄、播放記錄、播放時長、訪問日期和時間。
愛奇藝表示,可能會使用Cookie和同類技術收集用戶的一些個人信息,包括訪問網站的習慣、瀏覽信息、登錄信息。
滴滴:
在《規定》中,網絡約車類App的基本功能服務為“網絡預約出租汽車服務、巡遊出租汽車電召服務”,必要個人信息包括:1.註冊用戶移動電話號碼;2.乘車人出發地、到達地、位置信息、行踪軌跡;3.支付時間、支付金額、支付渠道等支付信息(網絡預約出租汽車服務)。
在滴滴的隱私政策中,完成上述基本功能所必需的個人信息包括手機號碼、行程信息、支付信息、位置信息、訂單信息及交易狀態、錄音和錄像信息、設備信息和日誌信息。
具體來看,用戶註冊需手機號碼並設置密碼,如果用微信登陸還需要獲取微信平台的OpenID;行程信息方面,包括出發地、到達地、行踪軌跡、時長及里程數信息;支付信息方面,包括支付工具、支付賬戶風控信息以及支付狀態,如果用戶使用滴滴錢包則需要設置支付密碼,記錄餘額、支付記錄、提現記錄以及銀行卡號。
此外,滴滴表示為了提升產品安全能力,會通過軟件或硬件設備獲取用戶行程中的車內環境聲音信息,部分平台內註冊車輛可能安裝有車內視頻記錄儀等設備,用戶可能被錄製視頻信息。並且,滴滴會收集設備信息(包括設備型號、操作系統版本設備設置、MAC地址及IMEI、IDFA、OAID等設備標識符、SIM卡I MSI信息、SIM卡歸屬地、設備環境、移動應用列表等軟硬件特徵信息)及日誌信息(包括瀏覽記錄、檢索內容、點擊查看記錄、交易記錄以及IP地址瀏覽器類型、電信運營商、使用語言、訪問日期和時間)。
支付寶:
在《規定》中,網絡支付類App基本功能服務為“網絡支付、提現、轉賬等功能”,必要個人信息包括:1.註冊用戶移動電話號碼;2.註冊用戶姓名、證件類型和號碼、證件有效期限、銀行卡號碼。
在支付寶的隱私權政策中,用戶需要提供手機號或電子郵箱作為賬戶登錄名。用戶還需要需要提供身份基本信息,包括姓名、國籍、性別、職業、住址、聯繫方式,有效身份證件的種類、號碼和有效期限,以及有效身份證件的彩色影印件或照片。
在餘額支付的操作中,需要記錄支付賬戶餘額信息以及交易信息;在快捷支付中,用戶需提供開戶行名稱銀行卡卡號、銀行卡有效期、姓名身份證號碼、銀行預留手機號;在轉賬操作中,如果向他人的支付寶賬戶轉賬時,需輸入收款人賬戶、收款人部分姓名、轉賬金額;在轉賬至他人銀行卡時,需輸入收款人姓名卡號、開戶銀行。
在用戶進行消費時,支付寶稱將直接收集或向商家收集用戶的交易信息,包括交易金額、交易對象、交易商品、交易時間、配送信息(如有)。如用戶不同意則可能無法完成交易。
此外,基於安全原因,支付寶稱需要記錄支付寶服務類別、方式及設備品牌、設備型號、設備名稱、IP地址MAC地址、設備軟件版本信息、設備識別碼、設備標識符,所在地區,網絡使用習慣,設備相關應用信息以及其他與支付寶服務相關的日誌信息。如不同意記錄前述信息,可能無法完成風控驗證。
百度地圖:
在《規定》中,地圖導航類App的基本功能服務為“定位和導航”,必要個人信息為:位置信息、出發地、到達地。
通過百度地圖隱私政策可以看到,用戶直接提供和App自動採集的個人信息包括:註冊信息、設備信息、位置信息、日誌信息、車輛信息、通訊錄信息、日曆信息、應用程序列表信息,超出範圍的信息收集主要是用於附加服務。
比如,註冊信息方面,當註冊百度通用賬號時,用戶需要提供賬號名稱、頭像、密保郵箱、密保手機、密保問題,並創建密碼。或者,使用第三方賬號登錄。百度地圖隱私政策指出,如果不登錄百度地圖,並不會妨礙用戶使用定位服務和搜索服務的核心業務功能,但會影響使用報錯、評論等附加業務功能。
美團:
在《規定》中,餐飲外賣類App的基本功能服務為“餐飲購買及外送”,必要個人信息包括:1.註冊用戶移動電話號碼;2.收貨人姓名(名稱)、地址、聯繫電話;3.支付時間、支付金額、支付渠道等支付信息。
在美團的隱私權政策中,用戶需要提供手機號碼以創建賬號,並完善相關的網絡身份識別信息(如頭像、暱稱及登錄密碼等);支付信息方面,需要收集美團訂單信息、對賬信息及其他法律要求的必要信息;涉及配送等服務時,用戶需要提供取/收貨人的姓名、性別、手機號碼、收貨地址、門牌號等。
此外,美團還會收集日誌和設備信息。用戶使用美團提供的產品/服務時,美團會收集瀏覽、搜索、點擊、收藏、添加購物車、交易、售後、關注、分享、發布等信息並作為有關網絡日誌進行保存,其中包括IP地址、瀏覽器的類型、使用的語言、操作系統的版本、訪問的日期和時間、電信運營商、網絡請求等。
美團還會獲取用戶的設備信息,包括設備屬性、連接和狀態信息,例如設備型號、設備標識符(IMEI/androidID/IDFA/OPENUDID/GUID/OAID、SIM卡IMSI、ICCID信息等)、設備MAC地址、軟件列表、電信運營商等軟硬件特徵信息。
拼多多:
在《規定》中,網上購物類App基本功能服務為“購買商品”,必要個人信息包括:1.註冊用戶移動電話號碼;2.收貨人姓名(名稱)、地址、聯繫電話;3.支付時間、支付金額、支付渠道等支付信息。
在拼多多的隱私權政策中,用戶完成“購買”的基本功能需要提供手機號碼進行註冊,並且拼多多會收集用戶的設備信息、日誌信息、訂單信息和支付信息。
具體來看,設備信息包括但不限於設備類型、設備型號、設備設置、設備識別碼、設備存儲空間、操作系統和應用程序版本、語言設置、分辨率、軟硬件特徵信息。此外,拼多多可能會寫入用戶訪問拼多多平台或使用拼多多服務時所使用的設備的存儲空間。
日誌信息方面,拼多多稱用戶在訪問拼多多平台或使用服務時,系統可能會自動接收並記錄瀏覽器、計算機上的信息(包括但不限於IP地址、瀏覽器類型、搜索記錄、瀏覽記錄、瀏覽習慣、使用的語言、訪問日期和時間、電信運營商及記錄需求的網頁記錄)。
訂單信息包括收貨人姓名(或名稱)、收貨地址及電話號碼,訂單同時載明訂單號、所購買的商品或服務信息、下單時間、成團時間、實際支付的貨款金額及採用的支付方式。支付信息方面,用戶可以通過第三方支付機構完成支付,支付功能本身並不收集個人信息,但拼多多需將用戶的訂單號、交易金額以及其他用戶所選擇的支付機構要求的交易信息與用戶選擇的支付機構共享。
此外,拼多多表示可能會通過Cookie識別用戶的身份,了解用戶的使用習慣,但用戶可以通過瀏覽器修改對Cookie的接受程度或者拒絕拼多多的Cookie。
淘寶:
《淘寶網隱私權政策》顯示,除去會員註冊需要的電話號碼外,公司會收集用戶的收藏、加購及已購信息、用戶所在位置以推薦商品及服務。而為了安全保障,淘寶稱需要收集和處理用戶的設備信息、日誌信息。此外,為了提供附近的商品及服務優惠信息,用戶的位置信息也會被讀取,但用戶可以選擇關閉。
淘寶稱,上述個人信息,大部分是用戶主動提供的,或者淘寶在用戶使用產品時,通過Cookies、SDK及類似技術獲取的,還有部分是從第三方間接獲取的。
微信:
在《規定》中,即時通信類App的基本功能服務為“提供文字、圖片、語音、視頻等網絡即時通信服務”,必要個人信息包括:1.註冊用戶移動電話號碼;2.賬號信息:賬號、即時通信聯繫人賬號列表。
《微信隱私保護指引》顯示,用戶註冊微信服務時,需要提供的信息包含賬號信息、手機號碼、設備型號、操作系統、登錄IP地址、在微信進行的搜索、查看操作的記錄等日誌信息,微信稱“這類信息時為提供服務必須收集的基礎信息”。
而在使用附近的人、搖一搖、面對面建群及附近的小程序等功能時,微信會在獲得用戶同意後,記錄地理位置信息,如果拒絕提供,將無法使用上述功能。微信搜索、搜一搜以及看一看功能同樣會收集搜索記錄、閱讀記錄、推薦記錄和訪問時間、評論和互動記錄。
隨著微信功能不斷疊加,在基本的通訊功能之外,微信同樣承載了不少其他需求,也就不可避免地涉及到了更多個人信息收集。
QQ:
《QQ隱私保護指引》表明,當用戶使用QQ服務時,會收集設備型號、操作系統、設備Mac地址、唯一設備標識符、應用ID、登陸IP地址、QQ軟件版本號、接入網絡的方式、類型和狀態、網絡質量數據、操作日誌、服務日誌信息(如您在閱讀功能下的瀏覽歷史、服務故障信息等信息)等日誌信息,這類信息是為提供服務必須收集的基礎信息。
QQ會在用戶使用一些功能時,在獲得同意的情況下,收集一些敏感信息,比如步數、手機聯繫人信息、地理位置信息,而拒絕提供將會使用戶無法使用相關特定功能,但不影響使用QQ其他功能。
此外,QQ的第三方合作夥伴會使用第三方SDK收集、使用用戶的個人信息。比如,用戶可以將特定內容分享到新浪微博,而QQ接入了新浪微博SDK,第三方合作夥伴可能會收集個人常用設備信息、網絡狀態等;用戶使用華為手機的,QQ接入的手機廠商Push SDK需要收集手機設備MAC地址、唯一標識信息(例如IMEI),並可能會收集用戶的手機型號、系統類型、系統版本、網絡狀態等參數用於實現信息的推送。
如微信一樣,QQ所收集的用戶信息同樣超出範圍,但據《指引》,如果拒絕提供相關信息,只會影響相應功能,不會影響基礎功能。
抖音:
在《規定》中,短視頻類App的基本功能服務為“不超過一定時長的視頻搜索、播放”,無須個人信息,即可使用基本功能服務。
《抖音隱私政策》指出,用戶主動提供和通過自動化手段獲取的信息,包含賬號、身份認證、日誌信息(點擊、關注、收藏、搜索、瀏覽、分享)、發布信息、通訊錄、地理位置信息、設備信息。
不過抖音表示,“基於我們與通信運營商的合作,當您使用抖音’一鍵登錄’功能時,經過您的明示同意,運營商會將您的手機號碼發送給我們,便於我們為您提供快捷的登錄服務。手機號碼屬於個人敏感信息,如果拒絕提供將無法使用’一鍵登錄’方式註冊登錄抖音,但不影響您通過其他方式註冊登錄,也不影響其他功能的正常使用。”
此外,抖音稱,為了提升音視頻的上傳速度、豐富發布功能和優化體驗,當用戶發布音視頻時,在點擊“發布”確認上傳之前,抖音會將該音視頻臨時加載至服務器。但用戶可以在設置中進行關閉。
綜上所述,用戶們的設備信息、日誌信息、Cookie基本上是默認被收集的。進入App後也沒有相關按鈕可以選擇拒絕“被收集”設備和日誌信息;如果想拒絕“被收集”Cookie則需要在瀏覽器中關閉相關權限,並且需要瀏覽器有相關功能支持。
比如在《規定》中,在線影音類App無須個人信息,即可使用基本功能服務。而在愛奇藝的隱私權政策中,愛奇藝稱如果拒絕提供設備信息和日誌信息將可能導致無法使用產品與服務。
需要注意的是,設備信息、日誌信息等是否屬於個人信息的定義還比較模糊。拼多多在隱私政策中提到,單獨的設備信息、日誌信息、搜索關鍵詞信息以及其他無法與特定個人直接建立聯繫的信息或數據,不屬於個人信息或個人敏感信息。但根據去年10月起實施的國家標準《信息安全技術個人信息安全規範》,上網記錄、設備常用信息等屬於個人信息。