上週,工業和信息化部印發了一份名為《關於電信服務質量的通告》(2020 年第 1 號)的文件,從電信用戶申訴舉報情況、電信服務監管情況、經營及消費提示等三個方面通告了 2019 年第四季度我國電信服務有關情況。值得注意的是,這份報告中提到了不良手機應用的舉報情況。
不良手機應用舉報情況。四季度,12321 舉報受理中心接到不良手機應用有效舉報 15585 件次,環比下降 23.50%。通過行業自律,12321 舉報受理中心聯合應用商店、安全檢測廠商對其中存在問題的 164 款不良手機應用進行了下架處理。
這 164 款應用離你並不遠。自國家互聯網信息辦公室去年年底印發《APP 違法違規收集使用個人信息行為認定方法》的通知後,工信部先後通報過不少存在「侵害用戶權益行為」的 App(第一批、第二批),這當中不僅有來自大廠的 QQ、新浪體育、小米金融、搜狐新聞等,一些大家耳熟能詳的 App,如順義區圖書館、知米背單詞、瑞幸咖啡等也赫然在列。
很多人可能不知道的是,曾經荼毒國內 Android 生態的種種 App 流氓行為其實正在逐步得到矯正。下次遇到一份晦澀難懂、可讀性堪比「天書」的 App 隱私協議時先別急著點「同意」——那些你司空見慣的個人信息收集行為可能違法違規了。
考慮到網信辦這個規定的最初印發時間,彼時大部分 App 的信息收集行為可能是都不合規的。在工信部信管函〔2019〕337 號《工業和信息化部關於開展APP侵害用戶權益專項整治工作的通知》(以下簡稱「通知」)文件中,明確將「侵害用戶權益的行為」分為 4 個方面、8 類問題:
違規收集用戶個人信息
違規收集用戶個人信息方面主要包括「私自收集個人信息」和「超範圍收集個人信息」兩類。在這裡,通知中明確列舉了通訊錄、位置、身份證、人臉等都屬於用戶個人信息,而且 App 在使用個人信息時需要明確告知用戶使用的目的、方式和範圍。
此外,「非服務所必需或無合理應用場景」的信息需要明確界定為超範圍使用用戶個人信息。
違規使用用戶個人信息
用戶個人信息的違規使用主要體現是兩類,包括私自共享用戶個人信息給第三方和強制用戶使用定向推送功能。在這裡,通知進一步明確,設備識別信息、商品瀏覽記錄、搜索使用習慣」、常用軟件應用列表這些都屬於用戶的個人信息。
舉個例子,此前我們在介紹存儲重定向這類工具時所提到的通過公共存儲空間讀寫權限向其他應用分享用戶數據的行為就屬於違規使用個人信息。此外,這份通知還要求 App 必須提供「關閉該功能(指定向推送或精準營銷功能)的選項」,也就是大家常見的「關閉個性化廣告推送」。
不合理索取用戶權限
在「不合理索取用戶權限」這一問題上,不給權限不讓用、頻繁申請權限、過度索取權限三類常見流氓行為都成為了這份通知的重點政治內容。索取與應用核心功能無關的權限(如索取電話權限的相機應用),在用戶明確拒絕後頻繁申請權限這類行為都在整治範圍內,具體到權限上,通訊錄、定位、短信、錄音、相機這些權限則是關注重點。
為用戶賬號註銷設置障礙
這一點主要體現是賬號註銷難。通俗地說,就是 App 不提供註銷服務或者為註銷「使絆子」。
好了,到這裡我們可以簡單的梳理一下,「侵害用戶權益的行為」一共包括了這樣的一些信息,具體參見下圖。
「侵害用戶權益的行為」涉及信息
規範的 App 行為逐漸成為「新常態」
從某種程度上來說,上述《通知》和規定的出臺讓規範國內 Android 應用權限和信息收集行為「有法可依」。那具體到執行環節,這份《通知》的效力和成果究竟怎麼樣?
在工信部先後兩次的通報名單出爐後,對於涉及到的 56 款 App 我也進行了一下簡單的統計和分析。具體的統計分析可以參見下圖。
問題行為分析
從圖中不難看出,早前整治的 App 違規行為中佔比較大的依次為私自收集個人信息、過度索取權限、私自共享給第三方和不給權限不讓用。具體到應用,我就通報中提到過的 App 進行了簡單的對比體驗,主要發現了以下三個變化。
隱私政策不再是「天書」
以往大家所見到的大部分隱私政策往往都堆砌了大量的法律和專業術語,久而久之自然就變成了「太長不看」的「天書」,只需無腦點「同意」就好。
殊不知在各種違規信息收集行為中,這些第一次打開應用或註冊、登錄賬號前出現的「隱私政策」,往往就是開啟「潘多拉魔盒」的那把鑰匙。
在工信部通報的第二批名單中,拉勾招聘(參見 第二批名單)就因「私自收集個人信息」榜上有名。通過應用寶渠道,目前(指測試時下載的版本,下同)我們看到的「拉勾招聘」已經由通報時的 v7.31.0 升級到了 v7.33.0。 且最新版本的隱私政策已經於 2020 年 1 月 8 日進行了更新。
在新的隱私政策文檔中,拉勾招聘列明瞭用戶信息的用途,第三方的授權也進行了相應的表述。坦率地講,對於一個招聘類的 App 來講,個人信息的索取和使用尤為頻繁,因此一份簡明扼要的隱私政策對用戶而言自然也很重要。
整改後是不是更能讀懂了?
除了拉勾招聘,同樣因為隱私問題被點名的還有第一批名單中的 QQ 閱讀、搜狐新聞、界面新聞和第二批名單中的瑞幸咖啡,這些應用後續均進行了相應的調整。
「僅瀏覽」是種好文明
不給權限不讓用也是一個各大 App 淪陷的「重災區」,這一點《通知》更是做出了非常詳盡的解釋(看來是對國內 Android 應用生態做了足夠的調研):
因用戶不同意收集非必要個人信息或打開非必要權限,拒絕提供業務功能;
APP 新增業務功能申請收集的個人信息超出用戶原有同意範圍,若用戶不同意,則拒絕提供原有業務功能,新增業務功能取代原有業務功能的除外;
要求用戶一次性同意打開多個可收集個人信息的權限,用戶不同意則無法使用。
在一般觀念中「不給權限不讓用」行為的基礎上,工信部的整治範圍不僅涵蓋了 App 的既有功能,還考慮到了 App 的更新情況,顧及到了部分應用「一箭多雕」的騷操作。
具體到應用,在第二批名單中被通報的天涯社區(版本 v 6.9.7 參見 第二批名單)存在「不給權限不讓用」和「過度索取權限」問題。因此在通報整改後,天涯社區新版本對權限索取規則進行了調整,首次安裝啟動後,天涯社區不僅會在「隱私政策」說明對於聯繫電話、通訊錄、位置信息等權限的具體使用情況,如果我們不同意其隱私政策要求,可以點擊「僅瀏覽」來正常使用 App 並瀏覽相應的文章,應用所申請的相關權限也可以根據情況拒絕授予,均不會影響我們的正常瀏覽。
可以選擇「僅瀏覽」
這種針對不同意隱私政策、部分授予權限的行為提供「僅瀏覽」選項的設定在知乎這樣的應用中也同樣得到了採用,相比以往「拒絕就再見」的蠻橫無理,我們在使用應用時的自由度顯然更高了一點。
賬號註銷不再難
賬號註銷難也是用戶比較反感的問題之一,涉及到到這一問題的應用以第一批公佈的居多,如 QQ、QQ 閱讀、小米金融、看看新聞,第二批中涉及到這一點的 App 也有,如知米背單詞。
以大家熟知的 QQ 為例,當前應用寶平臺上的版本為 v8.2.7,下載安裝後,點擊左上角的「頭像」進入「設置」,依次按照下圖所示就可以進入到註銷賬號的界面。滿足了「申請註銷賬號」頁面所需要的條件,就可以申請註銷。
QQ 的賬號註銷流程
一點展望
回到文章開頭提到的數據,可以說 2019 年第四季度被下架處理的 164 款不良手機應用還僅僅只是一個開始,對於大部分「碰線」的應用來說,被工信部通報存在問題行為後通常只有兩個選項:要麼整改,要麼下架,治理力度可謂給力。
這對用戶而言無疑是一個利好,就像 統一推送聯盟 的出現正逐步解決國內 Android 消息推送亂象一樣,App 行為的規範也能讓「國產毒瘤」應用越來越少,引導整個國內 Android 生態向一個積極、健康的方向發展。
因此如果你在用的 App 還有「漏網之魚」,不妨通過 互聯網信息服務投訴平臺 進行投訴。
閱讀更多 一隻大懶狗 的文章
