出品
零壹智库作者
金融APP评测中心
受疫情影响，大家被迫居家隔离，网上购物、在线教育、在线办公等线上化成为了人们主要的生活、学习、工作方式。
当我们通过手机下载或更新这些APP时，都会被要求阅读并同意《隐私政策》。相信很多人跟我一样，没有阅读，只是“被迫”选择了“同意”，因为不同意则无法使用。
如何判断APP是否存在违法违规搜集使用个人信息？我们的哪些个人信息又被违规搜集？带着这些疑问，评测中心基于《网络安全法》以及网信办、工信部、公安部、市场监督总局、信息安全标委会等部门发布的关于APP收集使用个人信息相关法规，整理了8条标准，对20款常用的网上购物APP进行了评测。
结果显示，有17款APP存在违法违规收集使用个人信息的行为。
20款网购APP，17款存在违规行为
基于以上标准，我们对20款网上购物平台APP进行了评测，结果显示：仅京东、唯品会、苏宁易购3款APP未发现违规行为；其余17款APP当中，闲鱼和网易严选2款APP违规问题最多。
表1: 17款电商APP违法违规收集使用个人信息行为
信息来源：零壹智库
另一方面，这17款APP违规行为集中出现在3个方面：
1）APP违反最小必要原则，超范围收集个人信息，例如收集设备唯一标识、手持身份证照片、已安装的应用列表等信息，存在该问题的有闲鱼、蘑菇街、得物、小米有品、手机淘宝等10款APP；
2）在收集用户信息时，未详细说明收集个人信息的目的、范围等，存在该问题的有寺库奢侈品、转转、微店、有货等11款APP；
3）在用户拒绝授权之后，仍频繁向用户申请授权，干扰用户正常使用，存在该问题的APP有考拉海购、多点、平安好医生、网易严选等APP。
8条标准判断APP是否存在违法违规行为
1. 没有《隐私政策》，是否合规？
不合规。
当我们下载APP时，我们会发现，在一些APP中没有《隐私政策》，有些用户会认为这些APP没有收集我们的个人信息。事实上，这种想法是错误的，绝大部分APP都会在我们注册过程中，甚至在我们非注册情况下，都会收集我们的个人信息。因此，该行为属于未公开收集使用规则。
除此之外，根据网信办、工信部、公安部等部门要求，《隐私政策》需要以单独成文的形式发布，不能作为用户协议等文件的一部分。
2. 默认用户选择同意《隐私政策》，是否合规？
不合规。
当我们首次打开APP、或通过APP注册账户时，会要求我们阅读并同意隐私政策。绝大部分的APP会需要用户主动勾选、主动点击“同意”“注册”等方式，同意《隐私政策》，个别APP直接省略了该步骤，例如拼多多APP，事实上，默认用户同意《隐私政策》这种行为并不合规。
3. 超范围收集个人信息，是否合规？如何定义超范围收集个人信息？
绝大部分用户，一定会困扰，为什么这些APP要收集我们的通讯录、短信记录、相册、位置定位、身份证号等个人信息，这些行为是否合法合规。甚至我们很难界定，哪些信息是必须要收集的、哪些是我们可以拒绝的。
实际上，《网络安全法》第41条就已经规定，网络运营者不得收集与其业务无关的个人信息。如何确定哪些信息与其业务无关呢？我国信息安全标委会针对30种类型的APP，整理了可收集的最小必要信息，这些信息主要分为两部分，法律法规要求的个人信息和业务所需的个人信息。
以网上购物APP为例，法律法规要求的最小必要信息包括：网络访问日志、手机号码和交易信息。实现业务所需的个人信息有：账号信息、收货人信息、第三方支付信息、与客服沟通的通话录音和聊天信息。如果网上购物APP收集的个人信息超过该范围，即可认定为超范围收集个人信息。
4. 未告知用户收集个人信息的目的、范围，是否合规？
不合规。
一些APP在收集使用我们的个人信息时，会用“等、例如”概括个人信息收集范围，我们很难从这些文字当中获知这些APP到底收集了我们的哪些信息。
除此之外，一些APP在弹窗向用户申请收集个人信息权限时，也未向用户告知目的。
根据GB/T 35273《信息安全技术 个人信息安全规范》和APP治理工作组要求，这些行为均不合规。
5. 未提供投诉举报的功能或渠道，是否合规？
不合规。
当我们遇到有APP存在侵权行为时，一些用户会选择向商家进行投诉举报，此时，用户会面临几个问题：首先，一些APP未提供投诉举报途径；其次，在用户投诉举报之后，长时间没有反馈。
根据《网络安全法》第49条，网络运营者应当建立安全投诉、举报制度，并公布投诉、举报方式，及时受理并处理相关投诉举报。除此之外，网信办、公安部等部门还对投诉举报进行了时间限制，要求15个工作日内完成核查和处理。
6. 未提供账户注销途径，或账户注销需要提供超过注册范围的信息，是否合规？
不合规。
由于某些原因，我们会选择将APP账户进行注销。而在此时，我们会发现，一些APP注册容易，注销难。主要存在的问题有3个：
首先，在APP当中，未提供注销途径，或不支持用户注销；
其次，一些APP支持用户注销，但是需要用户提交超过注册时的个人信息，例如在金融APP当中，用户注销账户需要提交手持身份证照片，APP治理工作组表示，该行为属于典型的以欺骗方式收集个人敏感信息；
此外，一些APP的账户注销需要通过其他APP进行操作，并且会导致用户无法使用其他相关的APP，例如注销闲鱼APP时，同时会导致淘宝、飞猪等APP无法使用。
闲鱼APP《隐私政策》
淘宝APP注销截图
以上这些行为，均不合规。
7. 强制用户使用定向推送功能，并且在APP中未提供取消功能，是否合规？
不合规。
相信大部分用户都被商家的推送短信骚扰过，即使我们回复“T” “回T退订”也很难取消广告推送。
根据网信办、工信部等部门发布的《App违法违规收集使用个人信息行为认定方法》，APP在利用个人信息和算法定向推送信息时，未提供取消功能的，被认定为违法违规收集使用个人信息。
8. 在用户拒绝授权之后，仍频繁向用户申请权限，是否合规？
在我们拒绝APP的某些授权后，每次我们重新打开APP时均会弹窗询问是否同意收集个人信息，严重影响用户体验。
针对这一行为，相关法规认定标准：在用户明确表示不同意收集后的48小时内，每次重新打开APP、或使用某一业务功能时，重复向用户申请权限，均不合规。
如果是用户在选择使用某一具体功能所触发的弹窗询问授权，则不属于频繁干扰情形。例如，用户选择发送图片功能时，所触发的“照片”权限。
APP违法违规 投诉举报途径
面对APP违法违规收集使用个人信息行为，作为用户该怎么办呢？
1. 向APP运营商投诉举报。在APP《隐私政策》查找“如何联系我们”，可以获取电话、邮箱等方式进行投诉举报。
2. 向外部监管机构投诉举报。如果我们发现APP存在不合规不合法行为，可以直接向网信部、电信、公安部进行投诉举报。
End.
目前，我国数字金融服务的主要媒介是手机端，因此近两年商业银行日益注重手机银行建设，以此来进行获客、活客、场景嵌入、线上营销等金融生态平台建设。在此基础上，银行业不断拓展外部合作伙伴，展开智能营销、AI服务、风控建模等科技合作。
追加内容
本文作者可以追加内容哦 !
}