129款App因违法违规收集个人信息被通报,涉及新闻、直播、运动等领域

21世纪经济报道 21财经APP 王俊
2021-06-11

时隔20天,国家网信办通报了第四批违法违规收集个人信息的App,此次通报直指运动健身类、新闻资讯类、网络直播类、应用商店类、女性健康类和婚恋相亲类App。

今日头条、腾讯新闻、新浪新闻、搜狐新闻、一点资讯等市面上常用的新闻资讯类App,以及虎牙直播、腾讯NOW直播、一直播等月活度高的直播App均在被通报名单中。

“违反必要原则,收集与其提供的服务无关的个人信息”成为这些App收集个人信息的集中问题。 

27款新闻资讯App被通报

在5月份密集通报三批违法违规收集个人信息的App后,6月份的通报虽迟但到。

2019年开始,网信办便在全国范围组织开展App(移动互联网应用程序)违法违规收集使用个人信息专项治理行动。今年5月起,网信办通报了三批共222款App。

第一批和第二批,主要针对输入法、地图导航、安全管理、网络借贷等类型的App,搜狗输入法、高德地图、百度地图、腾讯手机管家、360手机卫士、还呗等均在列。第三批则直指短视频、浏览器、求职招聘等类型App,抖音、快手等被点名。

本次网信办对运动健身、新闻资讯、网络直播、应用商店、女性健康等常见类型App的个人信息收集使用情况进行了检测,对违法违规收集个人信息的App予以通报。虽然6月份通报的频率降低,却有129款App被指出存在问题。

此次被通报的名单中,众多新闻资讯类App引起关注。通报的27款新闻资讯类App中,大部分为下载量巨大、日活高、用户粘性强的App,包括今日头条、腾讯新闻、新浪新闻、搜狐新闻、一点资讯等。

数据显示,腾讯新闻、今日头条在2019年月活用户数量便已超2亿,搜狐新闻、新浪新闻、一点资讯等月活数在千万量级序列,这次被通报的ZAKER也是百万量级的。

27款被点名通报的新闻资讯类App,25款都存在“违反必要原则,收集与其提供的服务无关的个人信息”的问题

哪些行为属于“违反必要原则,收集与其提供的服务无关的个人信息”?

2019年,国家网信办等四部门联合印发的《App违法违规收集使用个人信息行为认定方法》(简称《认定办法》)给出了答案:

1、收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关

2、因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;

3、App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;

4、收集个人信息的频度等超出业务功能实际需要

5、仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;

6、要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用

上述情况在不同场景中或有不同的判断标准。在今年3月22日,国家网信办等多部门联合印发《常见类型移动互联网应用程序必要个人信息范围规定》(简称《规定》),进一步明确了39类App收集必要个人信息的界限。

根据《规定》,新闻资讯类App基本功能服务为“新闻资讯的浏览、搜索”,无须个人信息,即可使用基本功能服务。而其他类App,比如地图导航类,其必要个人信息为位置信息、出发地、到达地;餐饮外卖类,必要个人信息包括注册用户移动电话号码、收货人姓名(名称)、地址、联系电话等。

也就是说,新闻资讯类App无须姓名、电话号码、位置信息便可使用“新闻资讯的浏览、搜索”的服务。

21世纪经济报道记者随机打开了此次位列通报名单的新闻资讯类App,在未登录状态下,新浪新闻检测到用户位置信息的变化。搜狐新闻则在开屏时弹出“是否允许使用位置”的选项,称会在本地新闻、本地天气等服务中使用位置信息。(时间截止至6月11日17:00)

除“违反必要原则,收集与其提供的服务无关的个人信息”,以绝对优势位居行业前列的今日头条还存在“未经用户同意收集使用个人信息”

根据《认定办法》,征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用等行为均属“未经用户同意收集使用个人信息”。

虎牙等36款直播App被通报

除新闻资讯类App,此次网信办还通报了34款运动健身类、36款网络直播类、11款应用商店类、18款女性健康类等App,这些App都属于公众大量使用的类型。

像网络直播,近年来已经积聚了海量用户。iimedia Research数据显示,2020年中国在线直播行业用户规模达到5.87亿人,预计在2021年和2022年将分别涨至6.35亿和6.60亿人。

以此次被通报的虎牙直播为例,2021年Q1财报显示,移动端平均月活达7550万

庞大的用户规模下,直播平台的信息保护合规亟待完善。根据《规定》,网络直播类、应用商店类、运动健身类,均无须个人信息,用户即可使用基本功能服务。

但“违反必要原则,收集与其提供的服务无关的个人信息”、“未经用户同意收集使用个人信息”的问题仍然集中。

网信办要求,针对检测发现的问题,相关App运营者应当于本通报发布之日起15个工作日内完成整改。

近年来,APP超范围收集用户个人信息问题十分突出。特别是大量APP通过捆绑功能服务一揽子索取个人信息授权,用户拒绝授权就无法使用APP基本功能服务,变相强制用户授权。

针对这些问题,执法层面对App的治理整顿逐渐进入深水区。

除了网信办的监督,工信部今年4月份的数据显示,已完成了对国内用户使用率较高的81万款App的技术检测工作,责令3433款违规App进行整改,公开通报819款整改不到位的App,下架239款拒不整改的App。 

相关政策文件也不断完善。例如,上述提到,今年3月出台的《常见类型移动互联网应用程序必要个人信息范围规定》,明确了39类App收集必要信息的范围。

4月26日,工信部会同公安部、市场监管总局发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(简称“征求意见稿”),进一步细化了个人信息收集的最小必要原则。

司法保护也在不断完善,今年3月8日,最高人民法院副院长贺小荣在《最高人民法院工作报告》系列解读全媒体直播访谈中指出:APP运营商在提供某APP下载服务时,依法不得收集与该应用软件无关的个人信息,否则便构成违法。个人若在下载APP过程中被收集与该应用软件无关的信息,提起诉讼要求删除相关个人信息的,人民法院将依法予以支持。