78款常用APP实测 输入法竟要收集密码和信用卡


核心看点:



1、胡女士以上海携程商务有限公司采集其个人非必要信息,进行“大数据杀熟”等为由诉至法院。法院审理后做出判决,支持胡女士“退一赔三”和携程APP为其增加不同意“服务协议”和“隐私政策”时仍可继续使用的选项的合理诉求。

2、据凤凰网《风暴眼》统计,许多我们常用的购物、出行、银行、本地服务、视频类等APP,都存在用户必须同意《隐私协议》和《服务协议》条款才能使用的情况。另外,一些输入法软件在安装使用时还被手机系统提示:“可能会收集您输入的所有文字,包括密码和信用卡号等个人数据。”

3、北京斐石律师事务所管理合伙人周照峰律师对凤凰网《风暴眼》表示:“根据《网络安全法》相关规定,某些软件强制要求用户全面授权允许APP收集个人信息才能使用的行为,无疑是违法的,用户可以直接向网信办举报。”

4、法官提醒:很多商业APP在用户下载使用之前,要求用户概括性地同意其所谓的“服务协议”和相关的“隐私政策”,这其中有部分条款是不必要的、损害用户利益的,但为了选择使用,用户只能选择同意授权。这就违反了民法典对个人信息处理的合法性、正当性和必要性原则。

互联网时代,各种各样的App已经成为我们手机中不可或缺的工具,却也使我们承担着个人信息“被裸奔”的风险。

凤凰网《风暴眼》发现,近年来国内的一些App经常出现用户个人信息被泄露、利用用户信息“大数据杀熟”,甚至用户不同意授权个人信息就无法使用的“霸王条款”的情况。

据凤凰网《风暴眼》统计,包括美团、淘宝、微信、网易云音乐、饿了么、58同城等在内的常用APP,都存在用户必须同意《隐私协议》和《服务协议》条款才能使用的情况。

而在很多人不会仔细点开看的《隐私协议》和《服务协议》中,则有可能隐藏着允许APP收集用户的诸多个人信息的条款。

另外,百度输入法、搜狗输入法、手心输入法等输入法软件,在使用时还被手机系统提示:“可能会收集您输入的所有文字,包括密码和信用卡号等个人数据。”


下载百度输入法后安装使用时手机系统的弹窗提示



北京斐石律师事务所管理合伙人周照峰律师对凤凰网《风暴眼》表示:“根据《网络安全法》相关规定,某些软件强制要求用户全面授权允许APP收集个人信息才能使用的行为,无疑是违法的,用户可以直接向网信办举报。”

值得注意的是,当前监管部门对于互联网平台违规收集、泄露用户隐私,强制推送广告,大数据杀熟等行为的打击力度越来越大。

7月12日,包括蘑菇租房、天天背单词等在内的48款APP被工信部通报下架,这些APP涉及的问题为含有违规收集个人信息,强制、频繁、过度索取权限等侵害用户权益的行为。

同样在7月12日,工信部业发布了《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》,其中提出,加强数据全生命周期安全保护,实施分类分级管理,开展数据安全风险评估,提高个人数据、重要数据安全保护水平,保障人民群众的生命财产安全和个人隐私安全。








70个APP需点“同意”才能使用,输入法暗藏“猫腻”



那么,我们平常经常使用的一些APP存不存在类似“不全面授权就不给用”“违规收集用户信息”等的情况呢?

凤凰网《风暴眼》统计测试了社交、生活、购物、出行等类型的78个常用APP,发现其中有70个APP都要求同意隐私政策或用户协议方可进入APP,否则将直接退出。




凤凰网《风暴眼》仔细浏览隐私协议,发现各家APP的“服务协议”和“隐私政策”大多大同小异,一般分为核心业务和附加业务。不同功能的APP核心业务权限也不相同,比如相机权限在美图秀秀等摄影软件中是核心业务权限,而在淘宝等购物软件中就是非核心业务权限。

同意协议就意味着同意开通核心业务的权限,至于附加业务权限则在进入APP后由用户决定。



以淘宝为例,在隐私协议中会对手机号、设备信息、浏览搜索记录、会员身份信息等进行自动获取。但是针对定位、相机、相册、通讯录、麦克风等信息可以由自己选择是否使用,也就是大家在进入APP时收到的弹窗。






是否允许使用位置、通知、相机等,拒绝这些弹窗通常不会影响正常使用。

弹窗之后,在进入APP之前还有一道关卡---注册账号,很多APP在未注册的情况下甚至不能浏览APP的页面。

这种问题主要存在于美团打车、嘀嗒出行、首汽约车等出行类软件以及钉钉、微信等社交类软件上。




出行社交尚可理解,这些软件的功能性决定着需要用户账号,但凤凰网《风暴眼》发现小红书等APP不注册也无法进入,这属实是没有必要。

小红书的《用户隐私政策》中提到:当您注册或登录时,如果使用一键登录的功能,会收集你的手机号码和手机运营商信息;如果使用第三方账号登录,将另行收集您的手机号码以完成实名认证。若您拒绝提供这类信息,您可能无法正常使用相应的功能,

凤凰网《风暴眼》测试后发现,用户下载小红书时,必须通过微信登录、手机号登录或者其他登录方式里的微博、QQ以及华为账号(或其他手机账号)登录后才能进入,否则将无法浏览或使用任何功能。


小红书下载后打开页面以及部分隐私政策内容



银行类APP是权限弹窗较少的种类,大部分都需要点击“同意”隐私政策和用户协议才能进入APP,未注册且拒绝所有权限后基本都可以正常浏览。

交通银行、中信银行、广发银行、招商银行的APP在点击“同意”可进入,之后还会有用户授权弹窗弹出,拒绝所有弹窗后可以浏览,但一些具体的功能无法使用。


中信银行手机APP的授权弹窗



邮储银行、民生银行、浦发银行、平安银行的APP,用户不同意隐私政策或用户协议也可以进入APP,但仅可以浏览,无法点开具体功能按钮。


邮储银行点击“暂不同意”也可进入浏览

据《风暴眼》采访律师了解到,如果用户超范围收集个人信息可能会涉嫌违法。因此,有些非必需注册账户的APP又想引导注册,为了避免法律风险,便将游客模式藏的比较深。

以去哪儿网为例,如果想要不注册以游客模式浏览页面,需要在登录页面的右上角先点击“遇到问题”再点击“试用”方可进入页面。

知名互联网评论家丁道师认为,目前APP要求同意隐私协议或者注册账号才可以使用无可厚非,问题是现在很多APP索取的权限远高于实际需求的权限,这是需要关注和治理的。






输入法类的软件,搜狗输入法在华为应用商店中显示:“服务调整,暂不提供下载”。百度输入法和手心输入法在华为手机上使用时,安卓系统会弹窗提示:“此输入法可能会收集您输入的所有文字,包括密码和信用卡号等个人数据”。如果要继续使用则需点击“确定”。



安卓系统的弹窗提醒

在苹果的IOS系统中,百度输入法和搜狗输入法都需要点击“同意”《用户协议》和《隐私政策》才能使用。在安装使用时,IOS系统会提醒用户:如果启用“完全访问”,则该输入法软件可能会收集您的信用卡号等敏感信息;如果不启用“完全访问”,那么开发者则不可收集与传输您键入的数据。

另外,百度输入法在IOS系统的安装设置中还写到:是否开启完全访问,我们均会保护您的隐私和个人信息安全,我们也不会收集您的敏感信息(如信用卡号或街道地址);搜狗输入法则写到:我们不会收集您的敏感信息(如密码和银行卡号)。



IOS系统的弹窗提示





律师:违规收集用户信息违法,可直接举报



下载了一款APP,却被告知不同意《服务协议》和《隐私协议》就不能使用,平台的这种行为是否违法?

北京斐石律师事务所管理合伙人周照峰律师也对凤凰网《风暴眼》表示:“根据《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”

“网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”

周照峰律师认为,对于一些APP出现的“同意《隐私政策》”才能使用的选项,也要分具体情况分析,如果隐私条款或者用户协议条款中没有出现要求用户必须全面授权,也没有违规收集与使用无关的个人信息,而只是一些平台的常规性协议条款的话,“同意”才能使用也是没问题的。”

对于某些软件强制要求用户全面授权允许APP收集个人信息才能使用的行为,周照峰律师对凤凰网《风暴眼》表示:“这种情况是违法的,可以直接向网信办等单位举报。”

独立经济学家王赤坤对凤凰网《风暴眼》表示:“互联网app收集用户信息,不同意就不能使用,如果明确告知用户,这种行为类似合同协议,app和用户均认可双方协议条款,是基于真实双方真实意图,并不违法;如果互联网app没有明确告知用户,则属于违法行为。”

王赤坤还补充到:“即便用户同意授权某些个人信息,但如果互联网app私自利用用户信息进行商业活动或把个人信息出售给其他第三方,则违反了隐私信息保护的相关法律法规和互联网信息数据安全的相关法律法规。”

丁道师指出,目前互联网APP存在比较高发的问题是,用户明明拒绝了或者没有授权,但产品默认甚至篡改了用户的自主意愿,这种情况是应该被打击的。

凤凰网《风暴眼》了解到,丁道师所指情况曾多次出现,此前,拼多多曾在后台擅自删除用户相册的截图,被用户举报引发热议。也曾有用户称在抖音上明明拒绝访问通讯录,但仍能在使用中看到通讯录好友的推荐内容。


加强个人信息隐私立法保护迫在眉睫

今年以来,个人数据信息安全领域成为舆论热议的焦点。在工信部的指导下,中国科技企业在数据安全保护领域开始了集体迭代和升级,包括腾讯、华为、美团在内的多家科技企业纷纷上线升级了用户数据保护的相关系统,也早已贯彻施行数据全生命周期保护。

除了工信部外,地方政府也出台政策,加强对个人隐私、个人信息等数据的保护。

7月11日,广东省人民政府网站发布关于印发广东省数据要素市场化配置改革行动方案的通知。通知提出建立数据分类分级和隐私保护制度。建立政府主导、多方参与的数据分类分级保护制度,健全数据隐私保护和安全审查制度,落实政府部门、企事业单位、社会公众等数据安全保护责任,加强对个人隐私、个人信息、商业秘密、保密商务信息等数据的保护。

近日,携程用户胡女士以携程采集其个人非必要信息,进行“大数据杀熟”等为由将其诉至法院,并且赢得诉讼一事,或许也让很多被侵权的消费者看到了通过法律维权的希望,也给一些平台敲响了警钟。

浙江省绍兴市柯桥区人民法院审理后认为,携程APP作为中介平台对标的实际价值有如实报告义务,其未如实报告。而且,携程在处理原告投诉时告知原告无法退全部差价的理由,经调查也与事实不符,存在欺骗。故认定被告存在虚假宣传、价格欺诈和欺骗行为,支持原告退一赔三。

法院同时认定,新下载携程APP后,用户必须点击同意携程“服务协议”“隐私政策”方能使用,如不同意,将直接退出携程APP,是以拒绝提供服务形成对用户的强制。法院支持胡女士“退一赔三”和携程APP为其增加不同意“服务协议”和“隐私政策”时仍可继续使用的选项的合理诉求。

该案法官还提醒到:很多商业APP在用户下载使用之前,要求用户概括性地同意其所谓的“服务协议”和相关的“隐私政策”,这其中有部分条款是不必要的、损害用户利益的,但为了选择使用,用户只能选择同意授权。这就违反了民法典对个人信息处理的合法性、正当性和必要性原则。

APP“不全面授权就不给用”“大数据杀熟”等问题是当今社会值得关心、关注的问题。本案对APP“不全面授权就不给用”说不,杜绝概括性要求用户授权的行为,更好地保护了公民的个人信息。




全国政协委员、北京国际城市发展研究院院长、大数据战略重点实验室主任连玉明在接受人民政协报采访时表示:“无论是国家还是地方,均尚未从立法层面对数据确权问题作出正面回应。应加快研究出台数据领域基本法,将“数权法”列入国家立法规划,明确数据权属问题。同时,在即将出台的个人信息保护法、数据安全法中进一步明确数据的权属关系,依法赋予数据主体权利。”

业内人士指出,2021年是我国个人信息隐私保护的重要里程碑,在网络安全法深入实施、数据安全法即将发布实施的背景下,《个人信息保护法》也在制定出台。科技企业需要尽快完成数据安全的基础设施建设,进行企业合规性的升级迭代,建立全流程的数据安全管理制度。

随着数字经济时代的到来,国家对于数据安全和用户个人信息的保护无疑将更加重视,相关的法律法规也会更完善,对于相关违法违规行为的打击力度也将更大。凤凰网《风暴眼》将继续追踪,持续关注,敬请期待。

推荐阅读