隐私收集器APP潜在风险整改思路

2 评论 4237 浏览 11 收藏 34 分钟

编辑导语:产品应当如何合理地开发、在保障用户权益的同时、提升用户的使用体验?这需要产品开发者做好自查与规范。在本篇文章里,作者结合相应案例进行分析,发表了他对APP潜在风险整改的看法,让我们一起来看一下。

最近刷朋友圈看到讯飞等输入法被各大应用商店下架了,我赶紧看了下手机的输入法发现还能用。同时想起最近包括《数据安全法》等文件的出台,在这个节点头部输入法却被下架,本着深度挖掘的心态,就搜集了一波材料,这里和大家分享下。

一、科大讯飞等输入法为什么被下架

首先,我们回顾下今年5月1日国家网信办发布的“33款App违法违规收集使用个人信息情况的通报”名单,这也是国家网信办从部委层面首次发布此类通报。名单上除了科大讯飞外,搜狗、QQ及百度等输入法也在榜上。

百度从莆田系事件后,一直口碑不咋滴,本想去应用商城看看百度是不是还在下架状态,但意外的是百度输入法居然安然无事,应该是在规定时间内按照要求进行了整改。但讯飞、搜狗和QQ输入法直到6月30日,猎人查证过程发现依旧处于下架状态。

要知道,按照5月1日的通报要求,包括上述3款输入法在内的33款App相关运营者应当于5月1日起10个工作日内完成整改,并将整改情况报于国家网信办网络数据管理局。逾期未完成整改的,国家网信办将依法予以处置。但一个多月后的6月11日,三者因未完全满足5月1日国家网信办关于个人信息收集违规问题通报的整改要求,被多家应用商店下架。

一个多月时间,这几家头部输入法公司居然还没完成整改,赢得被应用商店下架的“殊荣”,难道他们是故意为之,不屑于整改?猎人感觉这里不简单。

猎人在网上了解到,科大讯飞对某记者的回应表示其被下架的具体原因为:

  1. 讯飞输入法老版本升级到最新10.0.20版本后,沿用老版本拼音云输入设置选项,未弹窗提示用户选择是否开启;
  2. 用户在讯飞输入法10.0.20版本中拼音云输入弹窗提示中选择关闭功能后,出现二次弹窗要求用户确认。

截至6月11日,讯飞方表示讯飞输入法App已完成整改。但到发稿前却依然处于下架状态。整改了却还处理下架状态?什么原因呢?

按照讯飞的说法,猎人推测其中一种可能性就是讯飞的确整改完成,但可能还要走各种审核、审批流程,现在还没完全走完流程,所以相关应用商店还不敢恢复其下载权限。

另一种则可能其还没整改完毕,这种情况如果属实,那就是其当时的用户授权信息采集相关功能与产品授权使用功能的架构应该是相对固化了的,因此本次整改的功能及功能背后采集的数据集直接影响其大部分的产品功能可用性,导致无法快速处理。

早在今年的3月12日国家网信办发的《常见类型移动互联网应用程序必要个人信息范围规定》的通知,里面明确规定了常见类型移动互联网应用程序必要个人信息范围,其中第三十三条有明确的规定:

(三十三)输入法类,基本功能服务为“文字、符号等输入”,无须个人信息,即可使用基本功能服务,或是导致现在的输入法集中下架事件的原因。

《常见类型移动互联网应用程序必要个人信息范围规定》的出台是为贯彻落实《中华人民共和国网络安全法》关于“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则”“网络运营者不得收集与其提供的服务无关的个人信息”等规定。

同时今年数据行业最重磅的肯定是6月份颁布的《数据安全法》,其中第三十二条任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。

这一系列与数据安全、数据采集、存储及处理使用相关的法律法规背景下,数据安全、数据权属空前重要。

二、科大讯飞被下架的真正原因是什么

猎人这里暂时以2019.9的科大讯飞输入法版本为例,虽然不是最新的,但其实我们从其隐私条款里输入法需要采集的数据可以推导点结论。

1. 科大讯飞输入法作为被下架的APP,是否是因为其采集数据的数据过多?

2019年的科大讯飞的条款中,明示会采集的个人数据为:手机号、身份信息、身份证照片、通讯录中的姓名和联系方式等。

作为同样上整改榜但现在已整改完毕的百度输入法中,其最新的隐私条款也需要获得的个人数据:手机号、单一设备标识符、语音信息、位置信息等。也只是比科大讯飞少了几个敏感数据,如身份证信息及通讯录的信息。

那身份证信息及通讯录信息是否是科大讯飞需要整改获取的?

猎人推测这些其实应该非主要原因。理由是《常见类型移动互联网应用程序必要个人信息范围规定》的通知,里面明确规定了常见类型移动互联网应用程序必要个人信息范围,其中第三十三条有明确的规定:

(三十三)输入法类,基本功能服务为“文字、符号等输入”,无须个人信息,即可使用基本功能服务。

输入法APP基本功能下,无论是百度还是科大讯飞或者搜狗、QQ的输入法都无权收集任何个人信息。但从隐私条款中,两者都有提到不同的用户的敏感信息需要收集。如果按照该通知的要求,那其实这些APP都应该”枪毙”了,为什么百度输入法独善其身?难道是漏网之鱼?

猎人认为,虽然相关法律条例明确了各APP基础功能应该收集或不能收集哪些信息。但这里存在一个点,任何的APP都可以有至少1个或多个扩展功能,只要拓展的功能按照要求就有权收集相关的数据。

因此科大讯飞等输入法被下架,不完全是隐私条款内容没做好。那还存在什么原因?第二种可能性我们研究下。

2. 科大讯飞等输入法是否因为功能类型与数据采集逻辑不符合被下架?

上文已从隐私条款中采集数据维度角度分析,符合要求的输入法隐私条款及APP应该整改与采集数据的维度应该关系不大。

不知道有无读者详细看了两者对于采集数据的前期条件的描述,在科大讯飞2019年的条款中是没有清晰界定的,而百度输入法的条款是按照注册信息什么情况下需要采集什么数据、设备信息什么情况下需要采集等。

这样的描述有很大区别吗?其实从条款描述上就知道,该条款是否有按照最新的要求进行调整描述,也间接体现了其输入法在采集数据的授权链逻辑。所以这点存在风险。

3. 科大讯飞是否真的因为扩展业务功能告知及明示问题被下架?

讯飞回复中提到:讯飞输入法老版本升级到最新10.0.20版本后,沿用老版本拼音云输入设置选项,未弹窗提示用户选择是否开启。

而《个人信息安全规范》中提到扩展业务功能的告知和明示同意的实现方法如下:a)在扩展业务功能首次使用前,应通过交互界面或设计(如弹窗、文字说明、填写框、提示条、提示音等形式),向个人信息主体逐一告知所提供扩展业务功能及所必要收集的个人信息,并允许个人信息主体对扩展业务功能逐项选择同意。

所以该项不合规是存在的。

4. 科大讯飞是否存在频繁骚扰用户授权原因被下架?

讯飞表示的:用户在讯飞输入法10.0.20版本中拼音云输入弹窗提示中选择关闭功能后,出现二次弹窗要求用户确认。

而《个人信息安全规范》中提到个人信息主体不同意收集扩展业务功能所必要收集的个人信息的,个人信息控制者不应反复征求个人信息主体的同意。除非个人信息主体主动。

因此这个也是存在风险的,需要整改。

三、APP常犯的风险点

有关主管部门披露的几大重点问题,App开发者和运营者可通过《App违法违规收集使用个人信息行为认定方法》《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》等相关文件,进行深入了解。

四、APP哪些情况需单独获取用户授权?

为保障用户个人信息主体的选择同意权,我们首先需要划分产品或服务的基本业务功能和扩展业务功能。

划分方法如下:

  • 应根据个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需求,划定产品或服务的基本业务功能;
  • 不应将改善服务质量、提升用户体验、研发新产品单独作为基本业务功能;
  • 将产品或服务所提供的基本业务功能之外的其他功能,划定为扩展业务功能。

需要注意的是,扩展业务功能需单独获取用户授权。扩展业务功能首次使用前,应通过交互界面或设计(如弹窗、文字说明、填写框、提示条、提示音等方式),向用户注意告知所提供扩展业务功能及所必要手机的个人信息,并允许用户对扩展业务功能逐项选择同意。

五、上了名单,但影响不大的APP做对了什么

无用户身份授权数据下的产品功能正常使用,响应快的,功能使用与授权应该属于弱捆绑、响应慢的,应该是设计时把身份授权数据与功能使用设置成了固定逻辑。

1. 隐私保护条款的内容按照《个人信息安全规范》的个人信息保护政策模板要求进行了细分罗列

  • 业务功能一的个人信息收集使用规则
  • 业务功能二的个人信息收集使用规则
  • ……
  • 我们如何保护您的个人信息
  • 您的权利
  • 我们如何处理儿童的个人信息
  • 您的个人信息如何在全球范围转移
  • 本政策如何更新
  • 如何联系我们

2. 信息采集明示告知模块按照《个人信息安全规范》的交互式功能界面模板进行了优化

【原创】隐私收集器APP潜在风险整改思路-以科大讯飞输入法为例

3. 基础功能与拓展功能数据采集边界更清晰了

基本业务功能的告知和明示同意的实现方法如下:

1)在基本业务功能开启前(如个人信息主体初始安装、首次使用、注册账号等),应通过交互界面或设计(如弹窗、文字说明、填写框、提示条、提示音等形式),向个人信息主体告知基本业务功能所必要收集的个人信息类型,以及个人信息主体拒绝提供或拒绝同意收集将造成的影响,并通过个人信息主体对信息收集主动作出肯定性动作(如勾选、点击“同意”或“下一步”等)征得其明示同意。

注:当产品或服务所提供的基本业务功能无需一次性全部开启时,宜根据个人信息主体的具体使用行为逐步开启基本业务功能,并即时完成a)的告知要求。

2)个人信息主体不同意收集基本业务功能所必要收集的个人信息的,个人信息控制者可拒绝向个人信息主体提供该业务功能。

3)所要求的交互界面或设计应方便个人信息主体再次访问及更改其同意的范围。

扩展业务功能的告知和明示同意的实现方法如下:

1)在扩展业务功能首次使用前,应通过交互界面或设计(如弹窗、文字说明、填写框、提示条、提示音等形式),向个人信息主体逐一告知所提供扩展业务功能及所必要收集的个人信息,并允许个人信息主体对扩展业务功能逐项选择同意。

2)个人信息主体不同意收集扩展业务功能所必要收集的个人信息的,个人信息控制者不应反复征求个人信息主体的同意。除非个人信息主体主动选择开启扩展功能,在48h内向个人信息主体征求同意的次数不应超过一次。

3)个人信息主体不同意收集扩展业务功能所必要收集的个人信息的,不应拒绝提供基本业务功能或降低基本业务功能的服务质量。

4)所要求的交互界面或设计应方便个人信息主体再次访问及更改其同意的范围。

六、积极整改后的APP示例

有记者通过PC端重新下载三大输入法,发现QQ输入法已进行了整改,其在首页弹窗提示用户可自主选择“完整体验模式”及不收集任何信息的“基础打字模式”,其中“基础打字模式”不收集任何数据,但会导致皮肤、表情、语音、翻译等功能消失,而“完整体验模式”则会“将部分拼音、文字、使用场景上传至云端,用于‘提供更高效的输入和表达体验’。”

【原创】隐私收集器APP潜在风险整改思路-以科大讯飞输入法为例

七、开发者应当如何进行合规自查?

1. 信息收集

1)详细列举收集和使用个人信息的业务功能,不应使用概括性语言。

2)根据不同业务功能,分别列出各业务功能所收集的个人信息类型。

3)明确描述哪些类型的个人信息属于特定业务功能所必需的。

4)收集身份证、护照、驾驶证等法定证件信息和个人生物识别信息时,应专门提醒个人信息主体此次收集活动涉及的信息,并说明处理目的、处理规则。

5)不应使用概括性语言综述所收集个人信息,如“我们收集您的身份等相关信息”此类描述,而应明确写明“我们收集您的姓名、电话号码、地址信息”。

6)说明个人信息在使用过程中涉及的地理区域,如个人信息存储和备份的地域,个人信息传输过程中涉及的地域范围;如果个人信息存在跨境传输情况,需单独列出或重点标识。

7)根据个人信息的使用情况,注明不同类型个人信息预计的保留时间(如:自收集日期开始5年内)以及需要删除或销毁的截止日期(如:2019年12月31日或个人信息主体注销账户时)。

8)确需改变信息收集和使用的目的,应当说明会征得个人信息主体的同意。

9)个人信息控制者说明是否需要共享、转让个人信息,并详细描述需要共享、转让的个人信息类型和原因、个人信息的接收方、对接收方的约束和管理准则、接收方使用个人信息的目的、个人信息共享、转让过程中的安全措施,及共享、转让个人信息是否对个人信息主体带来高危风险。

10)个人信息控制者说明是否需要公开披露个人信息,并详细描述需要公开披露的个人信息类型、原因、是否对个人信息主体带来高危风险。

11)说明何种情况下个人信息控制者会不经过个人信息主体同意,共享、转让和公开披露数据,如响应执法机关和政府机构的要求、进行个人信息安全审计、保护个人信息主体避免遭受欺诈和严重人身伤害等。

2. 信息保护

1)详细说明个人信息控制者对个人信息进行安全保护的措施。包括但不限于个人信息完整性保护措施,个人信息传输、存储和备份过程的加密措施,个人信息访问、使用的授权和审计机制,个人信息的保留和删除机制等。

2)目前遵循的个人信息安全协议和取得的认证。包含个人信息控制者目前主动遵循的国际或国内的个人信息安全法律、法规、标准、协议等,以及个人信息控制者目前已取得的个人信息安全相关的权威独立机构认证。

3)应描述提供个人信息后可能存在的安全风险。

4)应表明在发生个人信息安全事件后,个人信息控制者将承担法律责任。

5)应表明在发生个人信息安全事件后,将及时告知个人信息主体。

3. 客户权力

1)说明个人信息主体对其个人信息拥有何种权利,内容包括但不限于:信息收集、使用和公开披露时允许个人信息主体选择的个人信息范围,个人信息主体所具备的访问、更正、删除、获取等控制权限,个人信息主体隐私偏好设置,个人信息主体可以选择的通信和广告偏好,个人信息主体不再使用服务后撤回授权同意和注销账户的渠道、个人信息主体进行维权的有效渠道等。

2)对于需要自行配置或操作(如对所使用的软件、浏览器、移动终端等进行配置和操作)以达到访问、更正、删除、撤回授权同意等目的,个人信息控制者应对配置和操作的过程进行详细说明,说明方式易于个人信息主体理解,必要时提供技术支持的渠道(客服电话、在线客服等)。

3)如果个人信息主体行使权利的过程产生费用,需明确说明收费的原因和依据。

4)如果个人信息主体提出行使权利的需求后需要较长时间才能响应,需明确说明响应的时间节点,以及无法短时间内响应的原因。

5)如果个人信息主体行使权利的过程需要再次验证身份,需明确说明验证身份的原因,并采取适当的控制措施,避免验证身份过程中造成的个人信息泄露。

6)如果个人信息控制者拒绝个人信息主体对个人信息进行访问、更正、删除、撤回授权同意等的要求,需明确说明拒绝的原因和依据。

八、结合相关法律法规及本次事件的看法

1. 对输入法行业的影响

Mob研究院发布了《2020中国第三方输入法行业洞察》(下称《报告》),就对今年以来输入法行业的脉络进行了全面梳理。

目前,我国的第三方输入行业已迈入成熟发展期,行业整体活跃用户规模突破7亿,安装使用率超过80%,其中语音输入用户规模高达2.5亿。同时《报告》显示,互联网玩家的入局第三方输入法加速了行业发展,搜狗、讯飞和百度现已形成寡头垄断的市场局面。

百度以“全感官输入”让输入法更好玩,讯飞输入法则选择市场下沉,而搜狗作为行业的“老大哥”,以最早进军输入法行业获得先发优势,重点布局AI功能,为用户打造千人千面的个性化服务,达到了整体满意度约70%的优秀成绩,居市场产占有率排行首位。

【原创】隐私收集器APP潜在风险整改思路-以科大讯飞输入法为例

前三的输入法,讯飞和搜狗均被下架,百度应该在这次的行情中稍微利好,因为输入法已进入存量市场抢夺阶段,新增下载量其实不会很多。但还在使用被下架的输入法的群体,大部分会对信息安全可能有很大感触,特别是手握讯飞股票的群体会存在一定的恐慌,所以讯飞的股价会下调也不意外。

输入法三巨头,讯飞其实非常依赖于输入法的占有率,因为这是讯飞核心的用户群体画像及语音语料的来源,人工智能的发展拼的除了技术就是数据。而且输入法的占有率会直接影响其在移动端的业务扩展的想象空间,这是上市公司进行市值管理的重要战略布局。

而百度和搜狗,除了输入法,其还有搜索引擎。输入法的缺失会导致语音这块的数据采集缺失,但文字内容还是可以获取。群体偏好标签数据不会缺失严重。而这些数据是支持各输入法进行精准广告业务推送的核心信息。

搜狗输入法广告业务示例:

【原创】隐私收集器APP潜在风险整改思路-以科大讯飞输入法为例

另外从讯飞2020年年报中可以看到其输入法二期还在研发中,属于重点投入板块。因此借着这次的APP的整顿,讯飞对于输入法产品架构及数据架构重新调整、后续如何契合监管要求应该会空前重视。

【原创】隐私收集器APP潜在风险整改思路-以科大讯飞输入法为例

2. 对其他APP的影响

根据《常见类型移动互联网应用程序必要个人信息范围规定》的要求,对39类APP的必要个人信息采集范围做了限定,其中有13类APP基本功能是无需信息的。交通票务类、投资理财及手机银行类获取数据字段最多。

【原创】隐私收集器APP潜在风险整改思路-以科大讯飞输入法为例

理论上基础功能可以获取的信息范围越多,数据类型越多,那这个APP的价值其实也就更大。而基础功能无法获取数据或者获得较少数据的APP,只能通过增加扩展业务功能来提升数据维度。想通过随便搞个APP肆无忌惮的收集用户敏感数据的时代已不在。

【原创】隐私收集器APP潜在风险整改思路-以科大讯飞输入法为例

【原创】隐私收集器APP潜在风险整改思路-以科大讯飞输入法为例

九、附件

1. 个人信息及敏感信息

1)个人信息

是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和自然人的隐私信息属于个人敏感信息。

2)个人敏感信息

按照《GBT 35273-2017信息安全技术个人信息安全规范》解释来说,个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和自然人的隐私信息属于个人敏感信息。

① 个人财产信息

银行账号、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息。

② 个人健康生理信息

个人因生病医治等产生的相关记录,如病症、住院、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等,以及与个人身体健康状况产生的相关信息等。

③ 个人生物识别信息

个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。

④ 个人身份信息

身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等。

⑤ 网络身份标识信息

系统账号、邮箱地址及与前述有关的密码、口令、口令保护答案、用户个人数字证书等。

⑥ 其他信息

个人电话号码、性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等。

2. 大厂隐私条款内容参考

1)搜狗隐私条款

2)华为隐私条款

3)阿里云隐私条款

4)抖音隐私条款

3. 相关政策法规

《GB/T 35273-2020信息安全技术个人信息安全规范》

《常见类型移动互联网应用程序必要个人信息范围规定》

《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》

《App违法违规收集使用个人信息行为认定方法》

《App违法违规收集使用个人信息自评估指南》

《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》

《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》

《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》

《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》

《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》

《网络安全标准实践指南—移动互联网应用程序(App)中的第三方软件开发工具包(SDK)安全指引(征求意见稿)》

参考文章

1、搜狗、讯飞、QQ输入法遭下架,它们如何窃取你的隐私?

2、触目惊心!33款APP违法违规收集个人信息……

3、2020第三方输入法行业洞察:搜狗输入法市场占有率第一

4、个推合规与安全指南

#专栏作家#

大数据猎人,微信公众号:大数据猎人,人人都是产品经理专栏作家。多年金融科技行业相关战略研究、行业分析、商业模式及产品体系研究经验,擅长政府数据+企业数据+公开数据多源数据融合流通交易及应用

本文原创发布于人人都是产品经理。未经许可,禁止转载。

题图来自 Unsplash,基于 CC0 协议

更多精彩内容,请关注人人都是产品经理微信公众号或下载App
评论
评论请登录
  1. 合理规范才行,现在很多APP都是各种收集

    来自四川 回复
    1. 是的

      来自上海 回复