哈啰出行、易购等17款App存在隐私不合规 精准营销的同时侵犯用户隐私权

来源:财经网  作者:黄杨    2021-12-24 11:22
分享到:

据新华社消息,国家计算机病毒应急处理中心近期通过互联网监测发现,哈啰出行、易购、58同城、驾考驾照准点学车等17款App存在隐私不合规行为,违反网络安全法、个人信息保护法相关规定,涉嫌超范围采集个人隐私信息。

上述违法App主要涉嫌以下五方面隐私不合规的情况:未向用户明示申请全部隐私权限;App在征得用户同意前就开始收集个人信息;App向第三方提供个人信息未做匿名化处理;未提供有效的更正、删除个人信息及注销用户账号功能,或注销用户账号设置不合理条件;未建立并公布个人信息安全投诉、举报渠道,或超过承诺处理回复时限。

上海汉盛律师事务所高级合伙人李旻告诉财经网科技,对用户个人来说,以上行为侵犯了公民个人的隐私权。

未向用户明示申请全部隐私权限

在17款移动应用中,哈啰出行、和讯财道、嘀一巴士、基金从业资格考试题库、易购等15款App未向用户明示申请全部隐私权限,位居不合规的五大情况之首,不合规率高达88%。

“未向用户明示申请全部隐私权限,属于收集环节的问题。收集公民个人信息应当告知清楚收集的范围,不能模糊不清、私自过度收集。”李旻律师向财经网科技解释称,《个人信息保护法》第七条规定,处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。此外,《网络安全法》第四十一条也规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

什么是“向用户明示申请”?全部隐私范围如何收集、告知和呈现?

以哈啰出行App为例,财经网科技查阅其《个人信息保护及隐私政策》发现,哈啰出行App会收集和使用两类个人信息,一类是用户为获得产品/服务的基本功能使用所必须提供的必要信息,包括电话号码、身份证信息、年龄、姓名、位置信息、订单信息及交易状态、录音录像信息、行踪轨迹、精准定位信息及经纬度信息等;另一类是为用户提供产品/服务的附加功能所需要收集、使用的信息,即用户拒绝授权,也不影响正常使用App的产品/服务。具体包括基于位置信息的个性化推荐服务、基于剪切板的附加服务等。

此外,哈啰出行App《个人信息保护及隐私政策》提到,“我们将通过更新本政策、弹窗、页面提示等方式另行向您说明对应信息的收集目的、范围及使用方式,并为您提供自主选择同意的方式,且在征得您明示同意后收集、使用。”

李旻律师对此分析认为,“未向用户明示申请的全部隐私权限”,有可能是隐私权政策中没有明示或者提示不完整。(平台)使用个人信息需要明示同意;使用个人敏感信息需要单独同意授权。所有的授权都需要遵循最小化原则(明确的“用户同意”、最少化的信息要素采集以及最安全的存储和传输)。

App向第三方提供个人信息未做匿名化处理

财经网科技分别查阅哈啰出行和58同城App的相关隐私政策发现,其均在“我们如何共享、转让、公开披露您的个人信息”章节中明确告知,用户的个人信息会在何种情况下被用于共享、转让和公开披露,与哪些第三方共享个人信息以及共享哪些信息。

58同城App表示,根据法律法规的规定和行政、司法机构要求,在获得用户明确同意的情况下,会与广告、分析服务类的授权合作伙伴、服务提供商和其他合作伙伴共享用户个人信息。并提及,“对我们与之共享个人信息的公司、组织和个人,我们会与其签署严格的保密协定,要求他们按照我们的说明、本隐私政策以及其他任何相关的保密和安全措施来处理个人信息。”

哈啰出行App也表示,会与关联公司和/或其指定的服务提供商、合作伙伴(第三方系统服务商、工具软件提供商、广告分析类服务商等)共享用户必要的个人信息。并表示在与关联公司共享用户个人信息时,“我们可能会委托有能力的关联公司代表我们来处理用户信息,但我们会通过书面协议、现场审计等方式要求受托公司遵守严格的保密义务及采取有效的保密措施,禁止其将这些信息用于未经您授权的用途。” 

不过,即使上述App的隐私政策中均列出在与第三方共享时对个人信息的保护举措,国家计算机病毒应急处理中心仍监测出哈啰出行App、58同城App和易购App存在“App向第三方提供个人信息未做匿名化处理”的问题。

李旻律师表示,《网络安全法》第四十条规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。若企业希望不需另行获得信息主体同意即可向第三方提供个人信息,则必须对个人信息进行匿名化处理,使收集的信息转变为不可识别的信息。

或许,上述三家App做得并不够。

超范围采集个人信息侵犯用户合法权益

值得注意的是,从个人信息的采集到与第三方共享,哈啰出行App和58同城App均提到,会将用户的个人信息与广告、分析类的合作伙伴共享。

58同城App表示,我们可能会将经处理无法识别您的身份且接收方无法复原的信息,例如经匿名化处理的用户画像及去标识化的设备信息或匿名化后的设备、网络、渠道信息,与广告或咨询类服务商或广告主共享,以帮助其在不识别您个人的前提下,提升广告有效触达率,以及分析我们的产品和服务使用情况。

哈啰出行App表示,广告、分析类服务商这类合作伙伴会帮助分析平台内商品及服务提供者的服务质量、有效性及平台营销效果等,我们仅会向这类服务商提供匿名化后的无法识别您身份的信息或使用您信息而形成的用户画像,以帮助其在不识别您个人的前提下提升广告及服务信息的有效触达率。例如“女,20-29岁,爱吃辣,偏好健身,位于上海”。

李旻律师分析认为,平台收集个人信息通常是为了能够精准营销,也就是自动化决策,以便流量变现。“例如,58同城系房屋中介服务平台,用户可以在58同城上买卖、租赁房屋,则58同城可以根据用户的浏览记录、交易记录推算出用户大致的生活区域、消费能力,若以上信息提供给其他网络服务提供者,则可能会被用于推送周边地区的消费信息、推荐网络贷款服务。”他还举例说道。

个人信息对平台来说是实现精准营销的“宝藏”,但对用户个人来说,却侵犯了公民个人的信息权益、隐私权。

收集公民个人信息的范围、目的、向他人提供公民个人信息都应当向公民明示并征得同意。保障收集的用户信息安全是网络信息服务提供者应当做到的最基础的服务。李旻表示,“被提供给其他主体的信息有可能被用于一般的精准营销商业行为,更有可能被用于侵害公民身份财产安全的违法犯罪行为,因此网络服务提供者必须要保障好用户信息安全。”

编辑:靖程
分享到:
  • 热门排行
  • 大家喜欢