您當前位置:
2021年11月1日起施行的《個人信息保護法》規定,“處理個人信息應當遵循合法、正當、必要和誠信原則”“處理個人信息應當具有明確、合理的目的,并應當與處理目的直接相關,采取對個人權益影響最小的方式。收集個人信息,應當限于實現處理目的的最小范圍,不得過度收集個人信息”“處理個人信息應當遵循公開、透明原則,公開個人信息處理規則,明示處理的目的、方式和范圍”。
消費者在使用互聯網服務時都很關注對個人信息的保護。
因此,針對目前消費者在使用共享充電寶過程中可能遇到的個人信息安全問題,上海市消保委委托國家網絡與信息系統安全產品質量監督檢驗中心對相關APP及其微信公眾號和小程序、支付寶小程序等軟件的個人信息保護情況進行了測試。
參考《APP違法違規收集使用個人信息行為認定方法》(以下簡稱“《認定辦法》”)中的關鍵條目要求,通過模擬消費者在共享充電寶平臺進行注冊和操作,檢查其隱私政策的合規性、收集信息的合理性、傳輸和上傳信息的安全性等內容。
APP測試
針對5家共享充電寶(美團、街電、倍電、搜電、小電)可以獲得的APP,依據《認定辦法》中提到的公開原則和必要原則,對于侵害用戶個人信息主體的知情權和選擇權、存在個人信息泄露和惡意濫用風險的項目進行測試。
結果顯示,較為普遍的現象包括:
“搜電”等APP首次運行時,在用戶授權同意隱私政策前,就收集個人信息;
“倍電”等未經同意,在用戶點擊時或每五分鐘多次收集非必要的個人信息,頻率超出實際需要;
“街電”等未經用戶同意或未做匿名化處理直接向第三方提供個人信息;
“美團”等未在隱私政策中說明APP收集使用個人信息的目的、方式、范圍;
“小電”等在申請打開用戶權限時未同步告知收集目的。
公眾號和小程序測試
雖然本次測試的10家共享充電寶(美團、街電、倍電、搜電、小電、來電、怪獸充電、云充吧、咻電、V電)均支持在微信公眾號、微信小程序、支付寶小程序下的操作使用,但由于目前國內并無針對這三種方式的隱私政策的相關規定,故測試僅分析這三種方式下收集用戶信息的合理性和傳輸用戶信息的安全性。
結果顯示,10家共享充電寶在使用微信、支付寶作為平臺時都有收集用戶個人信息的行為,其中“咻電”等3家的微信公眾號、“V電”等4家的微信小程序、“倍電”等5家的支付寶小程序額外收集了用戶的性別或姓名信息,但姓名、性別等個人信息與租借充電寶并無直接聯系,屬于非必要收集的信息;
平臺小程序獲取性別信息
在小程序的數據傳輸時,10家共享充電寶雖然采用了通道加密,但是在加密通道中普遍存在對傳輸的結構化數據未進行加密直接傳輸的問題,容易被中間人攻擊施以竊取和惡意利用。
手機號未加密傳輸
反饋
shh 市消保委就個人信息保護相關問題與企業進行了反饋,督促企業對各自存在的問題進行整改,目前已收到“街電”“小電”“美團”等品牌經營者的整改報告。
如“街電”表示已移除APP“撥打電話”權限,新增針對個性化推送的停止、推出、關閉選項;
“小電”明確表示經與微信和支付寶溝通后,現已取消公眾號和小程序上性別信息的共享和收集;
“美團”已進行APP版本升級,更新隱私政策,并表示將建設更直觀明了地修改系統權限彈窗說明等。
截至目前,“倍電”“來電”“怪獸充電”“云充吧”“咻電”“V電”仍尚未有任何反饋。
相關建議
1. 建議共享充電寶的經營者落實主體責任,無論是在自己的APP或是使用微信、支付寶平臺開展業務時,都應遵守相關法律規章,以合法、正當、必要為原則,最小化收集用戶信息,并嚴格履行告知義務,增強數據傳輸的安全性,即使APP用戶使用頻率不高也應及時維護升級。
2. 建議消費者使用共享充電寶前,仔細閱讀相關的隱私政策,留意給出的權限提示,不盲目賦予相關應用過高的權限,不允許其收集不合理的個人信息隱私。
京公網安備 11010502031058號
