涉?zhèn)€人信息收集問題 多款知名App被點名后整改

　　應(yīng)用程序收集個人信息的治理工作正持續(xù)推進中。

　　5月6日，中央網(wǎng)信辦對15款A(yù)pp和16款SDK（軟件開發(fā)工具包，一般都是一些軟件工程師為特定的軟件包、軟件框架、硬件平臺、操作系統(tǒng)等建立應(yīng)用軟件時的開發(fā)工具的集合）個人信息收集使用問題進行通報，其中，墨跡天氣TV版、醫(yī)家、企鵝天氣等15款A(yù)pp存在未逐一列出收集使用個人信息的SDK，未準確列出SDK收集使用個人信息的目的、方式、范圍等問題。另外還有CTP穿透采集、金仕達穿透采集、傳漾廣告、西瓜影音等16款SDK收集使用個人信息，存在未提供個人信息收集使用規(guī)則，未說明自行或協(xié)助App響應(yīng)用戶個人信息權(quán)利請求的措施，未及時響應(yīng)用戶個人信息投訴舉報這些權(quán)利請求的問題。

　　中國信息協(xié)會信息安全專業(yè)委員會數(shù)據(jù)鑒證工作部主任毛立明對《中國經(jīng)營報》記者表示，15款A(yù)pp與16款SDK存在個人信息處理透明度不足與SDK治理失效及投訴服務(wù)處理響應(yīng)不及時等問題，反映出多重安全漏洞與風(fēng)險。App未列明SDK清單、說明收集目的范圍，致使用戶知情權(quán)受損，如SDK可能收集無關(guān)信息、通過技術(shù)手段竊取數(shù)據(jù)，形成隱蔽數(shù)據(jù)流，增加用戶被攻擊風(fēng)險，違反個人信息保護法，還可能成為黑灰產(chǎn)素材。SDK未提供收集規(guī)則、未響應(yīng)用戶權(quán)利請求，加劇數(shù)據(jù)濫用和合規(guī)風(fēng)險，如敏感信息滯留、數(shù)據(jù)用途不明、跨境傳輸至不受監(jiān)管服務(wù)器等。部分SDK通過漏洞提權(quán)獲取高敏感權(quán)限擴大攻擊面，碎片化數(shù)據(jù)聚合可能突破匿名化保護，威脅用戶隱私安全。這些均違反相關(guān)法律法規(guī)，使用戶容易受精準詐騙等侵害。

　　記者還留意到，此次通報的不乏多款知名App及運營商，如墨跡天氣TV版、有道精品課等，其運營者分別是北京墨跡風(fēng)云科技股份有限公司、網(wǎng)易有道信息技術(shù)（北京）有限公司等。

　　多款知名產(chǎn)品上榜

　　記者留意到，此次通報的15款A(yù)pp涵蓋食、住、行、教育、醫(yī)療等多個生活領(lǐng)域，都與人們的日常生活息息相關(guān)，如墨跡天氣TV版、企鵝天氣預(yù)報屬天氣類軟件，天津公交、煙臺出行關(guān)聯(lián)人們出行，21cake涉及食品購買，醫(yī)家與醫(yī)療健康相關(guān)，親鄰開門涉及居住社區(qū)，學(xué)霸在線、有道精品課涉及教育，反映出這些App在人們?nèi)粘Ｉ钪袘?yīng)用的廣泛性。其中，多款軟件還是知名App及運營商。

　　所有SDK均涉及用戶個人信息采集，而從16款被點名的SDK來看，則涵蓋了金融交易、廣告追蹤、音視頻通信等高敏感場景，包括金融（如CTP穿透采集、金仕達穿透采集）、廣告（傳漾廣告）、數(shù)據(jù)分析（LinkedME、Mercury）、視頻（西瓜影音）、物聯(lián)網(wǎng)（機智云）、信息聚合（聚合渠道）、通訊（聲網(wǎng)、U8、融云IM/Rtc）、直播（CC視頻云直播）、數(shù)字營銷（數(shù)美）、認證（楓嵐互聯(lián)、免密認證）等領(lǐng)域。

　　其中，北京墨跡風(fēng)云科技股份有限公司運營的墨跡天氣TV版1.3.8版本被通報，該App存在的主要問題是，未逐一列出收集使用個人信息的SDK。公開資料顯示，墨跡天氣是一款國民級天氣服務(wù)應(yīng)用，在全球擁有7億用戶。

　　不過，墨跡天氣合規(guī)中心人員在接受記者采訪時強調(diào)，7億用戶指的是手機版（移動版）的用戶量，手機版和TV版是兩個獨立App，TV版不是公司主營的產(chǎn)品。

　　對于為何相較于手機版，TV版會出現(xiàn)未逐一列出收集使用個人信息的SDK相關(guān)問題情況的質(zhì)疑，上述墨跡天氣合規(guī)中心人員對記者解釋，可能涉及技術(shù)問題，但公司會按照網(wǎng)信辦要求進行整改。

　　此外，網(wǎng)易有道信息技術(shù)（北京）有限公司運營的有道精品課6.8.2版本被通報。前者有道精品課App是網(wǎng)易有道旗下初高中在線學(xué)習(xí)平臺，網(wǎng)易有道作為知名的互聯(lián)網(wǎng)企業(yè)，旗下該App在教育領(lǐng)域也具有較高的知名度。

　　普通用戶對數(shù)美不熟悉，但數(shù)美屬于技術(shù)細分賽道的知名服務(wù)商，數(shù)美SDK主要應(yīng)用于智能業(yè)務(wù)風(fēng)控和內(nèi)容安全等領(lǐng)域，其利用人工智能、大數(shù)據(jù)和全棧式風(fēng)控模型，為金融、互聯(lián)網(wǎng)、營銷等行業(yè)提供反欺詐、內(nèi)容審核及用戶隱私保護等服務(wù)。

　　北京微方程科技有限公司運營的LinkedME在數(shù)據(jù)分析和營銷領(lǐng)域也有一定的知名度。

　　網(wǎng)經(jīng)社電子商務(wù)研究中心數(shù)字生活分析師陳禮騰對記者表示，此次通報的產(chǎn)品中有不少知名App及運營商。其一，這反映出部分頭部企業(yè)存在合規(guī)意識與能力不匹配的情況，雖有技術(shù)資源，但因業(yè)務(wù)擴張或管理疏漏，忽略了合規(guī)細節(jié)。其二，在監(jiān)管日益嚴格的大背景下，典型示范作用顯著，網(wǎng)信辦選擇通報知名企業(yè)，打破了公眾“大企業(yè)更安全”的固有認知，促使行業(yè)形成“合規(guī)即競爭力”的共識。此外，SDK提供商的違規(guī)行為也暴露出App運營者對第三方組件審查不力的問題，未來應(yīng)強化“責(zé)任共擔(dān)”機制，比如要求SDK通過安全認證后再接入。

　　陳禮騰對記者分析，數(shù)據(jù)收集透明度缺失是核心漏洞之一，部分App未逐一列出嵌入的SDK，也未明確說明收集個人信息的目的、方式和范圍，這直接違反了個人信息保護法中的“告知—同意”原則。用戶無法知曉數(shù)據(jù)流向，為SDK暗中采集設(shè)備指紋、位置等敏感信息提供了可乘之機，甚至可能引發(fā)非法數(shù)據(jù)共享或濫用。同時，最小必要原則的失效進一步加劇了風(fēng)險，例如天氣類App索取通訊錄權(quán)限等超范圍收集行為，可能通過SDK過度索權(quán)擴大數(shù)據(jù)采集范圍，增加用戶隱私暴露面。此外，SDK集成風(fēng)險不容忽視，第三方SDK可能成為攻擊入口，若未通過安全審計，可能存在惡意代碼或漏洞（如未加密傳輸），導(dǎo)致用戶數(shù)據(jù)在傳輸或存儲過程中被竊取。最后，權(quán)利響應(yīng)機制缺位使得用戶無法有效行使刪除權(quán)、更正權(quán)等個人信息權(quán)利，一旦發(fā)生數(shù)據(jù)泄露，用戶難以及時止損，企業(yè)也面臨合規(guī)處罰風(fēng)險。

　　部分App已整改、部分App尚未更新

　　對于15款A(yù)pp和16款SDK存在的個人信息收集使用問題，中央網(wǎng)信辦秘書局明確要求相關(guān)App和SDK運營者應(yīng)當于5月6日通報發(fā)布之日起的15個工作日內(nèi)完成整改。

　　記者在墨跡天氣官方網(wǎng)站上看到，目前該應(yīng)用TV版本可支持下載版本還為TV 1.1.1版本，發(fā)布日期為2017年1月6日。

　　上述墨跡天氣合規(guī)中心人員對記者表示，目前公司還沒有聯(lián)系到網(wǎng)信辦，尚未了解要如何整改，但會嚴格按照網(wǎng)信辦的要求和標準進行整改，最終整改方案將會給到網(wǎng)信辦，網(wǎng)信辦通過之后，公司會對App進行整改。

　　然而，有道精品課App在各大手機應(yīng)用商店的軟件版本仍停留在6.8.2版本，21cake App仍停留在3.6.2版本。OPPO手機應(yīng)用商店中，醫(yī)家App在兩個月前應(yīng)用更新至5.6.0版本，在vivo應(yīng)用商店中，醫(yī)家App還在5.5.43版本，更新時間是2024年9月19日。

　　對于本次通報中涉及的App個人信息收集使用問題及具體整改進度和后續(xù)在信息保護方面的合規(guī)規(guī)劃，記者向有道精品課等相關(guān)公司進行了郵件采訪，截至發(fā)稿未獲得回復(fù)。

　　毛立明認為，部分行業(yè)企業(yè)或因?qū)Ψ煞ㄒ?guī)理解與實操經(jīng)驗不足，需強化學(xué)習(xí)整改，或在合規(guī)成本與數(shù)據(jù)利用收益間存在投機心理。實際上，個人信息數(shù)據(jù)合規(guī)意義重大，它既關(guān)系到用戶權(quán)益保障與風(fēng)險防范，也關(guān)乎企業(yè)本身，包括法律責(zé)任風(fēng)險、監(jiān)管處罰成本導(dǎo)致的運營損失以及用戶、合作伙伴信譽受損等方面的風(fēng)險與成本，企業(yè)不應(yīng)舍本逐末、因小失大。

　　陳禮騰建議，企業(yè)應(yīng)在App和SDK開發(fā)階段貫徹隱私設(shè)計原則，將數(shù)據(jù)最小化、加密存儲等要求融入架構(gòu)設(shè)計，建立SDK安全評估體系，采用權(quán)限動態(tài)管理機制，按需申請權(quán)限。運營階段需部署監(jiān)控系統(tǒng)實時監(jiān)測異常數(shù)據(jù)訪問行為，定期開展合規(guī)審計，建立用戶權(quán)利響應(yīng)系統(tǒng)，自動化處理刪除、更正等請求，以確保用戶權(quán)利得到充分保障。

（文章來源：中國經(jīng)營網(wǎng)）

(原標題：涉?zhèn)€人信息收集問題 多款知名App被點名后整改)

(責(zé)任編輯：137)