刚打开App就被要求一系列授权。明确拒绝后，依然频繁弹出窗口甚至拒绝使用；隐私内容错误百出，难以阅读；我想按照App隐私政策里提供的方式下载一份我的个人信息，但是客服说我不知道是什么.你有没有遇到过以上所有的情况却没能解决？

12月17日，南方都市报个人信息保护研究中心在北京举办“2021啄木鸟数据治理论坛”。杜南个人信息保护任务组在会上发布了《个人信息安全年度报告（2021）》(以下简称《报告》)，从app隐私政策、权限获取、便携性、app store审核机制四个方面披露了150款App和10家app store的个人信息保护合规状况。

没有一家是高度透明的，只有五家披露非SDK第三方。

今年共选取了十大行业的150个app作为样本测评，每个行业头、中、尾各五个app。政策的透明度越高，对企业如何收集、使用、存储和保护个人信息的描述就越清晰、越全面。

测评结果显示，“知乎”和“丁当快药”以89分排名第一，“阿auto快”和“携程”以两分之差并列第二。透明度中高的app占总数的82%，有27款app的评分为“不及格”。各行业平均分都差不多。

值得注意的是，透明度高的app数量为零。分析认为，这是因为大部分app尚未落实个险法中的创新条款，失分较多。例如，只有40个应用程序为未成年人提供特殊的隐私政策，只有不到10个应用程序提到死者的权利。

11月，工业和信息化部发出通知，要求相关互联网公司在12月底前建立“收集的个人信息清单”和“与第三方共享的个人信息清单”，用于个人信息保护。测评发现150个app中有135个列出了嵌入式第三方SDK(软件开发包)，并告知了其名称、处理目的、个人信息类型和链接。

但报告指出，第三方SDK并不是App共享用户个人信息的唯一对象，还包括广告主及其代理商、关联公司、授权合作伙伴等。而只有“知乎”、“唯品会”等5款app披露了运营商、支付公司、广告主、媒体等第三方的部分信息。

尽管存在隐私政策告知不明确、抄袭、首尾app评分差距大等问题，但今年150款app的隐私政策透明度平均得分仍达到70.1，与测评标准更严格的2019年几乎持平。这意味着App的隐私政策透明度得到了显著提升。

拒绝弹窗十次，五分钟阅读定位2000多次。

今年3月发布的《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《规定》)，定义了39类app满足基本功能服务的必要个人信息范围。报告以《规定》为标准，十个行业150个app的符合度为测评。

测评结果显示，仅有新氧医美、360 IOU、学而思网校三款app得分在90分以上，整体平均分仅为57.9分。近一半的app得分在60-70分，60个app不及格，占比40%。

从具体情况来看，150个测试app中有89个在用户首次使用app时申请了非必要权限，涉及电话、位置、存储、通讯录、摄像头、麦克风等。其中不乏钉钉、美柚等头部app。

此外，很多app需要用户多次拒绝权限申请才能正常使用。如“Youhealthy”、“高图课堂”等30款app在用户明确拒绝某项权限后仍频繁弹出申请，尤其是存储权限重复申请次数最多。

如果第一次打开“粉象生活”，用户需要连续11次拒绝存储权限的弹窗，其中两次是选择“拒绝且不再询问”后再次弹窗。根据该报告，App对同一权限的重复弹出应用是一种“伪装”

比较严重的一个案例是“丽景天气”，平均每分钟调用定位权威机构153次左右；退到后台后，五分钟内位置权限被调用2286次。

许多应用程序客户表示，他们不知道什么是个人信息副本。

根据《个人保护法》第45条，个人有权从个人信息处理者处查阅和复制其个人信息，也有权要求将个人信息转移到其指定的个人信息处理者处。报告仿照EU 《通用数据保护条例》，上述条款简称“可移植性”。

报告发现，App实现可移植性的做法通常是提供个人信息的副本，并承诺转移。50款app中，有57款明确表示用户可以索取个人信息复印件，占比38%。截止到测评，仅收到14份app提供的个人信息，大部分是用户主动提供的信息和设备信息，如用户ID、昵称、注册手机号、注册时间等。

对于什么是个人信息副本，各个App给出的答案都不一样。比如“学而思网校”、“斑马App”说获取个人信息副本的方式是自己截屏；很多App客服直言“不知道什么是个人信息复印件”。从App获取信息的途径还有很多，都联系不上。

还有一款App设置了认证门槛，要求用户提供注册时提供的个人信息以外的信息。例如，“丁当快递医药”要求用户在手机营业厅提交缴费凭证和手持身份证照片。转让个人信息，需要提供接收方个人信息的证明、愿意接收个人信息的证明材料和接收方式。

报告显示，150款app中只有15款承诺提供个人信息转移服务，基本要求用户提供对方app的接收方式、接口等信息。然而，没有一款App明确告诉用户如何获取上述信息。报道称，这进一步增加了用户履行携带权的难度。

所有应用商店在隐私政策链接上都会丢分。

为了解App Store审核的机制合规状况，向OppO软件商店、华为应用市场、360手机助手、小米应用商店、vivo应用商店、腾讯应用商店、百度手机助手、PP助手、豌豆荚、三星应用商店测评进行了举报。

结果显示，OppO软件商店、华为应用商店、360手机助手分别以82.4、79.1、70分位列前三，PP助手、三星应用商店、豌豆荚均不及格。整体平均分不到60。

报道称，这个测评的一个共同点是，所有10个应用商店都有隐私政策链接，包括隐私政策链接缺失、无法打开隐私政策链接、隐私政策版本与应用不一致。

例如，OPPO软件商店中有7款app没有隐私政策链接，其中不乏“优健康”、“华易通”等知名app；在vivo app store中，“携程”显示页面隐私政策的链接是隐私设计文档，不是隐私政策；小米应用商店中有9个应用在应用商店的显示页面上的隐私政策与应用内版本不一致。

值得注意的是，绝大多数应用商店在展示App将获取的权限列表时，通常会使用“允许此App……”等系统默认的表述。小米应用商店只有权限详情页允许App开发者自行更改权限获取目的。

比如“海豚折扣-购物返利平台”就修改了获取其app store四项权限的目的：显示页面定位、手机信息、摄像头、录音。比如获取手机信息的目的是“防止不法分子利用软件实施违法行为”。

报告称，系统默认的权限描述通常是笼统的描述，无法准确照顾到各个app的权限申请目的。允许App开发者修改，可以让用户更清楚的了解App为什么要获取这一权利，有助于保障用户的知情权。

杜南个人信息制作