在汉华飞天信安科技有限公司的技术支持下 ， 报告还对150款App在一段时间内调用敏感权限的频率进行了测评 。 结果显示 ， 有多达135款频繁调用权限 。
其中情况较为严重的是“莉景天气” ， 平均每分钟调用定位权限约153次；退到后台后 ， 又在五分钟内调用了2286次定位权限 。
不少App客服称不知何为个人信息副本
根据个保法第四十五条 ， 个人有权向个人信息处理者查阅、复制其个人信息 ， 还有权请求将个人信息转移至其指定的个人信息处理者 。 报告仿照欧盟《通用数据保护条例》 ， 将上述规定简称为“可携权” 。
报告发现 ， App落实可携权的做法通常是提供个人信息副本并承诺可转移 。 150款App中 ， 57款明确用户可要求获取个人信息副本 ， 占比38% 。 截至测评结束 ， 仅收到14款App提供的个人信息副本 ， 内容绝大多数是用户主动提供的信息和设备信息等 ， 如用户ID、昵称 ， 注册手机号 ， 注册时间等 。
对于何为个人信息副本 ， 各App给出的答复不尽相同 。 比如“学而思网校”“斑马App”称获取个人信息副本的方式为自行截屏；多位App客服直言“不知道什么是个人信息副本” 。 还有不少App告知的获取途径无一联系得上 。
还有App会设置身份验证门槛 ， 要求用户提供除注册时提供的个人信息之外的信息 。 比如“叮当快药”要求用户提交手机营业厅缴费凭证、手持身份证照片 ， 转移个人信息需提供接收方个人信息证明 ， 愿意接收个人信息的证明材料、接收方式 。
报告指出 ， 150款App中承诺提供个人信息转移服务的仅有15款 ， 基本都要求用户提供对方App的接收方式、接口等信息 。 然而 ， 没有任何一款App明示告知用户如何获取上述信息 。 报告认为 ， 这进一步增加了用户履行可携权的难度 。
所有应用商店都在隐私政策链接上失分
为了解应用商店审核机制的合规状况 ， 报告对OPPO软件商店、华为应用市场、360手机助手、小米应用商店、vivo应用商店、腾讯应用宝、百度手机助手、PP助手、豌豆荚、三星应用商店十大应用商店进行测评 。
结果显示 ， OPPO软件商店、华为应用市场、360手机助手分别以82.4、79.1、70分位居前三名 ， 而PP助手、三星应用商店和豌豆荚得分不及格 。 整体平均分不足60 。
报告指出 ， 该测评的一个普遍失分点在于 ， 10家应用商店均存在隐私政策链接问题 ， 包括未提供隐私政策链接、隐私政策链接无法打开、隐私政策版本与App内不一致等 。
比如 ， OPPO软件商店有七款App的展示页面没有隐私政策链接 ， 其中不乏“优健康”“华医通”等知名App；vivo应用商店中 ， “携程旅行”展示页面的隐私政策链接为隐私设计文档 ， 而非隐私政策；小米应用商店中有九款App在应用商店展示页的隐私政策与App内版本不一致 。
值得注意的是 ， 绝大多数应用商店展示App将获取的权限列表时 ， 通常使用的是“允许该应用……”等系统默认表述 。 只有小米应用商店的权限详情页允许App开发者自行更改权限获取目的 。
如“海豚优惠-购物返利平台”就修改了其应用商店展示页面定位、手机信息、相机、录音四项权限的获取目的——如获取手机信息是为了“防止非法分子使用软件进行违法违规行为” 。
报告认为 ， 系统默认表述的权限说明通常为概括性描述 ， 无法精准地照顾到每一个App的权限申请目的 。 允许App开发者修改可以让用户更加清楚地了解App为什么要获取这项权限 ， 有助于保障用户的知情权 。
出品：南都个人信息保护研究中心