保护个人信息及隐私成为了科技圈近期的焦点话题。在 315 晚会上,企业违规收集人脸信息、清理类软件窃取老年人信息等案例被曝光。在监管层角度,对个人信息的保护措施也不断加码。
上周,国家互联网信息办公室副主任杨小伟在新闻发布会上说,目前加紧制定出台《数据安全法》《个人信息保护法》,从而在法律层面为数据安全和个人隐私保护提供法律保障。
昨天,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合印发《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《规定》)。
《规定》明确了地图导航、网络约车、即时通信、网络购物等 39 类常见类型移动应用程序必要个人信息范围,自 2021 年 5 月 1 日起施行。
App 是否存在过度收集个人信息的情况?用户不同意提供非必要个人信息,App 就拒绝为用户提供基本功能服务?对此,搜狐科技查阅了十大常用 App 隐私政策,并与《规定》中所明确的必要个人信息范围进行比对。
需要注意的是,设备和日志信息以及 Cookie 是否属于个人信息仍存在争议。如果算作个人信息并严格按照《规定》中的限制,搜狐科技发现,包括爱奇艺、百度地图、滴滴、支付宝、美团、拼多多、淘宝、微信、QQ、抖音在内的十大 App 都可能需要进行整改。因为除了《规定》中提到的必要信息,这些 App 还会默认收集用户的设备和日志信息、Cookie 及类似数据文件。
一般来说,设备信息主要包括唯一设备识别码、登录 IP 地址、设备型号等,日志信息主要包括浏览记录、检索记录、访问日期和时间等。
当然,如果上述信息不被定义为个人信息,那么这些 App 的个人信息收集算基本合规。部分 App 存在超出范围的信息收集,用户可以拒绝,并且只会影响附加服务。
爱奇艺:
在《规定》中,在线影音类 App 基本功能服务为 “影视、音乐搜索和播放”,无须个人信息,即可使用基本功能服务。
而在爱奇艺的隐私权政策中,爱奇艺称收集设备信息和日志信息是为了提供最核心的服务内容展示 / 播放 / 下载服务,如果拒绝提供上述信息和 / 或权限将可能导致无法使用产品与服务。爱奇艺还强调,单独的设备信息、日志信息等无法识别用户的身份信息。
具体来看,设备信息包括设备 MAC 地址、唯一设备识别码、登录 IP 地址、设备型号、设备名称、设备标识、浏览器类型和设置、语言设置、操作系统和应用程序版本、接入网络的方式、网络质量数据、移动网络信息(包括运营商名称)、产品版本号、设备所在位置相关信息。
日志信息方面,爱奇艺会自动收集用户的个人上网记录,并作为有关操作日志、服务日志保存,包括浏览记录、点赞 / 分享 / 评论 / 互动记录、收藏 / 关注 / 预约记录、播放记录、播放时长、访问日期和时间。
爱奇艺表示,可能会使用 Cookie 和同类技术收集用户的一些个人信息,包括访问网站的习惯、浏览信息、登录信息。
滴滴:
在《规定》中,网络约车类 App 的基本功能服务为 “网络预约出租汽车服务、巡游出租汽车电召服务”,必要个人信息包括:1. 注册用户移动电话号码;2. 乘车人出发地、到达地、位置信息、行踪轨迹;3. 支付时间、支付金额、支付渠道等支付信息(网络预约出租汽车服务)。
在滴滴的隐私政策中,完成上述基本功能所必需的个人信息包括手机号码、行程信息、支付信息、位置信息、订单信息及交易状态、录音和录像信息、设备信息和日志信息。
具体来看,用户注册需手机号码并设置密码,如果用微信登陆还需要获取微信平台的 OpenID;行程信息方面,包括出发地、到达地、行踪轨迹、时长及里程数信息;支付信息方面,包括支付工具、支付账户风控信息以及支付状态,如果用户使用滴滴钱包则需要设置支付密码,记录余额、支付记录、提现记录以及银行卡号。
此外,滴滴表示为了提升产品安全能力,会通过软件或硬件设备获取用户行程中的车内环境声音信息,部分平台内注册车辆可能安装有车内视频记录仪等设备,用户可能被录制视频信息。并且,滴滴会收集设备信息 (包括设备型号、操作系统版本设备设置、MAC 地址及 IMEI、IDFA、OAID 等设备标识符、SIM 卡 IMSI 信息、SIM 卡归属地、设备环境、移动应用列表等软硬件特征信息)及日志信息 (包括浏览记录、检索内容、点击查看记录、交易记录以及 IP 地址浏览器类型、电信运营商、使用语言、访问日期和时间)。
支付宝:
在《规定》中,网络支付类 App 基本功能服务为 “网络支付、提现、转账等功能”,必要个人信息包括:1. 注册用户移动电话号码;2. 注册用户姓名、证件类型和号码、证件有效期限、银行卡号码。
在支付宝的隐私权政策中,用户需要提供手机号或电子邮箱作为账户登录名。用户还需要需要提供身份基本信息,包括姓名、国籍、性别、职业、住址、联系方式,有效身份证件的种类、号码和有效期限,以及有效身份证件的彩色影印件或照片。
在余额支付的操作中,需要记录支付账户余额信息以及交易信息;在快捷支付中,用户需提供开户行名称银行卡卡号、银行卡有效期、姓名身份证号码、银行预留手机号;在转账操作中,如果向他人的支付宝账户转账时,需输入收款人账户、收款人部分姓名、转账金额;在转账至他人银行卡时,需输入收款人姓名卡号、开户银行。
在用户进行消费时,支付宝称将直接收集或向商家收集用户的交易信息,包括交易金额、交易对象、交易商品、交易时间、配送信息 (如有)。如用户不同意则可能无法完成交易。
此外,基于安全原因,支付宝称需要记录支付宝服务类别、方式及设备品牌、设备型号、设备名称、IP 地址 MAC 地址、设备软件版本信息、设备识别码、设备标识符,所在地区,网络使用习惯,设备相关应用信息以及其他与支付宝服务相关的日志信息。如不同意记录前述信息,可能无法完成风控验证。
百度地图:
在《规定》中,地图导航类 App 的基本功能服务为 “定位和导航”,必要个人信息为:位置信息、出发地、到达地。
通过百度地图隐私政策可以看到,用户直接提供和 App 自动采集的个人信息包括:注册信息、设备信息、位置信息、日志信息、车辆信息、通讯录信息、日历信息、应用程序列表信息,超出范围的信息收集主要是用于附加服务。
比如,注册信息方面,当注册百度通用账号时,用户需要提供账号名称、头像、密保邮箱、密保手机、密保问题,并创建密码。或者,使用第三方账号登录。百度地图隐私政策指出,如果不登录百度地图,并不会妨碍用户使用定位服务和搜索服务的核心业务功能,但会影响使用报错、评论等附加业务功能。
美团:
在《规定》中,餐饮外卖类 App 的基本功能服务为 “餐饮购买及外送”,必要个人信息包括:1. 注册用户移动电话号码;2. 收货人姓名(名称)、地址、联系电话;3. 支付时间、支付金额、支付渠道等支付信息。
在美团的隐私权政策中,用户需要提供手机号码以创建账号,并完善相关的网络身份识别信息(如头像、昵称及登录密码等);支付信息方面,需要收集美团订单信息、对账信息及其他法律要求的必要信息;涉及配送等服务时,用户需要提供取 / 收货人的姓名、性别、手机号码、收货地址、门牌号等。
此外,美团还会收集日志和设备信息。用户使用美团提供的产品 / 服务时,美团会收集浏览、搜索、点击、收藏、添加购物车、交易、售后、关注、分享、发布等信息并作为有关网络日志进行保存,其中包括 IP 地址、浏览器的类型、使用的语言、操作系统的版本、访问的日期和时间、电信运营商、网络请求等。
美团还会获取用户的设备信息,包括设备属性、连接和状态信息,例如设备型号、设备标识符(IMEI/androidID/IDFA/OPENUDID/GUID/OAID、SIM 卡 IMSI、ICCID 信息等)、设备 MAC 地址、软件列表、电信运营商等软硬件特征信息。
拼多多:
在《规定》中,网上购物类 App 基本功能服务为 “购买商品”,必要个人信息包括:1. 注册用户移动电话号码;2. 收货人姓名(名称)、地址、联系电话;3. 支付时间、支付金额、支付渠道等支付信息。
在拼多多的隐私权政策中,用户完成 “购买”的基本功能需要提供手机号码进行注册,并且拼多多会收集用户的设备信息、日志信息、订单信息和支付信息。
具体来看,设备信息包括但不限于设备类型、设备型号、设备设置、设备识别码、设备存储空间、操作系统和应用程序版本、语言设置、分辨率、软硬件特征信息。此外,拼多多可能会写入用户访问拼多多平台或使用拼多多服务时所使用的设备的存储空间。
日志信息方面,拼多多称用户在访问拼多多平台或使用服务时,系统可能会自动接收并记录浏览器、计算机上的信息(包括但不限于 IP 地址、浏览器类型、搜索记录、浏览记录、浏览习惯、使用的语言、访问日期和时间、电信运营商及记录需求的网页记录)。
订单信息包括收货人姓名(或名称)、收货地址及电话号码,订单同时载明订单号、所购买的商品或服务信息、下单时间、成团时间、实际支付的货款金额及采用的支付方式。支付信息方面,用户可以通过第三方支付机构完成支付,支付功能本身并不收集个人信息,但拼多多需将用户的订单号、交易金额以及其他用户所选择的支付机构要求的交易信息与用户选择的支付机构共享。
此外,拼多多表示可能会通过 Cookie 识别用户的身份,了解用户的使用习惯,但用户可以通过浏览器修改对 Cookie 的接受程度或者拒绝拼多多的 Cookie。
淘宝:
《淘宝网隐私权政策》显示,除去会员注册需要的电话号码外,公司会收集用户的收藏、加购及已购信息、用户所在位置以推荐商品及服务。而为了安全保障,淘宝称需要收集和处理用户的设备信息、日志信息。此外,为了提供附近的商品及服务优惠信息,用户的位置信息也会被读取,但用户可以选择关闭。
淘宝称,上述个人信息,大部分是用户主动提供的,或者淘宝在用户使用产品时,通过 Cookies、SDK 及类似技术获取的,还有部分是从第三方间接获取的。
微信:
在《规定》中,即时通信类 App 的基本功能服务为 “提供文字、图片、语音、视频等网络即时通信服务”,必要个人信息包括:1. 注册用户移动电话号码;2. 账号信息:账号、即时通信联系人账号列表。
《微信隐私保护指引》显示,用户注册微信服务时,需要提供的信息包含账号信息、手机号码、设备型号、操作系统、登录 IP 地址、在微信进行的搜索、查看操作的记录等日志信息,微信称 “这类信息时为提供服务必须收集的基础信息”。
而在使用附近的人、摇一摇、面对面建群及附近的小程序等功能时,微信会在获得用户同意后,记录地理位置信息,如果拒绝提供,将无法使用上述功能。微信搜索、搜一搜以及看一看功能同样会收集搜索记录、阅读记录、推荐记录和访问时间、评论和互动记录。
随着微信功能不断叠加,在基本的通讯功能之外,微信同样承载了不少其他需求,也就不可避免地涉及到了更多个人信息收集。
QQ:
《QQ 隐私保护指引》表明,当用户使用 QQ 服务时,会收集设备型号、操作系统、设备 Mac 地址、唯一设备标识符、应用 ID、登陆 IP 地址、QQ 软件版本号、接入网络的方式、类型和状态、网络质量数据、操作日志、服务日志信息(如您在阅读功能下的浏览历史、服务故障信息等信息)等日志信息,这类信息是为提供服务必须收集的基础信息。
QQ 会在用户使用一些功能时,在获得同意的情况下,收集一些敏感信息,比如步数、手机联系人信息、地理位置信息,而拒绝提供将会使用户无法使用相关特定功能,但不影响使用 QQ 其他功能。
此外,QQ 的第三方合作伙伴会使用第三方 SDK 收集、使用用户的个人信息。比如,用户可以将特定内容分享到新浪微博,而 QQ 接入了新浪微博 SDK,第三方合作伙伴可能会收集个人常用设备信息、网络状态等;用户使用华为手机的,QQ 接入的手机厂商 Push SDK 需要收集手机设备 MAC 地址、唯一标识信息(例如 IMEI),并可能会收集用户的手机型号、系统类型、系统版本、网络状态等参数用于实现信息的推送。
如微信一样,QQ 所收集的用户信息同样超出范围,但据《指引》,如果拒绝提供相关信息,只会影响相应功能,不会影响基础功能。
抖音:
在《规定》中,短视频类 App 的基本功能服务为 “不超过一定时长的视频搜索、播放”,无须个人信息,即可使用基本功能服务。
《抖音隐私政策》指出,用户主动提供和通过自动化手段获取的信息,包含账号、身份认证、日志信息(点击、关注、收藏、搜索、浏览、分享)、发布信息、通讯录、地理位置信息、设备信息。
不过抖音表示,“基于我们与通信运营商的合作,当您使用抖音’一键登录’功能时,经过您的明示同意,运营商会将您的手机号码发送给我们,便于我们为您提供快捷的登录服务。手机号码属于个人敏感信息,如果拒绝提供将无法使用’一键登录’方式注册登录抖音,但不影响您通过其他方式注册登录,也不影响其他功能的正常使用。”
此外,抖音称,为了提升音视频的上传速度、丰富发布功能和优化体验,当用户发布音视频时,在点击 “发布”确认上传之前,抖音会将该音视频临时加载至服务器。但用户可以在设置中进行关闭。
综上所述,用户们的设备信息、日志信息、Cookie 基本上是默认被收集的。进入 App 后也没有相关按钮可以选择拒绝 “被收集”设备和日志信息;如果想拒绝 “被收集”Cookie 则需要在浏览器中关闭相关权限,并且需要浏览器有相关功能支持。
比如在《规定》中,在线影音类 App 无须个人信息,即可使用基本功能服务。而在爱奇艺的隐私权政策中,爱奇艺称如果拒绝提供设备信息和日志信息将可能导致无法使用产品与服务。
需要注意的是,设备信息、日志信息等是否属于个人信息的定义还比较模糊。拼多多在隐私政策中提到,单独的设备信息、日志信息、搜索关键词信息以及其他无法与特定个人直接建立联系的信息或数据,不属于个人信息或个人敏感信息。但根据去年 10 月起实施的国家标准《信息安全技术 个人信息安全规范》,上网记录、设备常用信息等属于个人信息。