100款App个人信息收集与隐私政策测评报告

二、测评问题发现

（一）收集个人信息方面存在的问题

1．10类App普遍存在涉嫌过度收集或使用个人信息的情况。

测评发现，10类App均存在涉嫌过度收集或使用用户个人信息的问题。10类100款App中，多达91款App列出的权限存在涉嫌“越界”，即存在过度收集用户个人信息的问题。其中，出行导航、金融理财、拍摄美化、通讯社交和影音播放等5类App中，每一款都涉嫌存在过度收集或使用用户信息的情况；其次是住宿旅游、网上购物、新闻阅读和邮箱云盘等4类App中，32款App涉嫌存在过度收集或使用个人信息情形；而交易支付类App中有7款涉嫌存在过度收集或使用现象。

2．位置信息、通讯录信息、手机号码等个人信息是过度收集或使用的主要内容。

测评结果显示，“位置信息”、“通讯录信息”和“手机号码”等三种个人信息是过度收集或使用个人信息最常见的内容。100款App中，59款App涉嫌过度收集了“位置信息”，过度收集或使用个人信息的情况较多，另外“通讯录信息”、“身份信息”、“手机号码”也是用户个人信息过度收集或使用较多的内容，在受测评中分别有28款、23款、22款App涉嫌存在此类情况。除此之外，用户的个人照片、个人财产信息、生物识别信息、工作信息、交易账号信息、交易记录、上网浏览记录、教育信息、车辆信息以及短信信息等均存在被过度使用或收集的现象。

图3 App涉嫌过度收集或使用个人信息情况

按照《个人信息安全规范》规定，对个人信息的收集应有明确的目的，不得超出产品功能相关目的外收集额外的个人信息，很多被测评App在隐私政策等文件中，未将其收集的个人信息与其实现的产品功能明确挂钩，其中很多个人信息与消费者通常理解的产品功能之间无明显关联，甚至明显超出合理范围。

典型案例1：聚看点App收集个人身份信息（生日、籍贯）、个人上网记录、个人财产信息、位置信息和通讯录信息，但各类信息对应的业务功能未明确说明。

典型案例2：网易彩票App收集个人财产证明、个人上网记录、通讯信息、位置信息（包括行程、住宿）等信息涉嫌过度收集或使用。

3．通讯社交、影音播放和拍摄美化类App涉嫌过度收集或使用用户位置信息的问题较普遍。

测评结果显示，各类App调用定位权限情况极为普遍，从10大类App分析，除邮箱云盘、交易支付和出行导航类App外，其他七大类App均有超过一半的App存在过度收集或使用用户位置信息的问题。其中，通讯社交和影音播放类App产生此类问题更为突出，多达10款和9款App涉嫌存在过度收集用户位置信息的现象。

出行导航、旅游住宿、网上购物类App对于用户个人位置信息具有根据定位信息提供产品和服务的合理诉求，但是对于大部分社交类、影音播放类、拍摄美化类、新闻阅读以及金融理财类App来说，调用用户的位置信息对于这些服务的提供非必需信息，存在过度收集或使用的嫌疑。

图4 各类App收集用户定位信息情况

典型案例3：天天P图收集用户的位置信息，但未说明提供的是何种相关服务。

典型案例4：咪咕视频收集用户的地理位置、手机号码、电子邮件或银行卡号等信息涉嫌过度收集。

4．通讯录信息、手机号码等个人身份信息过度收集现象值得注意。

通讯录信息、手机号码涉及用户的个人隐私，属于个人敏感信息，存在较高的商业价值，部分仅提供手机号注册方式，借助手机权限开放的便利，很容易收集手机号码及通讯录信息。以收集通讯录为例，10类App中，4款金融理财类App与3款影音播放类App收集用户通讯录信息。手机号码信息收集现象在金融理财类与出行导航类App中较为普遍，10款金融理财类App均收集手机号码，8款出行导航类App在用户注册时要求必须用手机号注册。

典型案例5：139邮箱涉嫌过度收集手机、姓名、电话号码、出生年月日、地址等信息。

典型案例6：捷信快贷收集工作信息、通讯录、个人征信信息、学历信息涉嫌过度收集，各类信息对应的业务功能未明确说明。

5．部分App涉嫌过度收集个人财产信息、生物识别信息等敏感信息。

个人财产信息、个人生物识别信息属于个人敏感信息。个人敏感信息一旦泄露，将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力，造成个人信息扩散范围和用途的不可控，可能对个人信息主体人身和财产带来重大风险。测评发现，10类App均存在收集这些信息的情况，但部分App对财产信息、可识别生物信息的收集未能向用户明确重点告知，理由含糊不清，涉嫌过度收集，其中11款App涉嫌过度收集财产信息，10款App涉嫌过度收集生物识别信息。

典型案例7：美图秀秀App涉嫌过度收集可识别生物信息、财务信息等。