加入收藏 | 设为首页 |

实测30款儿童APP:9款存隐私规范瑕疵

隐私 时间:2019-09-10 浏览:
实测30款儿童APP:9款存隐私规范瑕疵---8月23日,国家互联网信息办公室发布《儿童个人信息网络保护规定》,将自2019年10月1日起施行。这意味着我国针对儿童的信

  8月23日,国家互联网信息办公室发布《儿童个人信息网络保护规定》,将自2019年10月1日起施行。这意味着我国针对儿童的信息保护制度又完善了一步。

  该规定为5月31日网信办发布《儿童个人信息网络保护规定(征求意见稿)》向社会公开征求意见后出台的正式版。规定强调,网络运营者应当设置专门的儿童个人信息保护规则和用户协议;网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意;网络运营者征得同意时,应当同时提供拒绝选项等。

  新京报记者发现,目前大部分APP会以提示隐私协议的方式向用户介绍其信息收集方式。结合该规定,即APP在收集儿童信息时,需设置有隐私协议,且该协议需征得儿童监护人同意,APP不得强制收集信息。

  依据以上原则,新京报记者在9月3日至9月8日期间测试了30款针对儿童使用的APP,发现其中有9款在儿童信息保护方面存在瑕疵,包括没有隐私协议、没有儿童监护人同意选项等。

  “该规定的出台非常及时和必要。不过对于儿童信息保护仍然存在几个难点,因为现在许多儿童都通过父母手机来使用APP,怎样识别什么属于‘儿童信息’,以及监护人明示同意制度是否有必要进行更加细化的分级,这些都需要讨论。”中国人民大学法学院副教授丁晓东对新京报记者表示。

  1 13款儿童APP索取位置权限,快乐小鸡、小盒学生强制索权

  9月3日至9月8日,新京报记者测试30款儿童APP发现,有2个APP涉及强制授权,6个无隐私协议,2个有隐私协议但没有监护人授权。由于有的APP同时存在两个问题,最终一共有9款APP在隐私规范上存在瑕疵

  这30款APP中,伴鱼绘本、凯叔讲故事等15款APP为七麦数据公布的“iOS免费榜排行”中排行前15的APP,儿歌多多、快乐小鸡等15款APP则是在华为应用市场“儿童”分类专区的热门推荐中选出,二者分别代表了iOS系统和安卓系统中儿童使用较多的APP。

  新京报记者测试发现,在强制授权上,绝大多数儿童APP均能做到对收集的信息进行明示提醒并给用户提供可拒绝选项。如宝宝玩英语索取相机和录音权限,被拒绝后提示“需要这些权限才能让程序正常运行”,少儿趣配音在文件访问权限被拒绝后提示“拒绝将会导致APP无法正常使用”,不过上述APP在拒绝授予权限后,仍可打开。

  上述30款APP中,快乐小鸡在安装之时就索取了储存与地理位置权限,用户若选择拒绝就无法安装。而小盒学生则在安装之后首次打开时提示索取存储、位置、电话、拍照、麦克风权限,若拒绝就无法使用。对比来看,小盒学生有较为完善的隐私协议并要求填写“你或者爸爸妈妈的手机号”,快乐小鸡则较为简单,没有隐私协议。

  根据APP专项治理工作组发布的《APP申请安卓系统权限机制分析与建议》,APP不应采用“一揽子打包”“默认打开”“强制捆绑”“私自更改”“频繁打扰”等方式征得用户同意获取权限,如“在APP安装时一次性申请多项或所有危险权限的授权,并在打开APP后权限均为默认开启状态”。

  记者登录“快乐小鸡”,在该APP中未发现与地理位置相关的功能。实际上,有多款儿童APP均索取了地理位置权限,如时尚小公主、奇妙的怪物朋友等,但这些APP均提供了拒绝选项,并非强制安装。

  需要注意的是,根据《网络安全法》第四十一条规定,网络运营者不得收集与其提供的服务无关的个人信息。但对于儿童类APP中何种信息属于“与其提供的服务无关”,目前尚未有明确的标准出台。此前,全国信息安全标准化技术委员会曾发布《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》,依据个人信息收集最少够用的原则以及不同种类APP的业务范围,对地图导航、网上购物、餐饮外卖等16类APP收集个人信息的范围给出了参考,但目前尚无针对儿童APP的明确标准。

  不过仅从APP要求索取的权限来看,30款儿童APP中有13款索取了地理位置权限,地理位置是儿童APP最爱收集的涉敏感权限。

  2 6款儿童APP无隐私协议,8款未设置监护人同意选项

  《儿童个人信息网络保护规定》强调,APP在收集、使用、转移、披露儿童个人信息时,应当征得儿童监护人的同意。目前,在记者的测试中,共有8款APP在隐私条款或运行界面中没有监护人同意的设置。

  其中,有6款APP直接没有隐私条款的设置,包括可可宝贝、人教版小学英语、宝宝爱连线、小企鹅乐园、快乐小鸡、DIY史莱姆制造者。其中,人教版小学英语或为配合教程使用的辅助APP,而宝宝爱连线、DIY史莱姆制造者等为功能较为单一的游戏类APP,不过可可宝贝获取了电话、照片等敏感权限,却没有隐私条款,存在的隐私规范瑕疵较大。

  此外,少儿趣配音与晓黑板2款APP虽然具备隐私政策,但没有监护人授权的选项。因此共有8款儿童APP没有“征得监护人同意”的设置。

  新京报记者发现,测试的30款儿童APP中,监护人同意的表述大部分都写在隐私协议中,如宝宝玩英语在其隐私政策中表示,“若您是18周岁以下的未成年人,请在您的父母或监护人的指导下仔细阅读本《隐私政策》,并在征得您的父母或监护人同意的前提下提交您的个人信息。”而少数APP具备家长设置儿童使用时间,以及通过算术题验证的方式验证家长身份等。

  对于儿童类APP“监护人同意”选项的设置方式,目前也有一些不同的声音。有不愿具名的早教类APP从业者对新京报记者表示,在实际操作中,“征得监护人同意”的规定“较为死板”,“一般小孩子玩的APP都是家长给下载好的,手机也是家长的,再在APP里写一则隐私协议并标注‘监护人同意’也就是为了合规,即便写了,也怀疑家长会真正阅读。”她认为,一些规则较为简单的儿童游戏APP的界面设计“非常简单,并不收集儿童信息,但再强行放置一个隐私协议或家长需知,有些没有必要”。

  其认为,“通过做算术题或者填成语的方式验证家长身份比在隐私协议中标明家长需知更加能确保APP收集信息的行为真正被监护人而不是儿童知晓。”

  对此,中国人民大学法学院副教授丁晓东表示,在儿童领域,难点在于监护人同意的设置是否可以真正起到这个作用。“因为通知权限本身就容易被用户忽略,如果普通用户在使用APP时已经习惯点击同意权限申请了,那么可以合理怀疑儿童使用APP时,同样是普通用户的父母会不会更加在意。”