本報記者 陳佳嵐 廣州報道
應用程式收集個人資訊的治理工作正持續推進中。
5月6日,中央網信辦對15款App和16款SDK(軟體開發套件,一般都是一些軟體工程師為特定的軟體包、軟體框架、硬體平台、作業系統等建立套用軟體時的開發工具的集合)個人資訊收集使用問題進行通報,其中,墨跡天氣TV版、醫家、企鵝天氣、途虎養車等15款App存在未逐一列出收集使用個人資訊的SDK,未準確列出SDK收集使用個人資訊的目的、方式、範圍等問題。另外還有CTP穿透采集、金仕達穿透采集、傳漾廣告、西瓜影音等16款SDK收集使用個人資訊,存在未提供個人資訊收集使用規則,未說明自行或協助App響應使用者個人資訊權利請求的措施,未及時響應使用者個人資訊投訴舉報這些權利請求的問題。
中國資訊協會資訊保安專業委員會數據鑒證工作部主任毛立明對【中國經營報】記者表示,15款App與16款SDK存在個人資訊處理透明度不足與SDK治理失效及投訴服務處理響應不及時等多重問題,反映出多重安全漏洞與風險。App未列明SDK清單、說明收集目的範圍,致使使用者知情權受損,如SDK可能收集無關資訊、透過技術手段竊取數據,形成隱蔽數據流,增加使用者被攻擊風險,違反【個人資訊保護法】,還可能成為黑灰產素材。SDK未提供收集規則、未響應使用者權利請求,加劇數據濫用和合規風險,如敏感資訊滯留、數據用途不明、跨境傳輸至不受監管伺服器等。部份SDK透過漏洞提權獲取高敏感許可權擴大攻擊面,碎片化數據聚合可能突破匿名化保護,威脅使用者私密安全。這些均違反相關法律法規,使使用者容易受精準詐騙等侵害。
本報記者還留意到,此次通報的15款App和16款SDK中。不乏多款知名App及營運商,如墨跡天氣TV版、有道精品課、途虎養車等,其營運者分別是北京墨跡風雲科技股份有限公司、網易有道資訊科技(北京)有限公司、上海闌途資訊科技有限公司等。
多款知名產品上榜
記者留意到,此次通報的15款App涵蓋食、住、行、教育、醫療等多個生活領域,都與人們的日常生活息息相關,如墨跡天氣TV版、企鵝天氣預報屬天氣類軟體,天津公交、煙台出行關聯人們出行,21cake涉及食品購買,醫家與醫療健康相關,親鄰開門涉及居住社群,學霸線上、有道精品課涉及教育等,反映了這些App在人們日常生活中套用的廣泛性。其中,多款軟體還是知名App及營運商。
所有SDK均涉及使用者個人資訊采集,而從16款被點名的SDK來看,則涵蓋了金融交易、廣告追蹤、音視訊通訊等高敏感場景。包括金融(如CTP穿透采集、金仕達穿透采集)、廣告(傳漾廣告)、數據分析(LinkedME、Mercury)、視訊(西瓜影音)、物聯網(機智雲)、資訊聚合(聚合渠道)、通訊(聲網、U8、融雲IM/Rtc)、直播(CC視訊雲直播)、數位行銷(數美)、認證(楓嵐互聯、免密認證)等領域。
其中,北京墨跡風雲科技股份有限公司營運的墨跡天氣TV版1.3.8版本被通報,該App存在的主要問題是,未逐一列出收集使用個人資訊的SDK。公開資料顯示,墨跡天氣是一款國民級天氣服務套用,在全球擁有7億級使用者。
不過,墨跡天氣合規中心人員在接受記者采訪時強調,7億使用者指的是手機版(移動版)的使用者量,手機版和TV版是兩個獨立App,TV版不是公司主營的產品。
對於為何相較於手機版,TV版會出現未逐一列出收集使用個人資訊的SDK相關問題情況的問題,上述墨跡天氣合規中心人員對記者解釋,可能涉及到技術問題,但公司會按照網信辦要求進行整改。
此外,網易有道資訊科技(北京)有限公司營運的有道精品課6.8.2版本被通報,上海闌途資訊科技有限公司營運的途虎養車7.10.5版本也被通報。前者有道精品課App是網易有道旗下初高中線上學習平台,網易有道作為知名的互聯網企業,旗下該App在教育領域也具有較高的知名度。途虎養車是國內領先的汽車養護品牌,黃渤是其品牌代言人。這兩個App存在的主要問題是,未準確列出SDK收集使用個人資訊的目的、方式、範圍。
普通使用者對數美不熟悉,但數美屬於技術細分賽道的知名服務商,數美SDK主要套用於智慧業務風控和內容安全等領域,其利用人工智慧、大數據和全棧式風控模型,為金融、互聯網、行銷等行業提供反欺詐、內容稽核及使用者私密保護等服務。
北京微方程式科技有限公司營運的LinkedME在數據分析和行銷領域也有一定的知名度。
網經社電子商務研究中心數位生活分析師陳禮騰對記者表示,此次通報的產品中有不少知名App及營運商。其一,這反映出部份頭部企業存在合規意識與能力不匹配的情況,雖有技術資源,但因業務擴張或管理疏漏,忽略了合規細節。其二,在監管日益嚴格的大背景下,典型示範作用顯著,網信辦選擇通報知名企業,打破了公眾「大企業更安全」的固有認知,促使行業形成「合規即競爭力」的共識。此外,SDK提供商的違規行為也暴露出App營運者對第三方元件審查不力的問題,未來應強化「責任共擔」機制,比如要求SDK透過安全認證後再接入。
陳禮騰對記者分析,數據收集透明度缺失是核心漏洞之一,部份App未逐一列出嵌入的SDK,也未明確說明收集個人資訊的目的、方式和範圍,這直接違反了【個人資訊保護法】中的「告知—同意」原則。使用者無法知曉數據流向,為SDK暗中采集裝置指紋、位置等敏感資訊提供了可乘之機,甚至可能引發非法數據共享或濫用。其次,最小必要原則的失效進一步加劇了風險,例如天氣類App索取通訊錄許可權等超範圍收集行為,可能透過SDK過度索權擴大數據采集範圍,增加使用者私密暴露面。此外,SDK整合風險不容忽視,第三方SDK可能成為攻擊入口,若未透過安全審計,可能存在惡意程式碼或漏洞(如未加密傳輸),導致使用者數據在傳輸或儲存過程中被竊取。最後,權利響應機制缺位使得使用者無法有效行使刪除權、更正權等個人資訊權利,一旦發生數據泄露,使用者難以及時止損,企業也面臨合規處罰風險。
部份App已整改、部份App尚未更新
對於15款App和16款SDK存在的個人資訊收集使用問題,中央網信辦秘書局明確要求相關App和SDK營運者應當於5月6日通報釋出之日起的15個工作日內完成整改。
記者在墨跡天氣官方網站上看到,目前該套用TV版本可支持下載版本還為TV 1.1.1版本,釋出日期為2017年1月6日。
上述墨跡天氣合規中心人員對記者表示,目前公司還沒有聯系到網信辦,尚未了解要如何整改,但會嚴格按照網信辦的要求和標準進行整改,最終整改方案將會給到網信辦,網信辦透過之後,公司會對App進行整改。
截至5月7日下午,記者在OPPO、vivo、小米、華為手機市集上看到,途虎養車已經將App版本更新至了7.21.1版本,更新時間為2025年5月7日,該版本的私密政策已經列明軟體收集、使用資訊的目的、方式、範圍和使用規則。
然而,有道精品課App在各大手機市集的軟體版本仍停留在6.8.2版本,21cake App仍停留在3.6.2版本。OPPO手機市集中,醫家App在兩個月前套用更新至5.6.0版本,在vivo市集中,醫家App還在5.5.43版本,更新時間是2024年9月19日。
對於本次通報中涉及到的App個人資訊收集使用問題及具體整改進度和後續在資訊保護方面的合規規劃,記者向途虎養車、有道精品課等相關公司進行了信件采訪,截至發稿未獲得回復。
毛立明認為,部份行業企業或因對法律法規理解與實操經驗不足,需強化學習整改;或在合規成本與數據利用收益間存在投機心理。實際上,個人資訊數據合規意義重大,它既關系到使用者權益保障與風險防範,也關乎企業本身,包括法律責任風險、監管處罰成本導致的營運損失以及使用者、合作夥伴信譽受損等方面的風險與成本,企業不應舍本逐末、因小失大。
陳禮騰建議,企業應在App和SDK開發階段貫徹私密設計原則,將數據最小化、加密儲存等要求融入架構設計,建立SDK安全評估體系,采用許可權動態管理機制,按需申請許可權。營運階段需部署監控系統即時監測異常數據存取行為,定期開展合規審計,建立使用者權利響應系統,自動化處理刪除、更正等請求,以確保使用者權利得到充分保障。
(編輯:吳清 稽核:李正豪 校對:顏京寧)
