海南省委网信办1日召开保护个人信息安全专项治理工作新闻通气会,通报23款移动应用程序违法违规收集使用个人信息情况,责令相关运营单位限期整改。
据介绍,近期,海南省互联网信息办公室针对一批群众反映强烈且具有较大用户规模的移动应用程序和小程序收集使用个人信息情况进行技术检测。检测结果显示,“探奇乐园会员中心”“海南亚太通用航空有限公司”等15款小程序和“画画小助手”“宝贝益家”等8款App,均不同程度存在非法获取、超范围收集及过度索权等违法违规收集使用个人信息行为。
具体情况如下:
一、App违法违规情况
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。
|
|
|
|
|
|
|
|
1.在申请打开可收集个人信息的权限或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;
2.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;
3.未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过 15 个工作日,无承诺时限的,以 15 个工作日为限)受理并处理的。
|
|
|
|
|
|
|
|
1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;
2.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关。
|
|
|
|
|
|
|
|
未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。
|
|
|
|
|
|
|
|
1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;
2.在申请打开可收集个人信息的权限或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;
3.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;
4.未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过 15 个工作日,无承诺时限的,以 15 个工作日为限)受理并处理的。
|
|
|
|
|
|
|
|
1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;
2.在申请打开可收集个人信息的权限或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;
3.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;
4.未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过 15 个工作日,无承诺时限的,以 15 个工作日为限)受理并处理的。
|
|
|
|
|
|
|
|
未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。
|
|
|
|
|
|
|
|
1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;
2.在申请打开可收集个人信息的权限或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;
3.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关。
|
二、小程序违法违规情况
|
|
|
|
|
|
|
|
|
|
|
|
海南省海口市龙华区国贸玉沙路21号(原京华城)B区3楼
|
小程序在“会员资料”页面收集姓名,绑定会员时申请获取手机号,但隐私政策中未逐一说明其收集的目的、方式、范围。
|
|
|
|
|
|
海南省海口市琼山区国兴大道8号日月广场铺面C01-2#-204
|
1.小程序中存在收集用户个人信息的情况,经查看各个页面未提供隐私政策;
2.小程序在“我的地址-新增地址”页面收集姓名、手机号、地址和申请通讯录权限,但未提供隐私政策并逐一说明其收集的目的、方式、范围。
|
|
|
|
|
|
|
1.小程序首次运行未经用户阅读并同意隐私政策,申请获取位置权限;
2.小程序在用户登录进入主界面后,无法在小程序内的固定路径访问到隐私政策,应当公开收集使用规则,可让用户在4次以内点击访问到隐私政策,但该小程序登录后无法访问隐私政策,存在难以访问的情况。
|
|
|
|
|
|
|
1.小程序未经用户阅读并同意隐私政策,申请位置权限,应当在用户阅读并同意隐私政策后申请获取位置权限;
2.小程序的隐私政策中未明确已收集个人信息(权限和个人信息)撤回的途径和方式,且在小程序运行时未能找到有效撤回已收集个人信息(权限和个人信息)的相关业务功能,应在隐私政策中向用户明示已收集个人信息(权限和个人信息)撤回的途径和方式,且确保用户可依照其途径进行撤回操作。
|
|
|
|
|
|
|
1.小程序的隐私政策中未向用户明示“收集使用个人信息规则变更”及变更通知方式的相关描述,且小程序测试期间未遇到个人信息规则更新情况,应当在隐私政策中明确个人信息的收集或使用规则发生变化时通知用户的方式;
2.小程序未经用户阅读并同意隐私政策,申请位置权限,应当在用户阅读并同意隐私政策后方可申请获取位置权限。
|
|
|
|
|
|
|
1.小程序未经用户阅读并同意隐私政策申请位置权限,应当在用户阅读并同意隐私政策后申请权限,但未公开收集、使用规则,明示收集、使用信息的目的、方式和范围,告知个人收集权限的目的、方式和范围,提前申请权限;
2.小程序的隐私政策中未公布个人信息投诉举报渠道,也未承诺处理时限。
|
|
|
|
|
|
|
1.小程序在首次运行时没有阅读隐私政策的提醒弹窗,且查看登录页面也未见向用户明示收集使用个人信息规则;
2.小程序未经用户阅读并同意隐私政策,申请位置权限,应当在用户阅读并同意隐私政策后申请权限。
|
|
|
|
|
|
|
1.小程序未经用户阅读并同意隐私政策申请位置权限,应当在用户阅读并同意隐私政策后申请权限,但该小程序在未向用户明示个人信息收集使用规则且未经用户同意的情况下,申请打开可收集个人信息的权限;
2.小程序在用户进入主界面后,无法在小程序内以固定路径访问到隐私政策,应当公开收集使用规则,可让用户在4次以内点击访问到隐私政策,但该小程序登录后无法访问隐私政策,存在难以访问的情况。
|
|
|
|
|
|
|
2.小程序在点击“代理人信息”功能页面存在收集身份证号信息,未见同步告知用户其目的。
|
|
|
|
|
|
|
1.小程序在登录页面收集用户名、密码,在注册页面收集手机号,在修改密码页面收集密码,在新增地址页面收集姓名、手机号、详细地址,在添加旅客页面收集姓名、身份证号码、手机号、邮箱,但隐私政策中未逐一说明其收集的目的、方式、范围;
2.小程序在添加旅客业务功能中,收集了个人敏感信息身份证号,但未在当前页面同步告知用户其目的。
|
|
|
|
|
|
|
1.小程序在“会员”页面,收集姓名、身份证号、电话、卡号,在“呼救”页面收集位置信息,在“我的-我的紧急联系人”页面收集手机号码,但未在隐私政策中逐一列出;
2.小程序申请位置权限,目的告知为获取您的具体位置信息,用于定位,未说明其申请的具体目的,目的告知不清晰。
|
|
|
|
|
|
|
1.小程序在“注册”页面,未勾选隐私政策,即可发送验证码,存在未经同意隐私政策收集用户手机号码的行为;
2.小程序在修改联系邮箱页面收集邮箱,在修改绑定手机号页面收集手机号,在修改登录密码页面收集密码,在添加银行卡页面收集银行卡号,但隐私政策中未逐一说明其收集的目的、方式、范围。
|
|
|
|
|
|
|
1.小程序在首次运行时没有阅读隐私政策的提醒弹窗,且查看登录页面也未见向用户明示收集使用个人信息规则;
2.小程序未经用户阅读并同意隐私政策,申请位置权限,应当在用户阅读并同意隐私政策后申请权限。
|
|
|
|
|
|
|
小程序在“注册”页面,未勾选隐私政策,即可发送验证码,存在未经用户同意隐私政策收集用户手机号码的行为。
|
|
|
|
|
|
|
1.小程序未经用户阅读并同意隐私政策,申请位置权限;
2.小程序在收集身份证号时未同步告知用户目的。应当在收集个人敏感信息时,向用户明示其收集目的,但该小程序未同步告知收集身份证号的目的。
|
海南省互联网信息办公室提示,广大网民在日常使用各类小程序时要提高自我安全防范意识,不要随意对各类App同意和开放不必要的隐私权限,不要随意输入个人隐私信息,对小程序超范围索取用户权限、非必要收集用户个人敏感信息等违规行为,应及时向属地网信部门进行投诉举报。
来源:网信海南 作者:周到君
