12月5日，由广州日报互联网大数据研究所·南都个人隐私保护研究所举办的“2019啄木鸟数据治理社区论坛”北京举办。在“个人隐私保护”巡演，南都个人隐私保护研究所公布《2019个人信息保护年报》（通称《汇报》）。《汇报》强调，为具体调查App在私人信息搜集应用层面的状况，南都个人隐私保护研究所从隐私保护现行政策清晰度、挪动金融投资App管理权限获得状况等3层面进行评测。数据显示，在挪动金融投资App评测中，机器设备标识码被比较严重经常读取，“招联金融”一分钟内启用了6109次，而“拍拍贷借款”一分钟启用1468次精准定位管理权限。七成被评测的挪动金融投资App成绩不过关2019年的3·15晚会节目上，金融业借款行业“714”高射炮（具备贷款周期时间为7天或14天，年化利率畸高、必须缴纳砍头息及巨额贷款逾期花费的特性）难题被曝出；第三季度，公安机关套路贷治理专项整治依法查处好几家金融业网络贷款平台。对于群众认知度较高的挪动金融投资App，南都个人隐私保护研究所选择100款注册量较高的App，从是不是违反规定获取权限，特别是在是风险管理权限、客户回绝某管理权限后是不是经常申请办理等层面进行评测。《汇报》显示信息，超七成App评分不过关，一半以上成绩集中化在40分和50分。

100款挪动金融业App的评分遍布《信息安全技术?移动互联运用（App）搜集私人信息基础标准》（议案）强调，金融业借款类App确保服务项目一切正常运作所必须的至少管理权限范畴只涉及到储存管理权限。而《汇报》显示信息，22款App强制性规定获得机器设备标识码、精准定位、照相机等管理权限，客户不愿意就不可以应用App。例如客户初次开启?“汇中网”时，App规定受权监控摄像头、精准定位管理权限等。当客户回绝的时候弹出来“以便给您更强的感受，汇中网必须您愿意应用管理权限”的对话框，客户不愿意受权则只有撤出。

汇中网强制获取非必要权限

值得注意的是，强制获取权限、一次性过多获取权限都是监督者关注的重点问题。

今年7月，受网信办、工信部等四部委委托，由全国信安标委、消协等成立的App专项治理工作组曾通报20款App，这些App要求用户一次性同意开启多个可收集个人信息权限，且不同意则无法安装使用，涉及猎豹安全大师、探探等。

“拍拍贷借款”一分钟调用1468次定位权限

除了上述问题，默认获取隐私权限也是监督者重点关注的问题。2018年11月，上海市消保委测评18款App并邀请企业进行沟通，多款App被曝存在默认获取权限问题。

在南都个人信息保护研究中心测评的100款移动金融类App中，68款App存在默认获取非必要权限的行为。所谓默认获取，是指用户安装以后，打开权限设置面板，发现一些权限已经默认打开。比如“小米金融”App会默认获取读取（通知类）短信的权限，“天天基金”会默认获取通话状态、访问手机识别码权限。

小米金融（左）和天天基金默认获取非必要权限

在中国金融认证中心（CFCA）的技术支持下，此次测评还对移动金融类App一段时间调用危险权限的次数进行监测。《报告》显示，设备识别码被严重频繁调取，有59款App每分钟内调用超过100次，其中“招联金融”一分钟内调用了6109次，“融360”调用了2586次，“51信用卡管家”、“51人品贷”、“还呗”、“国美易卡”、“360借条”调用超过1000次。

仅次于设备识别码、被频繁调用的是定位权限。共有44款App调用频率超过50次/分钟，其中“拍拍贷借款”调用了1468次，调用500次以上的有7款App，包括 “捷信金融”、“汇中网”等。

App调用各个隐私权限的频率分布

App注销时身份核验体验感显著提升

很长时间以来，App注销难一直被用户诟病。相比之下，注册时一个手机号、一条验证码即可完成，而注销时，有的App要求用户提供历史登录地点等信息，甚至需要提供手持身份证照片。

《信息安全技术 个人信息安全规范》最新修订草案（下称《个人信息安全规范》）规定，注销过程进行身份核验时，用户重新提供的个人信息不应多于注册、使用等环节收集的个人信息。

针对注销问题，南都个人信息保护研究中心选取了20款头部App进行测评，涉及“滴滴出行”、“QQ”、“淘宝”等。值得肯定的是，注销时身份核验的体验感显著提升，要求用户上传有效身份证件或手持身份证照的现象完全消失。

《报告》显示，19款App得分在70分或以上，且大部分支持在线注销，需满足的条件控制在5条以内。

唯一一款不及格的App是“网易邮箱”，虽然该APP在隐私政策中提到用户可以注销，但App未提供明确的注销入口及注销指引，且在App内提交反馈也没有得到回复，注销条款形同虚设。

网易邮箱在《隐私保护申明》里的销户条文《汇报》强调，虽然App在销户作用总体评分较高，但仍有改善的地区。例如，只能一款App——“高德导航”容许客户导出来、免费下载客户信息。《个人信息保护标准》强调，私人信息控制者宜为私人信息行为主体出示获得其基本信息、身份证信息等私人信息团本的方式 。“悟空租车”、“悦跑圈”等5款App仍沒有隐私保护现行政策在隐私保护现行政策清晰度层面，南都个人隐私保护研究所共监测100款App，涉及到买东西导购员、挪动金融业、文化教育文化艺术等十个制造行业。《汇报》显示信息，100款App中，有13款超过隐私保护现行政策清晰度高的等级，在其中“京东金融”以95分稳居第一，“美团外卖”和“饿了么外卖”以一分之差并排第二，别的清晰度高的包含“百度搜索”、“淘宝网”等。

十大行业排名靠前的App列表

值得注意的是，“悟空租车”、“悦跑圈”、“慢慢买”、“汽车头条”、“跳跳舞蹈”仍没有隐私政策。

2018年底，南都个人信息保护研究中心发布《2018年度常用App隐私政策透明度排行榜》。与去年相比，今年测评的App在隐私政策透明度上有明显提升，从41.1分提升到73.93分。但是，仍有需要提升的地方。

《个人信息安全规范》规定，企业保存个人信息的期限为实现目的所必须的最短时间，超出期限应对个人信息进行删除或匿名化处理。然而，只有29%的App有上述表述，27%的App没有提到保存期限，其余则表达含糊。

比如“360借条”写道：“为保证您的合法权益，除法律法规另有规定外，您的个人信息保存期限将截止您注销账户之日后的5年。”

此外，先输入个人信息才能看到隐私政策的情况依然存在，还有的App在隐私政策里暗藏限制用户权利或减少企业的法定义务的条款。