隱私收集器APP潛在風險整改思路

編輯導語：產品應當如何合理地開發、在保障用戶權益的同時、提升用戶的使用體驗？這需要產品開發者做好自查與規范。在本篇文章里，作者結合相應案例進行分析，發表了他對APP潛在風險整改的看法，讓我們一起來看一下。

最近刷朋友圈看到訊飛等輸入法被各大應用商店下架了，我趕緊看了下手機的輸入法發現還能用。同時想起最近包括《數據安全法》等文件的出臺，在這個節點頭部輸入法卻被下架，本著深度挖掘的心態，就搜集了一波材料，這里和大家分享下。

一、科大訊飛等輸入法為什么被下架

首先，我們回顧下今年5月1日國家網信辦發布的“33款App違法違規收集使用個人信息情況的通報”名單，這也是國家網信辦從部委層面首次發布此類通報。名單上除了科大訊飛外，搜狗、QQ及百度等輸入法也在榜上。

百度從莆田系事件后，一直口碑不咋滴，本想去應用商城看看百度是不是還在下架狀態，但意外的是百度輸入法居然安然無事，應該是在規定時間內按照要求進行了整改。但訊飛、搜狗和QQ輸入法直到6月30日，獵人查證過程發現依舊處于下架狀態。

要知道，按照5月1日的通報要求，包括上述3款輸入法在內的33款App相關運營者應當于5月1日起10個工作日內完成整改，并將整改情況報于國家網信辦網絡數據管理局。逾期未完成整改的，國家網信辦將依法予以處置。但一個多月后的6月11日，三者因未完全滿足5月1日國家網信辦關于個人信息收集違規問題通報的整改要求，被多家應用商店下架。

一個多月時間，這幾家頭部輸入法公司居然還沒完成整改，贏得被應用商店下架的“殊榮”，難道他們是故意為之，不屑于整改？獵人感覺這里不簡單。

獵人在網上了解到，科大訊飛對某記者的回應表示其被下架的具體原因為：

1. 訊飛輸入法老版本升級到最新10.0.20版本后，沿用老版本拼音云輸入設置選項，未彈窗提示用戶選擇是否開啟；
2. 用戶在訊飛輸入法10.0.20版本中拼音云輸入彈窗提示中選擇關閉功能后，出現二次彈窗要求用戶確認。

截至6月11日，訊飛方表示訊飛輸入法App已完成整改。但到發稿前卻依然處于下架狀態。整改了卻還處理下架狀態？什么原因呢？

按照訊飛的說法，獵人推測其中一種可能性就是訊飛的確整改完成，但可能還要走各種審核、審批流程，現在還沒完全走完流程，所以相關應用商店還不敢恢復其下載權限。

另一種則可能其還沒整改完畢，這種情況如果屬實，那就是其當時的用戶授權信息采集相關功能與產品授權使用功能的架構應該是相對固化了的，因此本次整改的功能及功能背后采集的數據集直接影響其大部分的產品功能可用性，導致無法快速處理。

早在今年的3月12日國家網信辦發的《常見類型移動互聯網應用程序必要個人信息范圍規定》的通知，里面明確規定了常見類型移動互聯網應用程序必要個人信息范圍，其中第三十三條有明確的規定：

（三十三）輸入法類，基本功能服務為“文字、符號等輸入”，無須個人信息，即可使用基本功能服務，或是導致現在的輸入法集中下架事件的原因。

《常見類型移動互聯網應用程序必要個人信息范圍規定》的出臺是為貫徹落實《中華人民共和國網絡安全法》關于“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則”“網絡運營者不得收集與其提供的服務無關的個人信息”等規定。

同時今年數據行業最重磅的肯定是6月份頒布的《數據安全法》，其中第三十二條任何組織、個人收集數據，應當采取合法、正當的方式，不得竊取或者以其他非法方式獲取數據。法律、行政法規對收集、使用數據的目的、范圍有規定的，應當在法律、行政法規規定的目的和范圍內收集、使用數據。

這一系列與數據安全、數據采集、存儲及處理使用相關的法律法規背景下，數據安全、數據權屬空前重要。

二、科大訊飛被下架的真正原因是什么

獵人這里暫時以2019.9的科大訊飛輸入法版本為例，雖然不是最新的，但其實我們從其隱私條款里輸入法需要采集的數據可以推導點結論。

1. 科大訊飛輸入法作為被下架的APP，是否是因為其采集數據的數據過多？

2019年的科大訊飛的條款中，明示會采集的個人數據為：手機號、身份信息、身份證照片、通訊錄中的姓名和聯系方式等。

作為同樣上整改榜但現在已整改完畢的百度輸入法中，其最新的隱私條款也需要獲得的個人數據：手機號、單一設備標識符、語音信息、位置信息等。也只是比科大訊飛少了幾個敏感數據，如身份證信息及通訊錄的信息。

那身份證信息及通訊錄信息是否是科大訊飛需要整改獲取的？

獵人推測這些其實應該非主要原因。理由是《常見類型移動互聯網應用程序必要個人信息范圍規定》的通知，里面明確規定了常見類型移動互聯網應用程序必要個人信息范圍，其中第三十三條有明確的規定：

（三十三）輸入法類，基本功能服務為“文字、符號等輸入”，無須個人信息，即可使用基本功能服務。

輸入法APP基本功能下，無論是百度還是科大訊飛或者搜狗、QQ的輸入法都無權收集任何個人信息。但從隱私條款中，兩者都有提到不同的用戶的敏感信息需要收集。如果按照該通知的要求，那其實這些APP都應該”槍斃”了,為什么百度輸入法獨善其身？難道是漏網之魚？

獵人認為，雖然相關法律條例明確了各APP基礎功能應該收集或不能收集哪些信息。但這里存在一個點，任何的APP都可以有至少1個或多個擴展功能，只要拓展的功能按照要求就有權收集相關的數據。

因此科大訊飛等輸入法被下架，不完全是隱私條款內容沒做好。那還存在什么原因？第二種可能性我們研究下。

2. 科大訊飛等輸入法是否因為功能類型與數據采集邏輯不符合被下架？

上文已從隱私條款中采集數據維度角度分析，符合要求的輸入法隱私條款及APP應該整改與采集數據的維度應該關系不大。

不知道有無讀者詳細看了兩者對于采集數據的前期條件的描述，在科大訊飛2019年的條款中是沒有清晰界定的，而百度輸入法的條款是按照注冊信息什么情況下需要采集什么數據、設備信息什么情況下需要采集等。

這樣的描述有很大區別嗎？其實從條款描述上就知道，該條款是否有按照最新的要求進行調整描述，也間接體現了其輸入法在采集數據的授權鏈邏輯。所以這點存在風險。

3. 科大訊飛是否真的因為擴展業務功能告知及明示問題被下架？

訊飛回復中提到：訊飛輸入法老版本升級到最新10.0.20版本后，沿用老版本拼音云輸入設置選項，未彈窗提示用戶選擇是否開啟。

而《個人信息安全規范》中提到擴展業務功能的告知和明示同意的實現方法如下：a)在擴展業務功能首次使用前，應通過交互界面或設計（如彈窗、文字說明、填寫框、提示條、提示音等形式），向個人信息主體逐一告知所提供擴展業務功能及所必要收集的個人信息，并允許個人信息主體對擴展業務功能逐項選擇同意。

所以該項不合規是存在的。

4. 科大訊飛是否存在頻繁騷擾用戶授權原因被下架？

訊飛表示的：用戶在訊飛輸入法10.0.20版本中拼音云輸入彈窗提示中選擇關閉功能后，出現二次彈窗要求用戶確認。

而《個人信息安全規范》中提到個人信息主體不同意收集擴展業務功能所必要收集的個人信息的，個人信息控制者不應反復征求個人信息主體的同意。除非個人信息主體主動。

因此這個也是存在風險的，需要整改。

三、APP常犯的風險點

有關主管部門披露的幾大重點問題，App開發者和運營者可通過《App違法違規收集使用個人信息行為認定方法》《網絡安全標準實踐指南—移動互聯網應用程序（App）個人信息保護常見問題及處置指南》等相關文件，進行深入了解。

四、APP哪些情況需單獨獲取用戶授權？

為保障用戶個人信息主體的選擇同意權，我們首先需要劃分產品或服務的基本業務功能和擴展業務功能。

劃分方法如下：

• 應根據個人信息主體選擇、使用所提供產品或服務的根本期待和最主要的需求，劃定產品或服務的基本業務功能；
• 不應將改善服務質量、提升用戶體驗、研發新產品單獨作為基本業務功能；
• 將產品或服務所提供的基本業務功能之外的其他功能，劃定為擴展業務功能。

需要注意的是，擴展業務功能需單獨獲取用戶授權。擴展業務功能首次使用前，應通過交互界面或設計（如彈窗、文字說明、填寫框、提示條、提示音等方式），向用戶注意告知所提供擴展業務功能及所必要手機的個人信息，并允許用戶對擴展業務功能逐項選擇同意。

五、上了名單，但影響不大的APP做對了什么

無用戶身份授權數據下的產品功能正常使用，響應快的，功能使用與授權應該屬于弱捆綁、響應慢的，應該是設計時把身份授權數據與功能使用設置成了固定邏輯。

1. 隱私保護條款的內容按照《個人信息安全規范》的個人信息保護政策模板要求進行了細分羅列

• 業務功能一的個人信息收集使用規則
• 業務功能二的個人信息收集使用規則
• ……
• 我們如何保護您的個人信息
• 您的權利
• 我們如何處理兒童的個人信息
• 您的個人信息如何在全球范圍轉移
• 本政策如何更新
• 如何聯系我們

2. 信息采集明示告知模塊按照《個人信息安全規范》的交互式功能界面模板進行了優化

3. 基礎功能與拓展功能數據采集邊界更清晰了

基本業務功能的告知和明示同意的實現方法如下：

1）在基本業務功能開啟前（如個人信息主體初始安裝、首次使用、注冊賬號等），應通過交互界面或設計（如彈窗、文字說明、填寫框、提示條、提示音等形式），向個人信息主體告知基本業務功能所必要收集的個人信息類型，以及個人信息主體拒絕提供或拒絕同意收集將造成的影響，并通過個人信息主體對信息收集主動作出肯定性動作（如勾選、點擊“同意”或“下一步”等）征得其明示同意。

注：當產品或服務所提供的基本業務功能無需一次性全部開啟時，宜根據個人信息主體的具體使用行為逐步開啟基本業務功能，并即時完成a)的告知要求。

2）個人信息主體不同意收集基本業務功能所必要收集的個人信息的，個人信息控制者可拒絕向個人信息主體提供該業務功能。

3）所要求的交互界面或設計應方便個人信息主體再次訪問及更改其同意的范圍。

擴展業務功能的告知和明示同意的實現方法如下：

1）在擴展業務功能首次使用前，應通過交互界面或設計（如彈窗、文字說明、填寫框、提示條、提示音等形式），向個人信息主體逐一告知所提供擴展業務功能及所必要收集的個人信息，并允許個人信息主體對擴展業務功能逐項選擇同意。

2）個人信息主體不同意收集擴展業務功能所必要收集的個人信息的，個人信息控制者不應反復征求個人信息主體的同意。除非個人信息主體主動選擇開啟擴展功能，在48h內向個人信息主體征求同意的次數不應超過一次。

3）個人信息主體不同意收集擴展業務功能所必要收集的個人信息的，不應拒絕提供基本業務功能或降低基本業務功能的服務質量。

4）所要求的交互界面或設計應方便個人信息主體再次訪問及更改其同意的范圍。

六、積極整改后的APP示例

有記者通過PC端重新下載三大輸入法，發現QQ輸入法已進行了整改，其在首頁彈窗提示用戶可自主選擇“完整體驗模式”及不收集任何信息的“基礎打字模式”，其中“基礎打字模式”不收集任何數據，但會導致皮膚、表情、語音、翻譯等功能消失，而“完整體驗模式”則會“將部分拼音、文字、使用場景上傳至云端，用于‘提供更高效的輸入和表達體驗’。”

七、開發者應當如何進行合規自查？

1. 信息收集

1）詳細列舉收集和使用個人信息的業務功能，不應使用概括性語言。

2）根據不同業務功能，分別列出各業務功能所收集的個人信息類型。

3）明確描述哪些類型的個人信息屬于特定業務功能所必需的。

4）收集身份證、護照、駕駛證等法定證件信息和個人生物識別信息時，應專門提醒個人信息主體此次收集活動涉及的信息，并說明處理目的、處理規則。

5）不應使用概括性語言綜述所收集個人信息，如“我們收集您的身份等相關信息”此類描述，而應明確寫明“我們收集您的姓名、電話號碼、地址信息”。

6）說明個人信息在使用過程中涉及的地理區域，如個人信息存儲和備份的地域，個人信息傳輸過程中涉及的地域范圍；如果個人信息存在跨境傳輸情況，需單獨列出或重點標識。

7）根據個人信息的使用情況，注明不同類型個人信息預計的保留時間（如：自收集日期開始5年內）以及需要刪除或銷毀的截止日期（如：2019年12月31日或個人信息主體注銷賬戶時）。

8）確需改變信息收集和使用的目的，應當說明會征得個人信息主體的同意。

9）個人信息控制者說明是否需要共享、轉讓個人信息，并詳細描述需要共享、轉讓的個人信息類型和原因、個人信息的接收方、對接收方的約束和管理準則、接收方使用個人信息的目的、個人信息共享、轉讓過程中的安全措施，及共享、轉讓個人信息是否對個人信息主體帶來高危風險。

10）個人信息控制者說明是否需要公開披露個人信息，并詳細描述需要公開披露的個人信息類型、原因、是否對個人信息主體帶來高危風險。

11）說明何種情況下個人信息控制者會不經過個人信息主體同意，共享、轉讓和公開披露數據，如響應執法機關和政府機構的要求、進行個人信息安全審計、保護個人信息主體避免遭受欺詐和嚴重人身傷害等。

2. 信息保護

1）詳細說明個人信息控制者對個人信息進行安全保護的措施。包括但不限于個人信息完整性保護措施，個人信息傳輸、存儲和備份過程的加密措施，個人信息訪問、使用的授權和審計機制，個人信息的保留和刪除機制等。

2）目前遵循的個人信息安全協議和取得的認證。包含個人信息控制者目前主動遵循的國際或國內的個人信息安全法律、法規、標準、協議等，以及個人信息控制者目前已取得的個人信息安全相關的權威獨立機構認證。

3）應描述提供個人信息后可能存在的安全風險。

4）應表明在發生個人信息安全事件后，個人信息控制者將承擔法律責任。

5）應表明在發生個人信息安全事件后，將及時告知個人信息主體。

3. 客戶權力

1）說明個人信息主體對其個人信息擁有何種權利，內容包括但不限于：信息收集、使用和公開披露時允許個人信息主體選擇的個人信息范圍，個人信息主體所具備的訪問、更正、刪除、獲取等控制權限，個人信息主體隱私偏好設置，個人信息主體可以選擇的通信和廣告偏好，個人信息主體不再使用服務后撤回授權同意和注銷賬戶的渠道、個人信息主體進行維權的有效渠道等。

2）對于需要自行配置或操作（如對所使用的軟件、瀏覽器、移動終端等進行配置和操作）以達到訪問、更正、刪除、撤回授權同意等目的，個人信息控制者應對配置和操作的過程進行詳細說明，說明方式易于個人信息主體理解，必要時提供技術支持的渠道（客服電話、在線客服等）。

3）如果個人信息主體行使權利的過程產生費用，需明確說明收費的原因和依據。

4）如果個人信息主體提出行使權利的需求后需要較長時間才能響應，需明確說明響應的時間節點，以及無法短時間內響應的原因。

5）如果個人信息主體行使權利的過程需要再次驗證身份，需明確說明驗證身份的原因，并采取適當的控制措施，避免驗證身份過程中造成的個人信息泄露。

6）如果個人信息控制者拒絕個人信息主體對個人信息進行訪問、更正、刪除、撤回授權同意等的要求，需明確說明拒絕的原因和依據。

八、結合相關法律法規及本次事件的看法

1. 對輸入法行業的影響

Mob研究院發布了《2020中國第三方輸入法行業洞察》（下稱《報告》），就對今年以來輸入法行業的脈絡進行了全面梳理。

目前，我國的第三方輸入行業已邁入成熟發展期，行業整體活躍用戶規模突破7億，安裝使用率超過80%，其中語音輸入用戶規模高達2.5億。同時《報告》顯示，互聯網玩家的入局第三方輸入法加速了行業發展，搜狗、訊飛和百度現已形成寡頭壟斷的市場局面。

百度以“全感官輸入”讓輸入法更好玩，訊飛輸入法則選擇市場下沉，而搜狗作為行業的“老大哥”，以最早進軍輸入法行業獲得先發優勢，重點布局AI功能，為用戶打造千人千面的個性化服務，達到了整體滿意度約70%的優秀成績，居市場產占有率排行首位。

前三的輸入法，訊飛和搜狗均被下架，百度應該在這次的行情中稍微利好，因為輸入法已進入存量市場搶奪階段，新增下載量其實不會很多。但還在使用被下架的輸入法的群體，大部分會對信息安全可能有很大感觸，特別是手握訊飛股票的群體會存在一定的恐慌，所以訊飛的股價會下調也不意外。

輸入法三巨頭，訊飛其實非常依賴于輸入法的占有率，因為這是訊飛核心的用戶群體畫像及語音語料的來源，人工智能的發展拼的除了技術就是數據。而且輸入法的占有率會直接影響其在移動端的業務擴展的想象空間，這是上市公司進行市值管理的重要戰略布局。

而百度和搜狗，除了輸入法，其還有搜索引擎。輸入法的缺失會導致語音這塊的數據采集缺失，但文字內容還是可以獲取。群體偏好標簽數據不會缺失嚴重。而這些數據是支持各輸入法進行精準廣告業務推送的核心信息。

搜狗輸入法廣告業務示例：

另外從訊飛2020年年報中可以看到其輸入法二期還在研發中，屬于重點投入板塊。因此借著這次的APP的整頓，訊飛對于輸入法產品架構及數據架構重新調整、后續如何契合監管要求應該會空前重視。

2. 對其他APP的影響

根據《常見類型移動互聯網應用程序必要個人信息范圍規定》的要求，對39類APP的必要個人信息采集范圍做了限定，其中有13類APP基本功能是無需信息的。交通票務類、投資理財及手機銀行類獲取數據字段最多。

理論上基礎功能可以獲取的信息范圍越多，數據類型越多，那這個APP的價值其實也就更大。而基礎功能無法獲取數據或者獲得較少數據的APP，只能通過增加擴展業務功能來提升數據維度。想通過隨便搞個APP肆無忌憚的收集用戶敏感數據的時代已不在。

九、附件

1. 個人信息及敏感信息

1）個人信息

是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯系方式、通信記錄和內容、賬號密碼、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。

個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。通常情況下，14歲以下(含)兒童的個人信息和自然人的隱私信息屬于個人敏感信息。

2）個人敏感信息

按照《GBT 35273-2017信息安全技術個人信息安全規范》解釋來說，個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。通常情況下，14歲以下（含）兒童的個人信息和自然人的隱私信息屬于個人敏感信息。

① 個人財產信息

銀行賬號、鑒別信息(口令)、存款信息（包括資金數量、支付收款記錄等）、房產信息、信貸記錄、征信信息、交易和消費記錄、流水記錄等，以及虛擬貨幣、虛擬交易、游戲類兌換碼等虛擬財產信息。

② 個人健康生理信息

個人因生病醫治等產生的相關記錄，如病癥、住院、醫囑單、檢驗報告、手術及麻醉記錄、護理記錄、用藥記錄、藥物食物過敏信息、生育信息、以往病史、診治情況、家族病史、現病史、傳染病史等，以及與個人身體健康狀況產生的相關信息等。

③ 個人生物識別信息

個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等。

④ 個人身份信息

身份證、軍官證、護照、駕駛證、工作證、社保卡、居住證等。

⑤ 網絡身份標識信息

系統賬號、郵箱地址及與前述有關的密碼、口令、口令保護答案、用戶個人數字證書等。

⑥ 其他信息

個人電話號碼、性取向、婚史、宗教信仰、未公開的違法犯罪記錄、通信記錄和內容、行蹤軌跡、網頁瀏覽記錄、住宿信息、精準定位信息等。

2. 大廠隱私條款內容參考

1）搜狗隱私條款

2）華為隱私條款

3）阿里云隱私條款

4）抖音隱私條款

3. 相關政策法規

《GB/T 35273-2020信息安全技術個人信息安全規范》

《常見類型移動互聯網應用程序必要個人信息范圍規定》

《移動互聯網應用程序個人信息保護管理暫行規定（征求意見稿）》

《App違法違規收集使用個人信息行為認定方法》

《App違法違規收集使用個人信息自評估指南》

《網絡安全標準實踐指南—移動互聯網應用程序（App）個人信息保護常見問題及處置指南》

《網絡安全實踐指南—移動互聯網應用基本業務功能必要信息規范》

《網絡安全標準實踐指南—移動互聯網應用程序（App）收集使用個人信息自評估指南(征求意見稿)》

《網絡安全標準實踐指南—移動互聯網應用程序（App）個人信息安全防范指引（征求意見稿）》

《網絡安全標準實踐指南—移動互聯網應用程序（App）系統權限申請使用指南》

《網絡安全標準實踐指南—移動互聯網應用程序（App）中的第三方軟件開發工具包（SDK）安全指引（征求意見稿）》

參考文章

1、搜狗、訊飛、QQ輸入法遭下架，它們如何竊取你的隱私？

2、觸目驚心！33款APP違法違規收集個人信息……

3、2020第三方輸入法行業洞察：搜狗輸入法市場占有率第一

4、個推合規與安全指南

#專欄作家#

大數據獵人，微信公眾號：date-hunter，人人都是產品經理專欄作家。多年金融科技行業相關戰略研究、行業分析、商業模式及產品體系研究經驗，擅長政府數據+企業數據+公開數據多源數據融合流通交易及應用。

本文原創發布于人人都是產品經理。未經許可，禁止轉載。

題圖來自 Unsplash，基于 CC0 協議