只是领个优惠券,却被收集28项信息?相关电商称正在排查错误
近日,有网友投诉在电商平台上领优惠券,却被要求授权28项信息,其中不乏通讯录、地理位置等个人敏感信息。
电商平台回应称,上述权限获取的接口是面向店铺的,实际上并没有唤起用户手机的敏感权限。专家表示,虽然可能是技术上的失误,但不排除有目的收集个人信息的可能性。
前几日,有网友向隐私护卫队爆料称,其在某电商平台“拉面说”店铺中领取“关注店铺有礼”活动的优惠券时,会跳转到一个第三方服务——“超级店长”的授权页面。该页面要求用户授权超级店长收集28项信息,否则无法领取。
隐私护卫队注意到,超级店长收集的用户个人信息包括用户名、头像、设备传感器、平台账号基本信息、手机通讯录、地理位置等。
此外,要求用户授权的信息还有“读取或更新您店铺的商品数据”、“读取或更新您店铺会员信息”、“读取或更新您的多媒体文件信息”等,这些信息看似并不是针对用户,而是针对店铺的。
2月24日下午,隐私护卫队再次点开“拉面说”店铺时,已经找不到“关注店铺有礼”的活动页面。该店铺客服人员表示,该活动已经下架。
随后,隐私护卫队在该电商平台上又发现另一家名为“喵汪江湖Airpet”的店铺,该店铺也有“关注领券”的活动,用户点击进入后即可关注店铺并领取3元优惠券,但前提也是要用户授权超级店长收集信息,和“拉面说”要求授权的信息完全一致。
在领券弹窗的下方,两家店铺均显示了电商平台的《授权须知》链接。须知规定,用户完成授权后,即视为用户同意和授权第三方软件使用电商平台数据接口调用用户账号的相关信息和数据,平台不承担任何责任。
据了解,超级店长这类第三方服务是电商经营网店常用的工具,主要功能是分析用户数据、形成用户画像、提供管理营销网店的手段等。
在电商卖家的服务市场平台上,隐私护卫队注意到,超级店长累计服务的商家有95.9万,以服装、软装生活、百货和食品类居多。其功能包括促销管理、订单管理、营销推广等。
“关注有礼”属于营销的一种玩法,作用是“暴涨粉丝提权重”。据了解,权重可以理解为电商平台对店铺的排名依据,权重越高,在搜索排名中越靠前,自然越容易获得销量。
隐私护卫队发现,超级店长针对不同的电商平台开发了不同版本,“关注有礼”这项功能只在一些特定的电商平台上有。
对于通过用户授权来获取个人信息的做法,以及获取这些信息的原因,超级店长的客服人员告诉隐私护卫队,“是上面(电商平台)规定的,其他软件(第三方服务)也是一样的。”
隐私护卫队注意到,在电商卖家的服务市场平台上,和超级店长有类似功能的服务还包括美折、生意参谋、收藏大师、无线宝箱等,大部分有“关注有礼”、“收藏有礼”的功能,也都需要用户授权,但并未出现像超级店长一样,会获取28项信息的情况。
以“无线宝箱”为例,当用户打开“洁柔”店铺的“关注有礼”活动时,用户授权弹窗弹出,但只要求获取“用户的抽奖权限”。
只是领个优惠券,为什么要收集这么多个人信息?
上述电商平台的工作人员回应称,这个获取权限的接口是用于商家与受其委托处理数据的ISV(独立软件开发商,在这里指第三方服务)之间的,不是面向消费者的。其中,涉及的用户名、账号、相关设备权限等也是基于商家账号维度的,是商家将其合法获取的数据委托给ISV处理的。
同时,上述工作人员还表示,即便用户点击授权后,这部分授权不会唤起任何操作系统的位置信息、通讯录信息等敏感权限授权,对用户App获取的操作系统权限没有任何影响。
换言之,用户授权第三方服务使用的信息,是电商平台已有的相关数据(既包括用户的信息也包括店铺的信息),用户手机里的敏感权限也不会真正被唤起和执行。
隐私护卫队注意到,该电商平台在隐私政策中写道,“授权合作伙伴只能接触到其履行职责所需信息”,那么以上第三方服务收集的用户地理位置、通讯录信息是履行职责所需吗?
对外经济贸易大学数字经济与法律创新研究中心执行主任许可认为,虽然这很可能是技术上的操作失误,但也不排除有目的地去收集用户信息的可能性。其中,对通讯录和地理位置信息的收集,就属于过度索权。
中国信息安全研究院副院长左晓栋则表示,上述第三方服务的做法违反了《网络安全法》的第41条——收集个人信息应该遵循合法、正当、必要的原则。
中国电子技术标准化研究院信息安全研究中心审查部总监何延哲告诉隐私护卫队,超级店长的另一个问题在于只告知了提供信息的类型,却未告知其目的。而且,授权页面的界面设计让用户阅读不便,内容很长,却只有两三行字滚动显示。
在去年10月出台的《信息安全技术 个人信息安全规范(征求意见稿)》 中规定,平台要确保第三方接入的服务在个人信息收集和使用方面要符合要求。
许可认为,电商平台对第三方服务有管理的义务。从事前的角度看,平台应该有自己的隐私政策,并且确保第三方遵守自己的隐私政策;从事中来看,平台要去审查第三方服务是不是符合其制定的规则,以及第三方的弹窗和告知是否按规定和用户发生交互;从事后角度来说,如果用户发现被侵犯权益的地方,平台应该有直接的渠道让用户进行反馈,并及时处理。
电商平台的工作人员表示,目前业务上也会考虑抓紧排查同类型错误,不再出现这种问题。
采写:南都个人信息保护研究中心研究员 李慧琪 潘颖欣
编辑:蒋琳
banquan@nandu.cc. 020-87006626
