5月1日，由国家市场监督管理总局制定出台的《网络交易监督管理办法》（以下简称“《办法》”）将正式实施。

《办法》规定，网络交易经营者不得采用一次概括授权等方式，强迫消费者同意收集、使用与经营活动无直接关系的信息。收集、使用个人生物特征、医疗健康、金融账户等敏感信息的，应当逐项取得消费者同意。

南都记者抽取了十款金融类、人脸识别类、医疗健康类App进行测评。结果显示，八成被测App没有逐项取得消费者同意，便直接收集上述敏感信息。另外，三成被测App存在强制授权的情况。

当你刚刚安装好一款App，第一次打开时它便向你索取各种权限。而你只有两种选择——要么全盘接受，要么退出不用。许多人都曾遇到过“一揽子授权”和“不授权就退出”的问题，甚至有网友调侃，“这是强盗行为”。

去年12月，南都个人信息保护课题组发布《个人信息安全年度报告》显示，上述现象依然存在。比如小猪民宿App强制获取定位权限，否则无法使用。陌恋同城聊天交友App首次打开会一次性申请四个权限，全部拒绝后无法使用。

对此，《办法》规定，网络交易经营者不得采用一次概括授权、默认授权、与其他授权捆绑、停止安装使用等方式，强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息。

南都记者实测发现，十款App均不存在一次概括授权的情况。但有三成被测App都强制要求用户授权，包括拍拍贷（v9.4.7）、袋鼠校园（v2.5.0）、窥小查人脸识别（1.0.0）。

如窥小查人脸识别App要求访问用户设备上的照片、媒体内容和文件时，一旦用户选择禁止，则会出现另一弹窗——“应用保存运行状态等信息，需要获取读写手机存储（系统提示为访问设备上的照片、媒体内容和文件）权限，请允许。”如用户拒绝，则会被强制退出应用。

图：窥小查人脸识别App存在“不授权就退出”的情况。

人脸信息、医疗健康类数据、金融账户这类敏感信息一旦遭到泄露，可能会对当事人造成严重影响。疫情期间，新冠患者隐私泄露事件时有发生。而隐私泄露对于新冠患者而言，无疑是“雪上加霜”——患者在忍受病痛带来折磨的同时，还要面对网络上的歧视与谩骂。

南都记者注意到，个人信息保护法草案单独设立敏感个人信息的处理规则章节，其中明确，基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。

反观《办法》，市场监管总局网监司负责人曾表示，强化网络消费者个人信息保护是《办法》的一个突出亮点。

《办法》规定，网络交易经营者应遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的，网络交易经营者应当逐项取得消费者同意。

然而，南都记者实测发现，本次被测App大多无单独协议取得用户同意，便收集敏感信息。仅有两成App在收集用户敏感信息有单独的协议获取用户同意。 比如云闪付（8.3.2）和京东金融（6.1.41）。

图：云闪付App在收集人脸信息、金融信息时有单独的协议获取用户同意。

此外，《办法》还规定，网络交易经营者及其工作人员应当对收集的个人信息严格保密，除依法配合监管执法活动外，未经被收集者授权同意，不得向包括关联方在内的任何第三方提供。

值得注意的是，十款被测App均有隐私政策，且大多在隐私政策中详细告知了收集、使用信息的目的、方式和范围，并说明了与第三方共享的情况，做出了保护用户个人信息的承诺。不过，教务宝（v10.25.2）（2583）仍未详细告知收集、使用信息的目的、方式和范围，教务宝与窥小查人脸识别未详细说明与第三方共享情况。

出品：南都个人信息保护课题组
采写：南都个人信息保护研究中心研究员 孙朝 尤一炜 樊文扬 王子黎

编辑：蒋琳

对这篇文章有想法？跟我聊聊吧

尤一炜

樊文扬

王子黎

蒋琳