實測30款兒童APP:9款存隱私規範瑕疵

8月23日,國家互聯網信息辦公室發佈《兒童個人信息網絡保護規定》,將自2019年10月1日起施行。這意味着我國針對兒童的信息保護制度又完善了一步。

該規定爲5月31日網信辦發佈《兒童個人信息網絡保護規定(徵求意見稿)》向社會公開徵求意見後出臺的正式版。規定強調,網絡運營者應當設置專門的兒童個人信息保護規則用戶協議;網絡運營者收集、使用、轉移、披露兒童個人信息的,應當以顯著、清晰的方式告知兒童監護人,並應當徵得兒童監護人的同意;網絡運營者徵得同意時,應當同時提供拒絕選項等。

京報記者發現,目前大部分APP會以提示隱私協議的方式向用戶介紹其信息收集方式。結合該規定,即APP在收集兒童信息時,需設置有隱私協議,且該協議需徵得兒童監護人同意,APP不得強制收集信息。

依據以上原則,新京報記者在9月3日至9月8日期間測試了30款針對兒童使用的APP,發現其中有9款在兒童信息保護方面存在瑕疵,包括沒有隱私協議、沒有兒童監護人同意選項等。

“該規定的出臺非常及時和必要。不過對於兒童信息保護仍然存在幾個難點,因爲現在許多兒童都通過父母手機來使用APP,怎樣識別什麼屬於‘兒童信息’,以及監護人明示同意制度是否有必要進行更加細化的分級,這些都需要討論。”中國人民大學法學院副教授丁曉東對新京報記者表示。

13款兒童APP索取位置權限

快樂小雞小盒學生強制索權

9月3日至9月8日,新京報記者測試30款兒童APP發現,有2個APP涉及強制授權,6個無隱私協議,2個有隱私協議但沒有監護人授權。由於有的APP同時存在兩個問題,最終一共有9款APP在隱私規範上存在瑕疵。

這30款APP中,伴魚繪本凱叔講故事等15款APP爲七麥數據公佈的“iOS免費榜排行”中排行前15的APP,兒歌多多、快樂小雞等15款APP則是在華爲應用市場“兒童”分類專區的熱門推薦中選出,二者分別代表了iOS系統和安卓系統中兒童使用較多的APP。

新京報記者測試發現,在強制授權上,絕大多數兒童APP均能做到對收集的信息進行明示提醒並給用戶提供可拒絕選項。如寶寶英語索取相機和錄音權限,被拒絕後提示“需要這些權限才能讓程序正常運行”,少兒趣配音在文件訪問權限被拒絕後提示“拒絕將會導致APP無法正常使用”,不過上述APP在拒絕授予權限後,仍可打開。

上述30款APP中,快樂小雞在安裝之時就索取了儲存與地理位置權限,用戶若選擇拒絕就無法安裝。而小盒學生則在安裝之後首次打開時提示索取存儲、位置、電話、拍照、麥克風權限,若拒絕就無法使用。對比來看,小盒學生有較爲完善的隱私協議並要求填寫“你或者爸爸媽媽的手機號”,快樂小雞則較爲簡單,沒有隱私協議。

根據APP專項治理工作組發佈的《APP申請安卓系統權限機制分析與建議》,APP不應採用“一攬子打包”“默認打開”“強制捆綁”“私自更改”“頻繁打擾”等方式徵得用戶同意獲取權限,如“在APP安裝時一次性申請多項或所有危險權限的授權,並在打開APP後權限均爲默認開啓狀態”。

記者登錄“快樂小雞”,在該APP中未發現與地理位置相關的功能。實際上,有多款兒童APP均索取了地理位置權限,如時尚小公主、奇妙的怪物朋友等,但這些APP均提供了拒絕選項,並非強制安裝。

需要注意的是,根據《網絡安全法》第四十一條規定,網絡運營者不得收集與其提供的服務無關的個人信息。但對於兒童類APP中何種信息屬於“與其提供的服務無關”,目前尚未有明確的標準出臺。此前,全國信息安全標準化技術委員會曾發佈《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規範》,依據個人信息收集最少夠用的原則以及不同種類APP的業務範圍,對地圖導航、網上購物、餐飲外賣等16類APP收集個人信息的範圍給出了參考,但目前尚無針對兒童APP的明確標準。

不過僅從APP要求索取的權限來看,30款兒童APP中有13款索取了地理位置權限,地理位置是兒童APP最愛收集的涉敏感權限。

6款兒童APP無隱私協議,

8款未設置監護人同意選項

《兒童個人信息網絡保護規定》強調,APP在收集、使用、轉移、披露兒童個人信息時,應當徵得兒童監護人的同意。目前,在記者的測試中,共有8款APP在隱私條款或運行界面中沒有監護人同意的設置。

其中,有6款APP直接沒有隱私條款的設置,包括可可寶貝人教版小學英語、寶寶愛連線、小企鵝樂園、快樂小雞、DIY史萊姆製造者。其中,人教版小學英語或爲配合教程使用的輔助APP,而寶寶愛連線、DIY史萊姆製造者等爲功能較爲單一的遊戲類APP,不過可可寶貝獲取了電話、照片等敏感權限,卻沒有隱私條款,存在的隱私規範瑕疵較大。

此外,少兒趣配音與曉黑板2款APP雖然具備隱私政策,但沒有監護人授權的選項。因此共有8款兒童APP沒有“徵得監護人同意”的設置。

新京報記者發現,測試的30款兒童APP中,監護人同意的表述大部分都寫在隱私協議中,如寶寶玩英語在其隱私政策中表示,“若您是18週歲以下的未成年人,請在您的父母或監護人的指導下仔細閱讀本《隱私政策》,並在徵得您的父母或監護人同意的前提下提交您的個人信息。”而少數APP具備家長設置兒童使用時間,以及通過算術題驗證的方式驗證家長身份等。

對於兒童類APP“監護人同意”選項的設置方式,目前也有一些不同的聲音。有不願具名的早教類APP從業者對新京報記者表示,在實際操作中,“徵得監護人同意”的規定“較爲死板”,“一般小孩子玩的APP都是家長給下載好的,手機也是家長的,再在APP裡寫一則隱私協議並標註‘監護人同意’也就是爲了合規,即便寫了,也懷疑家長會真正閱讀。”她認爲,一些規則較爲簡單的兒童遊戲APP的界面設計“非常簡單,並不收集兒童信息,但再強行放置一個隱私協議或家長需知,有些沒有必要”。

其認爲,“通過做算術題或者填成語的方式驗證家長身份比在隱私協議中標明家長需知更加能確保APP收集信息的行爲真正被監護人而不是兒童知曉。”

對此,中國人民大學法學院副教授丁曉東表示,在兒童領域,難點在於監護人同意的設置是否可以真正起到這個作用。“因爲通知權限本身就容易被用戶忽略,如果普通用戶在使用APP時已經習慣點擊同意權限申請了,那麼可以合理懷疑兒童使用APP時,同樣是普通用戶的父母會不會更加在意。”

實際上,國外也有類似的“監護人同意”制度。如美國於1998年通過了《兒童網絡隱私保護法》(COPPA),而聯邦貿易委員會(FTC)則負責兒童網絡隱私保護的執法。COPPA確定的重要原則就是要求特定網站和網絡服務在收集、使用或透露不滿13歲兒童個人信息前應履行“通知並取得同意”義務,即通知兒童父母並取得父母同意的事先義務。

在丁曉東看來,APP採取“在產品開發和商業模式上做設計”的方式來進行兒童信息隱私保護可能會更爲合理。比如,廣告個性化推薦,應當對相關算法進行人工優化,避免對兒童進行個性化推薦。換句話說,就是對風險的控制應當在產品開發設計和商業模式規劃階段就考慮到,而不是通過監護人的同意機制來實現。

綜合類APP保護兒童信息陷困境

目前,對APP用戶年齡最精確的統計方式是直接統計APP註冊用戶的年齡信息,但多個專家對新京報記者表示,對於兒童,這種方法無法做到。

有從事APP大數據統計的人士對新京報記者表示,此次新規規定了APP在收集兒童信息時的注意事項,但實際上,絕大多數APP都不可避免的有兒童用戶,此時如何判斷用戶爲兒童是一大難點。“例如我們可以統計手機註冊用戶的年齡,但14歲以下的兒童基本沒有手機,都是使用大人的,此時APP也不知道對方的真實身份,因此難以統計。”

因此,在此次測試中,新京報記者採用在各大APP商店中標明“兒童”標籤且排名靠前的APP作爲測試標的。但對於主要用戶是成年人,但也有兒童使用的APP,《兒童個人信息網絡保護規定》應如何發揮作用呢?

目前,多個國內熱門APP均上線了“青少年模式”,如bilibili在首頁會彈出進入青少年模式的彈窗,但對於此類用戶涵蓋兒童及成人的APP,《兒童個人信息網絡保護規定》在實際操作方面或將遭遇難題

“這是因爲,在現實生活中,識別兒童很容易,禁止兒童購買菸酒也容易做到。但在網絡上,對兒童的個人信息保護較爲困難,商家很難在線上辨識用戶是否爲兒童,以及它收集的信息是否爲兒童信息。”丁曉東表示。

中國互聯網絡信息中心(CNNIC)發佈的第44次《中國互聯網絡發展狀況統計報告》顯示,截至2019年6月,我國網民規模達8.54億,其中10歲以下網民佔比4.0%,10-19歲網民佔比16.9%。

事實上,有不少家長向新京報記者反映,孩子喜歡用自己的手機“玩吃雞、刷抖音”等,對手機裡的APP“比家長還懂”。此時,APP爲進行定推收集到的信息是否屬於兒童信息就容易引起爭議。

收集兒童信息以判斷兒童身份或增加問題

新京報記者測試發現,目前兒童類APP主要分兩類:遊戲類與學習類。

其中,針對遊戲類兒童APP的規定實際早已有之。如2017年發佈的《未成年人網絡保護條例(送審稿)》第二十二條規定,“網絡信息服務提供者提供網絡遊戲服務的,應當要求網絡遊戲用戶提供真實身份信息進行註冊,有效識別未成年人用戶,並妥善保存用戶註冊信息。國家鼓勵網絡遊戲服務提供者根據國家有關規定和標準開發網絡遊戲產品年齡認證和識別系統軟件。”

北京青少年法律援助研究中心2019年8月發佈《中國未成年人網絡保護法律政策研究報告》指出,自2012年起,《全國人民代表大會常務委員會關於加強網絡信息保護的決定》《網絡安全法》以及國家互聯網信息辦公室發佈的規章等逐步要求“信息發佈、即時通訊等服務”,通過“後臺實名、前臺自願”的方式獲取用戶的真實身份信息。中國網絡視聽節目服務協會於2019年1月發佈的《網絡短視頻平臺管理規範》也明確提出要求網絡短視頻平臺採用“用戶畫像、人臉識別、指紋識別等”新技術手段來落實賬戶實名制的要求。

北京青少年法律援助與研究中心對新京報記者表示,從上述法律政策要求可以看出,我國未成年人網絡保護立法政策的基礎是身份識別,“爲了加強對未成年人的網絡保護,我們首先強化了對其個人信息的收集,通過收集其各種信息以確認其是未成年人,千方百計避免未成年人虛報年齡以逃避特殊保護。但在收集兒童信息方面,必須提出的問題是:這個收集信息的過程也許就成爲侵害未成年人隱私權的過程,就埋下了未成年人隱私權受到嚴重侵害的風險。”

在此次30款兒童APP測試中,新京報記者並未發現有遊戲APP要求對兒童進行信息註冊。目前,在實名註冊方面做得較爲完善的遊戲APP包括王者榮耀、和平精英等,但這些APP的主要用戶爲成年人。

對此,騰訊守護者計劃對新京報記者表示,其用戶中也不乏使用家長手機進行註冊並遊戲的未成年人,而對於這批用戶,騰訊採取一定的算法來進行識別,“比如查看用戶的遊戲時長以及操作習慣等,對判斷爲未成年人的用戶,也會採取相對應的措施。”

不過,通過收集註冊信息來判斷兒童身份或許會帶來負面影響。如2011年韓國國會通過了《未成年人保護法》,規定互聯網遊戲運營者向不滿16週歲的未成年人提供互聯網遊戲服務的,應當徵得其監護人的同意,且0點至6點之間,互聯網遊戲運營者不得向不滿16週歲的未成年人提供互聯網遊戲服務。但根據韓國產業研究2014年的“文化產業全球競爭力提高方案”報告,推行遊戲宵禁制度之後,青少年每日玩遊戲的時間雖然減少了約16到20分鐘,但這項制度也使40%的青少年通過盜用身份證號碼的方式玩遊戲,從而導致他們可能更多地接觸面向成人的遊戲。另外未滿16歲的未成年人需要監護人的同意才能註冊遊戲賬號,因此遊戲公司需花高額費用建構個人信息收集系統,用於收集監護人的個人信息。這導致如何有效保護這些監護人的個人信息不被泄露成爲了另外一個難題。

北京青少年法律援助與研究中心呼籲,目前未成年人網絡保護問題上存在多重視角,政府希望通過推動立法、制定政策,不僅督促企業承擔更多責任,也希望家長、學校發揮起有效作用;越來越多企業在承認自身要承擔更多責任基礎上,也希望政府、家長、學校要積極履責。因此對此問題,亟需多方共治。