自己开发购物app：个人信息收集与监管创新模式 10款购物APP位置、剪贴板等调用权限一目了然

21世纪经济报道记者王军实习生谭鑫北京报道

在购物下单场景中，手机天猫调用的系统权限最多的有3种。 苏宁易购调用系统权限次数最多，调用位置权限255次； 4大类，苏宁易购调用系统权限最多，高达1199次……这是中国网络空间安全协会、国家计算机网络应急技术协调中心为“网购“ 民众。 有关测试报告状况的信息。

与以往官方点名报告不同的是，本次测试报告将对启动APP、搜索商品、购物下单、后台静音等常见场景下的系统权限调用、个人信息上传、网络上传流量情况进行说明，一一个。 个人信息收集情况一目了然。

近年来，随着法律法规的不断完善和App治理的深入，App个人信息的处理也逐渐趋于规范，尤其是主流App的合规工作日趋完善。 主流购物APP进行了横向比较，创新了监管模式。 该报告由中国国家互联网信息办公室转载。 受访专家认为，APP治理可以算是一个小进步，从只关注收集什么，到有些情况下收集多少。 这份报告是一种催促，也是一种通知。

4种使用场景中，苏宁易购调用系统权限次数最多

本次测试选取了19家应用商店累计下载量排名前10的“网购”应用。 这10款App分别是淘宝、京东、拼多多、华为商城、唯品会、淘特、手机天猫、苏宁易购、荣耀个人精选、当当网。

测试以完成一次网购活动为测试单元，包括启动App、搜索商品、下单购物三种用户使用场景，以及后台静默应用场景。

位置、设备信息、剪贴板和应用程序列表是常见的调用类型。 10款APP在上述4种场景下均未发现摄像头、麦克风、联系人等其他权限。

经测试，在搜索商品的场景中，淘宝调用位置权限8次，设备信息权限8次，剪贴板权限1次，苏宁易购调用系统权限最多。 152个位置权限。

下单购物时，手机天猫使用的系统权限种类最多，有通话位置权限、设备信息权限、剪贴板权限。 苏宁易购调用位置权限251次，调用应用列表权限4次。

关于个人信息的上传自己开发购物app，测试发现，在应用启动场景中，拼多多上传的个人信息类型最多，包括位置信息、唯一设备识别码、剪贴板内容信息、应用列表信息四类； 在搜索商品场景中自己开发购物app，拼多多和手机天猫上传的个人信息种类最多，包括位置信息、唯一设备识别码、剪贴板内容信息、购物信息等。

位置信息的权限调用和上传在实践中受到了很多关注。 北京理工大学法学院助理教授、智能科技风险法律防控实验室副研究员裴毅解释说，位置信息不仅是个人信息，也是个人敏感信息，在某些情况下它可以成为重要的数据。 为了保护个人隐私，避免更严重的数据泄露，对App的监管应该是：完全禁用位置跟踪； 明确要求用户决定是否启用位置跟踪。 然而，在现实中，这种强大的禁用是很难实现的。 第一，技术本身实现难度大； 其次，由于位置信息的收集本身也是提供更好、更个性化服务的前提，完全禁用位置信息可能会降低部分功能。 完全实现。

她提到，在现实中，IOS系统基本上可以通过弹窗通知的方式清楚地告知用户，但由于其开源性，系统很难对所有应用做出强制性要求，因为 API本身允许应用程序获取有关基站/WiFi 热点的信息意味着可以绕过用户同意获取位置信息。

读取剪贴板的问题也备受关注。 一些监控用户手机剪贴板的APP被曝光，成为热搜。 司法实践中也有相关判例。

剪贴板相当于一个“公共场所”。 当用户进行复制/粘贴操作时，跨平台操作可能存在信息泄露的风险。 裴毅指出，如果剪贴板被缓存，缓存后不及时删除，甚至用于其他用途，则属于超出知情同意范围的使用，也违反了最低必要性和最低限度存储时间; 用户分享链接、密码等操作中大量信息被切入。 此时，为了操作的方便，用户实际上更希望多次重复使用剪切复制的信息。 App可以辩称这是用户授权的使用，但用户实际上并未意识到该行为可能带来的个人信息泄露风险。

裴毅认为，App应该明确告知用户可能存在的切入行为风险，比如至少像iOS系统一样，弹窗会显示“xx app正在粘贴从xx（另一软件）复制的内容”，否则将成为合规风险，将法律风险转移给普通用户。

拼多多和当当在后台静默期间调用应用列表权限

测试结果显示，在后台静默场景下，拼多多调用了最多的系统权限类型，调用了4种：位置权限（39次）、设备信息权限（8次）、剪贴板权限（1次）、应用列表权限（1次）; 系统权限调用次数最多的是苏宁易购，调用位置权限1199次。

在后台静默场景中，拼多多上传的个人信息类型最多，上传了唯一设备识别码、剪贴板内容信息和应用列表信息； 当当网随后上传了唯一设备识别码和应用列表信息，华为商城、唯品会汇汇和荣耀个人精选没有上传个人信息。

值得注意的是，拼多多和当当网还在后台静默期间调用应用列表权限。 北京商银科技有限公司CEO张仁卓提到，合理的原因是为了相关应用的快速启动，比如相关支付的快速启动。 当然，也可能有隐藏的原因，比如联想激活、相互觉醒； 信息流的相互交换和推荐； 甚至用户画像。

App治理监管更细 督促企业升级个人信息保护

“调用次数不一定能直接说明问题，还得通过具体的应用场景来确认是否合规。” 受访专家均表示。

近年来，随着法律法规的完善和App治理的不断深入，App个人信息处理逐渐规范，尤其是主流App合规工作日趋完善。

2017年，中央网信办等四部门联合开展隐私条款专项工作，对微信、淘宝等10个网络产品和服务的隐私条款进行清理整顿。 当时，大多数应用程序甚至无法遵守基本的隐私政策。

从那时起，治理范围已扩展到应用程序收集个人信息的方式。 个人信息范围的合理性和必要性、用户同意的落实成为治理重点。 2019年1月，中央网信办、工业和信息化部、公安部、市场监管总局联合发布《关于开展APP违法收集使用专项治理工作的公告》个人信息”，并在全国范围内组织开展违法违规APP清查工作。 对个人信息使用行为进行专项治理，成立APP违规收集、使用个人信息行为专项治理工作组。

2021年以来，国家网信办、工业和信息化部定期通报违法违规收集个人信息的应用程序和侵犯用户权益的应用程序名单。 工信部还将通报侵权SDK情况。 App的治理工作更加密集，监管触摸场景更加细化。

随着治理的逐步深入，行业整体个人信息保护合规水平得到提升。 本次测试结果公布。 张仁卓认为，App治理可以算是一个小进步，从只关注收什么，到有些情况下收多少。

虽然是客观评价而不是行政处罚决定，但裴毅认为，评价报告是一种监督，一种通报：执法部门可以获得平台的真实合规情况，请尽快整改有可能，不要冒险。

更多内容请下载21财经APP

Tags： 自己开发购物app 

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处“来源演示站”。