今年1月，权威移动应用数据平台App Annie发布的《2020 年移动市场报告》显示，2019年全球网民使用量最高的应用是社交类应用，用户50%的上网时间花在社交类App上。

　　各类社交APP在方便用户沟通交流的同时，也存在侵害用户隐私安全、违规收集信息、匿名注册、欺诈诱骗各类安全问题。国家网信办等相关监管部门针对社交类APP相关违法违规问题进行过多次专项整治。

　　对照相关监管政策法规，零壹财经APP评测中心对10款常用社交APP从个人信息安全、隐私保护等10个标准进行评测，针对所评测社交APP，发现存在的主要问题包括：7款APP违反非必要原则，超范围收集信息;7款频繁申请权限;5款默认同意隐私政策等。

　　此外评测中心还整理了这10款社交APP可能获取的手机权限与个人信息，欢迎用户了解参考。

　　出品 | 零壹智库 作者 | 金融APP评测中心

　　为规范社交APP信息收集和使用、加强个人信息保护，切实维护社交APP用户合法权益，对照相关监管政策法规，零壹财经APP评测中心于2020年4月27日对包括职场社交：脉脉，陌生社交：探探、陌陌，婚恋社交：百合、花田、伊对，视频社交：映客，兴趣社交：积目、Soul,学生社交：Uki在内的10款常用社交APP进行评测。 结果显示：所有被测APP都存在不合规问题。

　　一、评测背景：监管部门针对社交类APP相关违法违规问题进行过多次专项整治

　　今年1月，权威移动应用数据平台App Annie发布的《2020 年移动市场报告》显示，2019年全球网民使用量最高的应用是社交类应用，2019年社交APP下载量达95亿次，较2017年增加25%，手机用户50%的上网时间花在社交类App上。

　　从关系链上看，社交APP可以分为熟人社交，陌生人社交两大类;从用途上看，可以分为即时通讯工具，内容/兴趣社交两大类;从功能上分，还有颜值社交、视频社交、游戏社交等。

　　较早涉足社交领域的APP在保留自身核心业务的同时，大都成长为综合性平台，依靠已有的天然流量池，向电商、娱乐、新闻等方向拓展，极大的降低引流成本。例如，拼多多的模式——低价拼团，依靠的就是微信社交流量，其成立仅三年市值已超过了京东。

　　在拓展业务边际的同时，一些社交APP侵害用户隐私安全、违规收集信息、匿名注册、欺诈诱骗各类安全问题频发。国家网信办等相关监管部门针对社交类APP相关违法违规问题进行过多次专项整治：2019年2月微信、聊天宝、多闪、马桶MT因新功能安全问题被约谈，2019年4月关停比邻、 聊聊等9款APP，2019年6月探探因内容违规而下架处理……

　　如何做到安全合规也成为各社交APP平台不容忽视的问题。

　　二、10款社交APP评测结果：所有被测APP都存在不合规问题

　　通过对10款社交APP评测发现：

　　1）所评测的10款APP都存在不合规问题；其中积目、uki评测项目不合规率达40%。

　　2）探探要求必须读取用户设备上的照片、ID等手机权限，否则App不可使用。 3）7款APP违反非必要原则，超范围收集信息。 4）7款频繁申请权限。

　　表 1: 10款社交 APP 评测结果

　　信息来源：零壹智库

　　1. 评测标准

　　本次评测主要依据GB/T 35273《信息安全技术 个人信息安全规范》、《网络安全法》、《信息安全技术 移动互联网应用程序(APP)收集个人信息基本规范》、《APP 违法违规收集使用个人信息行为认定方法》等文件，制定了 10 项评测标准：

　　无隐私政策;

　　隐私政策未在首页显示未在显著位置设置链接;

　　默认同意隐私政策;

　　未明确泄露个人信息的告知义务及需要承担的法律责任;

　　未充分明示个人信息收集使用规则;

　　违反非必要原则，超范围收集信息;

　　未提供投诉举报渠道;

　　强制用户使用推送功能;

　　频繁申请权限;

　　用户注销后，未按规定删除用户信息。

　　2. 违规案例

　　1）默认同意隐私政策

　　根据《个人信息安全规范》要求，收集个人敏感信息时，应取得个人信息主体的明示同意，确保其在完全知情的基础上自愿给出具体、清晰、明确的愿望表示，并且允许个人信息主体选择是否提供或同意自动采集。

　　评测结果显示，包括脉脉、映客等5款社交类APP存在默认同意隐私政策的问题。

　　早在2018年支付宝发布年度账单，随即刷屏社交圈。然而在账单首页，默认勾选的“我同意《芝麻服务协议》”，国家网信办就此约谈支付宝和芝麻信用的相关负责人，指出其收集使用个人信息的方式，不符合《个人信息安全规范》国家标准的要求。

　　2）频繁申请权限信息

　　根据《信息安全技术 移动互联网应用程序(APP)收集个人信息基本规范》第 4 节要求，APP 运营者不应频繁(如每 48h 超过一次)征求个人信息主体同意使用该类型服务。

　　评测结果显示，包括积目、陌陌等7款APP存在频繁申请权限信息的问题。

　　去年12月，工信部通报首批侵害用户权益行为的App，包括QQ、新浪体育、小米金融等41款知名软件，主要存在问题就包括频繁申请权限信息。

　　3）未明确泄露个人信息的告知义务及需要承担的法律责任

　　根据网络安全法规定，网络运营者泄漏、损坏、丢失个人信息的告知和报告义务;而且如果泄漏造成了损害，则需要依法承担民事责任。

　　评测显示，对于信息泄漏给用户造成损害Soul、百合婚恋等4款APP在隐私政策协议中没有明确平台应承担的民事责任。

　　4）反非必要原则，超范围收集信息

　　根据 GB/T 35273《信息安全技术 个人信息安全规范》5.2 节要求，收集个人信息需遵循最小必要原则，仅收集与其提供的服务直接相关的个人信息;《信息安全技术 移动互联网应用程序(APP)收集个人信息基本规范》第 4 节要求，APP 运营者不应收集不可变更的设备唯一标识(如 IMEI 号、MAC 地址等)，用于保障网络安全或运营安全的除外。

　　评测显示，探探、uki、伊对等7款APP存在反非必要原则，超范围收集信息的问题，其中探探在不授权手机ID等非必要原则信息的情况下无法使用。

　　《信息安全技术 移动互联网应用程序(APP)收集个人信息基本规范》针对社交类型的 APP 明确列出了最小必要信息收集范围。

　　表 2：社交类app的最小必要信息

　　信息来源：《信息安全技术 移动互联网应用程序（APP）收集个人信息基本规范》

　　三、10款社交APP可能获取的手机权限与个人信息

　　移动互联网的基本盈利模式，是APP过度收集用户信息的根本原因，除用于其自身业务场景外，个别违规平台会把超范围获取的数据在未经用户同意的情况下，授权给相关利益方，用于精准营销、大数据杀熟、诈骗等，对用户的生活造成了侵扰，甚至财产造成损失。

　　用户在个人信息泄露情况发生后，多数主动维权意识不高。即便有自我保护意识，但不知如何有效地保护自己，更没有认真阅读App的应用权限和用户协议或隐私政策说明，了解操作注意事项，所授权项目、信息等。

　　零壹APP评测中心整理了本期10款社交APP可能获取的手机权限与个人信息，欢迎用户了解参考。

　　表 3：社交类app获取的手机权限与个人信息

　　信息来源：零壹智库

文章来源:零壹财经