11月23日,广东通信管理局发布通报称,发现疑似存在问题App款,经核验确定问题App共88款。其中,千聊、夸克、NOW直播、唯品会、迅雷、企鹅电竞、立刷、中邮钱包、顺丰金融等被点名。
据了解,千聊由广州思坞信息科技有限公司运营,投资方包括由腾讯、创新工场等;夸克由优视科技(中国)有限公司运营,是阿里巴巴旗下的智能搜索平台;NOW直播由深圳市腾讯计算机系统有限公司(腾讯)运营,是一家直播平台。
唯品会(NYSE:VIPS)的运营主体为广州唯品会电子商务有限公司,是在美国纽交所上市的电商平台。同样的,迅雷(NASDAQNET)的主体为深圳市迅雷网文化有限公司,也是在美国纳斯达克上市的公司。
而企鹅电竞由深圳市腾讯计算机系统有限公司运营,立刷为嘉联支付有限公司旗下软件;中邮钱包为中邮消费金融旗下平台,背后的控股方为邮储银行;顺丰金融的主体为深圳市顺恒融丰投资有限公司,为顺丰控股(SZ:)旗下。
腾讯旗下3款App被通报
据了解,本次被查处的App存在两方面问题,一是App及其后台服务器存在“明文存储密码”“反编译”“SQL注入”等数据安全隐患问题;
二是违反用户个人信息保护规定,包括“未公开明示收集规则”“默认勾选同意隐私协议”“未列明所集成SDK及其采集信息”“为注销账号、删除个人信息设置障碍”“未经用户同意共享给第三方”等侵犯用户对其个人信息处理享有的知情权、决定权,以及违反最小必要原则超前、超需、超频索取权限或采集信息,甚至不给必需权限不让用等强迫行为。
综合来看,腾讯直接参与运营的共有3款App,分别是NOW直播、企鹅电竞、WiFi管家,还间接投资了千聊等。其中,千聊存在的问题是以默认方式同意隐私*策;违反必要原则:App在用户未使用相关功能或服务时,提前申请开启相机、麦克风权限等。
NOW直播存在的问题是,超范围收集个人信息:应用申请使用拍照权限,超出隐私*策用户授权范围;应用内集成多个可收集个人信息的第三方SDK,且未在隐私*策逐一说明以及是否向第三方共享信息等
企鹅电竞存在的问题是,应用内集成多个可收集个人信息的第三方SDK,且未在隐私*策逐一说明以及是否向第三方共享信息;超范围收集个人信息:应用申请使用相机权限,超出隐私*策用户授权范围等。
WiFi管家存在的问题是,账号注销难:应用内未发现注销账号功能;应用内集成多个可收集个人信息的第三方SDK,且未在隐私*策逐一说明以及是否向第三方共享信息等。
多家上市公司被点名
在广东省通信管理局通报的名单中,除了腾讯外,还有唯品会、迅雷、广州农商银行、中信证券等上市公司直接控制的平台,还有一家新三板挂牌的深圳市活力天汇科技股份有限公司旗下高铁管家。
根据通报,唯品会存在的问题包括:应用内集成多个可收集个人信息的第三方SDK,且未在隐私*策逐一说明以及是否向第三方共享信息等。同时,还存在Webview明文存储密码风险,WebviewFile同源策略绕过漏洞的情况。
此前,工信部曾通报唯品会旗下唯代购侵害用户权益,且未按时整改,最终被下架。据了解,唯代购的运营主体同样为广州唯品会电子商务有限公司。截至目前,唯品会方面并未对通报有所回应。
通报显示,迅雷存在的违规问题包括:未明确告知收集使用读取联系人权限的目的、方式、范围;隐私*策中未逐一列出第三方SDK收集个人信息的目的、方式、范围。此前,迅雷旗下迅雷直播曾遭工信部通报,存在私自收集个人信息等。
广州农商银行因“应用内集成多个可收集个人信息的第三方SDK,但未在隐私*策逐一说明是否向第三方共享信息”、“申请打开可收集个人信息的权限时,未同步告知用户其目的”等问题被通报,对应的上市公司为广州农商银行(HK:)。
中邮消费金融等上榜
贝多财经了解到,中邮消费金融(“中邮钱包”)、顺丰金融、鲸鱼阅读、立刷等也关联着上市公司。
其中,中邮钱包对应邮储银行(SH:、HK:),顺丰金融对应顺丰控股(SZ:)、鲸鱼阅读对应三六零(SH:)及鼎龙文化(SZ:),立刷对应的是新国都(SZ:)。
据了解,中邮消费金融运营的中邮钱包被指出“App存在未明确告知收集使用麦克风权限的目的、方式、范围”。业绩方面,中邮消费金融年上半年实现净利润0.49亿元,同比下降64.75%。
顺丰金融的主体为深圳市顺恒融丰投资有限公司,存在的问题包括:App未明确告知收集使用短信和日历权限的目的、方式、范围;应用内集成多个可收集个人信息的第三方SDK,且未在隐私*策逐一说明以及是否向第三方共享信息;未经用户阅读隐私*策,应用就申请获取位置信息、相机、存储、麦克风和电话状态信息权限等问题。
值得一提的是,鲸鱼阅读及立刷也曾均曾被工信管理部门通报。今年11月10日,鲸鱼阅读曾因未按时整改,被工信部通报下架,其运营主体为深圳市华阅文化传媒有限公司,属于文学旗下产品。
立刷及立刷商户版双双被通报,由嘉联支付有限公司(下称“嘉联支付”)运营。存在的问题均为:未明确告知收集使用麦克风权限的目的、方式、范围;应用内集成多个可收集个人信息的第三方SDK,且未在隐私*策逐一说明以及是否向第三方共享信息等。
此前,立刷曾因在申请打开电话、位置、存储等可收集个人信息的权限,以及收集用户身份证号、银行卡号等个人敏感信息时,未同步告知用户其目的;因用户不同意打开非必要的相机权限,拒绝提供更换头像的功能;未明示收集的用户支付宝账号、