消費者李女士在操作北京公交APP退卡時發(fā)現��,電子公交卡不僅要收取20元服務費����,而且在退余款及服務費時�,不僅被指定單一退款渠道,還被索取支付寶昵稱�����、頭像和姓名�、手機號�����、證件號碼等隱私信息。
記者調查發(fā)現���,上述問題并非個案。這些操作是否屬于APP過度索權?是否侵犯了APP用戶的選擇權?是否存在亂收費?在工業(yè)和信息化部重拳整治APP亂象的今天����,這些問題亟待厘清。
APP收集信息令人擔憂
李女士在給新手機導入北京公交APP時���,由于搞不懂同步步驟��,用戶信息不能同步����,導致新手機無法刷卡�。她想退卡,然后在新手機中再充值���。但退卡時李女士發(fā)現�,該APP退款時要求用戶綁定支付寶賬號作為唯一的退款渠道;在獲取權限時,除了要求提供支付寶賬號的昵稱��、頭像���、性別��、地區(qū)和用戶狀態(tài)外���,還要求獲取用戶的姓名���、手機號和證件號碼等個人隱私權限�,否則無法退卡。而且李女士此時才發(fā)現��,北京公交APP居然還收取了20元服務費����。“過去用實物卡收工本費還可以理解���,現在電子卡竟然還要收服務費����,雖然電子服務也有成本,但預付費乘車本來就有很大的資金沉淀�����,何況電子卡服務成本攤下來非常低���,太不合理了��?!崩钆空f。
記者調查發(fā)現類似情況并不少見��。例如����,北京一位用戶春節(jié)期間在花點時間APP購花,其中一枝單獨包裝的名貴花卉凍傷���,用戶要求退賠償款時,花點時間APP客服也是做如上要求���。而且店里報價幾十元的花����,退款時只退4元錢�����?��?紤]到個人信息泄露的風險����,用戶放棄了4元錢���。
記者在體驗北京公交APP時發(fā)現�����,更換手機時的信息導入流程設置不夠清晰明了���,普通用戶很難搞明白。而上述兩個APP的費用問題���,也都沒有找到明確的依據�����。
對此,有用戶質疑支付時都是使用微信支付�����,為何不能原路退款?
APP申請的權限是否違反了工信部的收集個人信息最小必要原則?為何只能支付寶退還?如果用戶沒有支付寶�����,就無法實現退款��,這是否侵犯了用戶選擇權?此外,電子公交卡本身就是預付款消費��,為何還要收取服務費?是否合法?
如何判斷是否過度索權
“判斷APP的行為是否屬于個人信息過度收集,有兩種情況����?���!敝袊娮蛹夹g標準化研究院信息安全研究中心審查部總監(jiān)�、APP治理工作組專家何延哲說,“一種是業(yè)務功能本身是合理的����,但收集的信息超出必要�����,這是比較典型的超必要范圍收集����。比如計算器APP只是算數字���,卻索要地理位置,顯然沒有必要����。第二種是APP業(yè)務功能設置不合理��,導致用戶不得不提供更多的信息����。如兩個單獨的功能都正常,但被綁定在一起就造成了多收集。例如�����,關閉了“刷卡進門”而強制要求刷臉���,造成人臉信息被收集;強制要求掃碼點餐����,而多收集了用戶的信息等?����!?/p>
何延哲認為�����,第二種情形雖然不是典型的超必要范圍收集����,但事實上非常常見���,這本質上是一種過度收集行為���,且原因比較復雜����。北京公交APP和花點時間APP用戶遇到的情形���,就是APP方首先剝奪了用戶的選擇權才導致的一種過度收集行為,如果單獨從提現這個功能看�,需要驗證賬戶����、真實身份等其實都是必要的����。
何延哲認為評價上述現象首先要質疑其剝奪用戶選擇權的理由����,為什么不采用最為簡便����、收集個人信息最少的方式?除非有一種極端情況�����,就是微信確實不支持退款����,但是只要商家不講明,就還是剝奪了用戶的知情權���。其次�,假如不得不用支付寶這種退款方式,那么收集使用個人信息的規(guī)則就非常重要����。這里面也分兩種情況����,一是如果用戶有支付寶�����,理論上不會造成過度收集���,因為這些信息支付寶已經有了�。這里的問題不在于用戶給不給����,而在于這些信息是否僅僅用于驗證?驗證完,其原始信息并不需要保留��,是否會刪除?這個關鍵規(guī)則要是不給出�,就有過度留存的風險�����。二是如果用戶沒有支付寶怎么辦?只指定了一種退款渠道��,等于強迫用戶注冊新賬號���。但支付寶注冊其實是需要這些實名信息的����,因此����,這里的關鍵也不是是否過度收集個人信息的問題�����,而是需要先質疑該業(yè)務模式的合理性����,是否與支付寶的推廣有關等��。三是,因為用戶在支付寶有注銷權����,所以用戶可以在達成領錢目的后刪除個人信息���,只是這個過程太麻煩��,可以說是對消費者權益的一種侵害��。
退款為何不能原路返回
“肯定是APP自己的問題�?����!苯鹑跇I(yè)內人士聶先生對記者說,“一般都是原路返回的�。比如我春節(jié)用智行APP買了火車票����,決定就地過年以后我去退票���,就是原路把錢還給我的?�!?/p>
APP用戶支付時使用微信,但退款時被要求提供支付寶賬號且沒有其他選項�����,這里面的技術邏輯是什么?記者就此在微信群中求教了業(yè)內人士�����,大家的看法各異。
“正常都是原路退啊�����,上述情況要么是APP接口問題�,要么是財務做賬的要求?�!?/p>
“正常退款都是原路返回���,剛剛從拼多多退了一筆錢����,拼多多-微信-銀行卡?����!?/p>
“沒什么為什么����,就是APP搗鬼����,直接向工信部網站投訴����,齊活?��!?/p>
“說明這個公司中兩個支付渠道拿到的政策不同�,支付寶可能更優(yōu)惠?!?/p>
“微信支付后臺不留錢,入賬第二天資金就直接打入對公賬戶了�。當然有的公司也可以在微信后臺設置留存資金,方便給用戶退款��。”
“公交APP本身也有非實名的功能����,這樣丟了就丟了��,跟實體卡一樣,沒有找回功能���。但手機APP其實可以用手機號注冊,就可以滿足找回需求�,用戶用手機號驗證就應該可以繼續(xù)充值使用,這是一個比較合理的賬號系統(tǒng)�,但身份證信息確實沒有必要�����?����!?/p>
“不退原路是因為沒有原路了�,因為系統(tǒng)沒保存或者查找困難等���。不管怎么說���,APP的進入和退出都應該提供多一些的選項��?��!?/p>
“0元中標為什么?就是公交集團被APP供應方忽悠了����,這種例子多的是�����。這種公司中標后�,盡力收集個人信息是肯定的��。”
“其實這是公用事業(yè)APP的常見問題——缺乏全面嚴謹的產品設計以及快速迭代的更新能力����?���!蓖ㄐ艠I(yè)內人士付亮認為���,“公交APP的做法可以這樣理解�����,因為涉及資金往來,辦卡時如果沒有實名��,退卡也是要實名的?���!?/p>
付亮指出����,由于退卡的需求遠遠弱于辦卡需求��,因此在開發(fā)設計的時候�����,就有可能盡量簡化,但這樣做并不合理。此外�,支付寶或者微信支付,也都需要活體實名認證�����,有可能北京公交APP自己并沒有做這個設計�,只是在退卡時利用支付寶的接口。
付亮認為�����,APP不合理設置的整改���,需要用戶和輿論的監(jiān)督���。比如不少省的健康碼最開始也只支持支付寶或微信�,后來呼吁多了����,就開始支持更多種方式了�。
據記者了解���,工信部正在起草的《移動互聯網應用程序個人信息保護管理暫行規(guī)定》和電信終端產業(yè)協(xié)會發(fā)布的9項《APP收集使用個人信息最小必要評估規(guī)范》系列標準�,將著重治理APP過度索權問題�,給APP企業(yè)劃出底線��,為打擊APP違規(guī)行為提供依據�,以更好地保護用戶信息���,促進APP市場健康發(fā)展�����。
