AD
对于普通手机用户来讲,App收集的各种信息都用到何处并不知情,而且根本无法得知是否遵循“最少够用”原则
◆导报记者 刘勇济南报道
近日,《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》(下称《规范》)在全国信息安全标准化技术委员会官网公布,界定了社交、金融借贷、网约车、短视频等16类常用移动App收集用户必要信息的范围。
就在上个月,由中央网信办、工信部、公安部、市场监管总局指导的App专项治理工作组发布了对下载量大的100款App申请权限以及强制开启的权限进行的分析统计结果。
经济导报记者按照《规范》所划定的范围对30款App进行了实测,发现部分App索取的权限依旧超出范围。
默认给某些权限开绿灯
济南华星信息安全技术有限公司总经理刘华星告诉经济导报记者,《规范》明确表示,移动互联网应用个人信息收集活动,主要依据《信息安全技术个人信息安全规范》的“个人信息安全基本原则”,遵循权责一致、目的明确、最少够用、选择同意、公开透明、确保安全六个原则。
为验证App是否已经开始遵循上述原则,经济导报记者随机对30款App进行测试。此次测试使用一部小米手机,为保证测试的相对客观,在实测前该手机已经恢复出厂设置,同时对SD卡进行格式化。所有测试的30款App均从小米应用商店下载,权限开启状态以首次安装App打开并同意权限申请后,手机自带安全中心下的权限管理栏目中各App权限开启情况为准。
在测试中,30款App均向用户进行了明示提醒,遵循了“选择同意”原则。但经济导报记者发现在“最少够用”与“目的明确”原则上,部分App仍不够完善。甚至有App在不提醒的情况下,默认给某些权限开绿灯。
在刘华星看来,“最少够用”原则指的是不收集与App提供的服务无关的个人信息,不申请打开可收集无关个人信息的权限。只收集满足业务功能所必需的最少类型和数量的个人信息,自动收集个人信息的频率不超过业务功能实际所需的频率。
经济导报记者注意到,多数App在首次开启时所要“手机号码、IMIE IMSI权限以及访问照片、媒体内容和文件”等权限。
以定位权限为例,按照《规范》,除了地图导航和网约车类App属于必要的信息,除此之外的App也索要了定位的权限。如豆瓣、虎牙直播、开心消消乐、作业帮、趣头条、途牛旅游和智联招聘。
此外,经济导报记者注意到,作为学习类软件,作业帮除了要求“拍摄照片和录制视频”外,定位以及读取应用列表也是其所要的权限。作为直播类App,虎牙直播除了要求一般性权限外,还自动开启了“接听或挂断电话,监听通话状态,修改系统设置”的权限。作为房产类的App,智联招聘所要求的权限除了一般性权限外,还开启了“拨打电话、读取联系人、相机”等权限。作为一家金融类App,浦发银行(600000)一打开系统就索要拨打电话等权限。
暂不用的权限也索取
在刘华星看来,通常App所收集来的信息都用于完善用户画像及数据分析。一些权限是非核心、不必要的,一些开发者滥用权限的授权,比如在产品设计时,把未来才可能用到的权限全部加上,但目前的版本可能根本用不上。“但对于普通市民来讲,App收集的各种信息都用到何处并不知情,而且根本无法得知是否遵循‘最少够用’原则。”
经济导报记者从手机自带的“安全中心下应用管理下的权限管理一项”发现,从单个App要求的权限数量来看,权限要求最多的是360手机卫士,共要求26项权限,其次就是钱站,要求22项权限,而最少的则是趣店和小猿搜题,仅要求了10项权限。
从权限类别上看,趣头条和智联招聘开启了“拨打电话”的权限;虎牙直播开启了“接听或挂断电话、监听通话状态”的权限;智联招聘还开启了“读取联系人”的权限;开心消消乐、豌豆荚和智联招聘开启了“访问手机账户”的权限;智联招聘和作业帮开启了“相机”权限,浦发银行开启了“拨打电话”“录音”权限。
有19个App开启了“定位”权限;21个App开启了“获取手机信息”的权限;27个App开启了“读取应用列表”的权限;30个App开启了“读写手机存储”权限和“读取应用列表”;8个App开启了“系统设置权限”。
DCCI互联网研究院首席专家胡延平认为,App抓取广大用户的手机通讯录后,会将通讯录上所有人的电话、姓名、地址等信息汇聚形成一个用户数据库,借此给用户精准“画像”,通过推送广告等获取收益。
胡延平认为,手机应用商店应该有一整套检测和审核机制,当一款手机应用进入该商店之前,将不必要的功能权限拒之门外,尤其规范越界获取的功能权限,在用户考虑是否授权前把第一道关。同时要细化行业规范,即将个人基本信息量化,建立数据标签,将注册ID、二维码、姓名、电话、身份证号,包括指纹、虹膜、图像等分门别类进行行业评估,“什么样的手机应用能获取哪个数据标签的哪些属性,这样从行业规范中可以找到解决方案,就事论事。”
“保护伞”需撑得再大些
中国法学会消费者权益保护法学研究会副秘书长陈音江表示,个人信息可用于用户分析,从而用于App产品的优化升级。“但一些企业过度采集用户个人信息,目的就是根据用户的消费行为分析,精准匹配投放商业广告。”
这也就是为何App会索取各种不必要权限的原因。
就在几天前,腾讯安全科恩实验室对外发布了《2018年Android应用安全白皮书》,选取2018年下载量较高的1404个App为样本检测发现,92%的安卓应用过度获取核心隐私权限。这些App过度收集或使用的隐私数据主要包括位置信息、通讯录信息、手机号码等个人信息。
在互联网独立分析师刘玉琦看来,很多互联网公司的数据管理员,在数据安全意识尤其是保护个体数据安全意识上,边界意识较差。“需要加强执法力度,除了大幅提升对违法违规企业的惩罚力度,还需制定App过度索权的评估标准和打造有力的监管体系。未来还应出台专门的个人信息保护法,对个人信息保护的规定加以细化。”
中国传媒大学文法学部副部长王四新认为,很多互联网公司的数据管理员,在数据安全意识尤其是保护个体数据安全意识上,边界意识较差。什么数据可以用,什么数据可以搜集,对个人数据使用到什么程度,泄露出去后怎么处罚等,都没有相应的认知和具体的规范要求。未来,需要加强执法力度。
中国电子商务研究中心主任曹磊也认为,法律条文需细化,相关部门应适时介入。“此外,网站平台收集和使用用户信息应当遵循‘合法、正当、必要’三原则。对收集到的用户信息应当采取安全保护措施,一旦发生泄密,必须及时采取补救措施,否则都可能面临行政处罚或者用户的诉讼。”曹磊说。
在刘玉琦看来,除了大幅提升对违法违规企业的惩罚力度,还需制定App过度索权的评估标准和打造有力的监管体系。
部分App索权情况一览
类别 App名称 索取权限 索取权限总数
工具类 迅雷 获取手机信息、读取应用列表、读写手机存储 15
360手机卫士 读取应用列表 读取手机存储 26
豌豆荚 定位、获取手机信息、读取应用列表、读写手机存储 13
输入法 搜狗输入法 定位、获取手机信息、读取应用列表、读写手机存储 19
导航类 高德地图 定位、获取手机信息、读取应用列表、读写手机存储 15
百度地图 定位、录音、读写手机存储、读取应用列表 20
网上购物 趣店 定位、获取手机信息、读取应用列表、读写手机存储 10
大润发优鲜 定位、获取手机信息、读取应用列表、读写手机存储 11
社交 知乎 定位、获取手机信息、读取应用列表、修改系统设置 14
豆瓣 定位、获取手机信息、读取应用列表、读写手机存储 11
快递外卖 饿了吗 定位、获取手机信息、读取应用列表、读写手机存储 12
新闻资讯 趣头条 直接拨打电话、定位、读取应用列表、读写手机存储 18
凤凰新闻 定位、获取手机信息、读取应用列表、读写手机存储 16
视频类 优酷视频 获取手机信息、读取应用列表、读写手机存储 14
PP体育 获取手机信息、读取应用列表 15
虎牙直播 接听或挂断电话、监听通话状态、修改系统设置 17
游戏 开心消消乐 定位、访问手机账户、读取应用列表、读写手机存储 20
美化 美图秀秀 获取手机信息、读取应用列表、读写手机存储 12
金融 钱站 定位、获取手机信息、读取应用列表、读写手机存储 22
浦发银行 拨打电话、获取手机信息、读写手机存储 20
汽车 汽车之家 获取手机信息、读取应用列表、读写手机存储 18
交通票务 去哪儿旅行 定位、获取手机信息、读取应用列表、修改系统设置 16
途牛旅游 定位、获取手机信息、读取应用列表、读写手机存储 19
销售 书旗小说 获取手机信息、读取应用列表、读写手机存储 11
教育 作业帮 定位、获取手机信息、读取应用列表、相机 18
小猿搜题 获取手机信息、读取应用列表、读写手机存储 10
即时通讯 QQ 获取手机信息、读取应用列表 21
MOMO陌陌 定位、获取手机信息、读取应用列表、读写手机存储 15
招聘房产 58同城定位、获取手机信息、访问手机账户、修改系统设置 16
智联招聘 直接拨打电话 读取联系人、相机、访问手机账户 16
