本報訊 隨著移動互聯網的快速發展,“手機”已經成為我們生活中必不可少的一部分。不同的消費需求和習慣,催生了大量手機應用軟件。然而,“個人信息洩露,合法權益被侵犯”等問題突出,尤其因“手機應用權限過度申請”引發各種爭議。
2018年3月-7月,上海市消保委開展第一期地圖類手機APP涉及個人信息權限評測,反映出申請的敏感權限與實際功能不完全對應的問題。5款頭部應用相關企業積極回應,並提交情況說明及整改報告,通過取消獲取、功能優化、版本更新等形式進行改進,相關問題得到解決。
2018年8月-11月,上海市消保委又開展第二期針對瀏覽器、輸入法、綜合視頻等手機APP涉及個人信息權限評測,再次引起社會廣泛關注。問題主要集中在部分應用所申請的敏感權限存在無實際對應功能以及部分應用所採用的Android目標 API版本過低方面。18家頭部應用相關企業積極跟進問題,在敏感權限的申請、使用方面均做到了合理申請、自主授權,充分保證了用戶的知情權、選擇權。
APP信息安全問題得到多家行業監管單位高度重視。去年12月,中消協對100款App開展隱私政策情況開展調查。今年1月25日,網信辦、工信部、公安部、市場監管總局四部門聯合發佈《關於開展APP違法違規收集使用個人信息專項治理的公告》,將針對APP強制授權、過度索權、超範圍收集個人信息問題進行專項檢查。今年央視315晚會也對手機APP個人信息問題重點關注。
上海市消保委根據APP個人信息權限的評測結果,針對安卓系統的安全性專門提出建議,希望安卓系統可以增加讓消費者單次授權的功能。該建議得到了APP開發者、手機廠商和系統開發者的重視。近期,谷歌發佈的Android Q beta版新增加了相關的安全性功能。如對敏感信息的訪問權限、攝像頭/麥克風後臺訪問控制、以及給予用戶更多地理位置控制等權限,除了原有的拒絕和永久授權之外,增加了僅在使用期間 (運行時)授權選項。此舉在保護消費者個人信息方面十分重要,上海市消保委表示高度讚許。
二、本次評測情況
上海市消保委認為,個人信息保護的關鍵是規範收集和使用。《網絡信息安全法》第四十一條規定:網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。
對於網購類、社交類、旅遊類、生活類手機APP,涉及用戶日常生活的各個方面,需獲取用戶較多個人信息完成相應功能。為此,在前兩次測評的基礎上,上海市消保委廣泛聽取消費者意見,積極滿足消費者訴求,並聯合《中國消費者報》上海記者站委託北京捷興信源信息技術有限公司,於2019年1月繼續對網購平臺、旅遊出行、生活服務等39款手機用開展第三期手機APP涉及個人信息權限評測。
本次評測主要從四個維度進行:一是APP所使用的目標API級別。當目標API級別低於23時,安卓對於權限會採用一攬子授權的模式 ,存在可規避系統安全機制的漏洞;二是APP敏感權限的數量。重點關注安卓系統中與個人信息密切相關的有29權限的申請和使用;三是注敏感權限的授權方式。是否存在一攬子授權的模式,如何向用戶提出授權請求;四是查看是否存在無實際功能對應用的權限申請。
第一次評測發現,只有14款應用敏感權限與實際功能均能對應。
為推動相關問題的解決,上海消保委與手機APP企業進行技術溝通,相關企業也在排查後對存在的問題作出解釋和優化意見。截止到3月23日,共有30款應用實現在敏感權限的申請、使用方面做到了合理申請、自主授權。
在前期溝通確認中,有8款應用第一時間進行溝通,並通過刪除敏感權限、升級版本等方式快速對存在的問題作出解釋和優化。
在本次會議前(截止到3月23日),上海市消保委再次進行了測試,又有8款應用完成了改進。
目前(截止到3月23日),仍有9款應用未能就其權限和功能無法對應的問題進行改進。聚美(v7.951)、貝貝(v8.2.01)、窮遊(v9.2.0)、TripAdvisor貓途鷹(v29.4.1神州租車(v6.4.4)、一嗨租車(v6.2.1)、餓了麼(v8.13.1)、百度糯米(v8.4.7)、格瓦拉生活(v9.5.0)。問題涉及發送短信、錄音、撥打電話、讀取聯繫人、“監控外撥電話,重新設置外撥電話的路徑”、接收訊息(短信)、讀取通話記錄等敏感權限未找到對應功能及目標API級別低等。
閱讀更多 工報財經 的文章
