經(jīng)濟導報記者 劉勇
今年央視“3·15”晚會曝光了一款名為“社保掌上通”的APP�����,其通過隱藏的用戶條款竊取用戶社保信息�。經(jīng)濟導報記者在采訪中發(fā)現(xiàn)幾乎所有的APP都在過度索取權限。比如�,咪咕視頻能“讀”日歷活動和機密信息、監(jiān)控所有應用的啟動���,竟然還要擁有人體傳感器(如心跳速率檢測器)的權限;大潤發(fā)優(yōu)鮮要清除SD卡內容的權限;51talk青少兒英語竟然要永久停用手機���、刪除應用和強制重新啟動手機的權限……
濟南華星信息安全技術有限公司總經(jīng)理劉華星在接受經(jīng)濟導報記者采訪時表示�����,“你在使用APP����,實際上APP卻在收集你的隱私���。”
如何讓個人隱私不再“裸奔”?業(yè)內人士指出�,除了個人使用的問題外�����,應大幅提升對違法違規(guī)企業(yè)的懲罰力度��,還需制定APP過度索權的評估標準����,打造有力的監(jiān)管體系��。
索權涉用戶隱私
“社保掌上通”被曝光只是APP竊取用戶信息的冰山一角�,還有更多的APP存在類似問題���,只是沒有被曝光而已。
接受經(jīng)濟導報記者采訪時����,劉華星隨手拿過記者的手機,經(jīng)過一番操作后����,他告訴經(jīng)濟導報記者,目前手機一共有109個APP�����,這109個APP都要擁有的權限包括但不限于發(fā)送彩信����、獲取手機信息(手機號碼、IMEI�、IMSI權限)、讀取手機中已經(jīng)安裝的應用列表�、讀寫手機存儲以及后臺彈出界面。
此外��,有94個APP要求定位和拍照、錄像和閃光燈等權限;93個要求開啟或關閉WIFI的權限;87個要求可以修改系統(tǒng)設置;75個要通話錄音和本地錄音;58個要求獲取手機賬戶;56個要求可以讀取聯(lián)系人;46個要求可以直接撥打電話……
濟南市民劉偉告訴經(jīng)濟導報記者�����,此前他手機中曾安裝有一款名為“咪咕視頻”的APP�,結果一次偶然瀏覽“權限要求”時,他發(fā)現(xiàn)這款視頻軟件竟然能讀取和修改通訊錄�����、讀取和寫入通話記錄����,甚至還能監(jiān)控手機里面的所有應用。
咪咕視頻并非只要上述權限����,經(jīng)濟導報記者在應用程序商店“豌豆莢”內搜索到這款APP,在“權限要求”項發(fā)現(xiàn)����,這款定位為視頻軟件的APP,有著多達40多項權限要求��,除了讀取通訊錄���、修改通訊錄����、監(jiān)聽新安裝應用���、讀取通話記錄���、寫入通話記錄、讀取日歷活動和機密信息��,最關鍵的��,這款APP還能強行重新啟動手機�����、將系統(tǒng)恢復到出廠設置�����、清除SD卡內容��,甚至還有人體傳感器的權限要求����。
而一款名為“51talk青少兒英語”學習類APP���,其權限要求也有近30項。“添加或移除賬戶��、控制近距離通信����、永久停用手機、刪除應用��、強制應用關閉����、強行重新啟動手機”。
此外�����,經(jīng)濟導報記者手機中安裝的“大潤發(fā)優(yōu)鮮”——一個購物軟件APP��,要求的權限也不少���,“讀取通訊錄���、定位��、獲取手機信息、讀取應用列表���、添加或移除賬戶���、清除SD卡內容、獲取當前應用的信息���、人體傳感器”等�����。
百度APP要求了32項權限��,其中就包括發(fā)送彩信����、讀取短信和彩信�、讀取聯(lián)系人、讀寫手機存儲��、定位以及相機和錄音等敏感權限。此外還包括記錄鍵入的內容和執(zhí)行的操作;修改安全系統(tǒng)設置;綁定通知偵聽器服務;強行重新啟動手機;強制關閉后臺應用等權限���。
“作為搜索及瀏覽器類APP�,上述權限并非提供正常服務所必需���,已超出合理的范圍�。”劉華星說�。
隱私何時不再“裸奔”
“沒有人愿意用隱私來換取便利,這些隱私信息確實都是我們在下載安裝APP時同意授權的�����,但并不都是心甘情愿的����,因為你不選‘同意’就無法使用,在這個時代很難想象一個人在生活中完全不使用手機APP����。”濟南市民劉偉說。
“對廠商來講�,能拿到的用戶信息越多越好,這有利于分析用戶的使用習慣�����,知道了用戶習慣就能更好地推送產(chǎn)品。”中國網(wǎng)絡空間安全人才教育聯(lián)盟秘書長魯輝表示����。
北京志霖律師事務所副主任趙占領律師表示,現(xiàn)有法律法規(guī)沒有針對各個細分領域單獨進行規(guī)定�,比如視頻APP只能收集哪些信息�����、電商APP只能收集哪些信息����,主要原因在于行業(yè)和軟件類型眾多,很難逐一規(guī)定收集個人信息的范圍�����,只能通過必要性原則來判斷�����。
騰訊社會研究中心聯(lián)合DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心此前發(fā)布的《2018年度網(wǎng)絡隱私及網(wǎng)絡欺詐行為研究分析報告》顯示�����,2018年上半年,安卓端獲取隱私權限的手機APP占比達到99.9%���,也就是說幾乎所有的安卓端手機APP都存在不同程度獲取用戶隱私權限的情況�����。
劉華星認為�����,現(xiàn)在大部分手機應用并未遵循“最少夠用”的原則�。“通常APP所收集來的信息都用于完善用戶畫像及數(shù)據(jù)分析�。一些權限是非核心、不必要的��,一些開發(fā)者濫用權限的授權���,比如在產(chǎn)品設計時��,把未來才可能用到的權限全部加上��,但目前的版本可能根本用不上����。”
值得一提的是,APP的信息安全已經(jīng)引起監(jiān)管部門重視���。今年1月底���,中央網(wǎng)信辦聯(lián)合工信部、公安部�����、市場監(jiān)管總局等四部門表態(tài)�,今年將在全國范圍內發(fā)起專項治理活動�。嚴重違法違規(guī)收集個人信息的APP運營者,將被依法暫停相關業(yè)務�����、停業(yè)整頓����、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照。
此外,將于5月1日生效的《信息安全技術個人信息安全規(guī)范》規(guī)定���,收集個人信息時需要得到用戶授權����,而且收集的如果是個人敏感信息���,還需明示同意�����。
在劉華星看來�����,除了大幅提升對違法違規(guī)企業(yè)的懲罰力度�,還需制定APP過度索權的評估標準和打造有力的監(jiān)管體系���。 |
