“权限”相当于钥匙,手机APP获得与功能对应的权限可以理解,但如果申请的权限超过功能所需,消费者的个人信息就可能莫名外泄。
11月28日下午,上海市消保委通报关于规范浏览器、输入法、综合视频等手机APP涉及个人信息权限的测评结果,有的手机甚至出现自动发送短信等异常现象。
有意思的是,在这场通报会之前,上海市消保委已邀请18家涉事企业进行沟通。15家企业火速修改相关权限或者发布新版本。猎豹浏览器、触宝输入法、芒果tv三家企业未参加沟通会,APP也没有任何改进。
11月28日的发布会上,这三家企业仍然没有到场,超功能的权限设置也没有改变。其中,猎豹浏览器,甚至默认开通监听外拨电话、位置信息、发送短信的权限。
实际上,这已经不是上海市消保委第一次做APP个人隐私类的测评。
2018年7月18日,上海市消保委发布《地图类手机APP涉及个人信息权限评测结果》引起社会广泛关注。结果反映出的申请的敏感权限与实际功能不完全对应等问题。
当时,高德地图、百度地图、腾讯地图等企业积极回应,并提交了相关情况说明及整改报告。未参加发布的搜狗地图、图吧导航也在会后积极与上海市消保委进行沟通,并根据测评反映的问题进行优化升级。企业通过紧急下线、取消获取、功能优化、版本更新等形式进行改进,相关问题得到解决。
有消费者称,当前手机APP涉及个人信息保护的问题受到各界关注,但仍存在监管空白。消费者希望上海市消保委在地图APP的基础上,扩大范围,进一步规范和推动行业发展。
为此,2018年8月-10月,上海市消保委联合《中国消费者报》上海记者站委托北京捷兴信源信息技术有限公司,对消费者反映集中及目前用户使用频度较高的 “输入法、浏览器、综合视频”三类18款应用进行了规范。
18款应用涉及的手机APP有:输入法(搜狗输入法、百度输入法、讯飞输入法、QQ输入法、触宝输入法);浏览器(UC浏览器、QQ浏览器、360浏览器、搜狗浏览器、猎豹浏览器、百度浏览器、华为浏览器1、华为浏览器2);综合视频(优酷视频、腾讯视频、爱奇艺视频、芒果TV、哔哩哔哩)。
评测内容涉及“应用敏感权限的授权请求方式、申请的敏感权限是否存在与之对的服务功能”两方面。问题主要集中在部分应用所申请的敏感权限存在无实际对应功能以及部分应用所采用的Android目标API版本过低方面。
其中,167项与用户个人信息密切相关的“敏感权限”中,发现存在25项无实际功能对照的权限申请,主要集中在:电话权限(5个)、短信权限(15个)、定位权限(2个)、日历权限(2个),读取附件(1),均与终端用户的个人信息密切相关。
有4款应用的Android目标API版本设定过低。而过低的API目标版本,一是在权限管理方面存在用户可知而不可控的问题,二是存在可规避系统安全机制的漏洞,容易造成用户个人信息泄漏,引发大量终端安全和个人信息保护风险。
为此,上海市消保委经过三个多月300多次多维度测试,法律团队和技术团队与企业进行五十几次沟通,就企业提供的数十份报告进行了审评。
为推动相关问题的解决,2018年10月,上海消保委与手机APP企业进行技术沟通,相关企业也在排查后对存在的问题作出解释和优化意见。一个月时间内,各相关应用厂商剔除无用权限达到23个,3款APP提升API目标版本,并均将全新修正版本向社会发布。
2018年11月,上海消保委再次针对这18款应用的最新版本进行技术验证,15款应用在敏感权限的申请、使用方面做到了合理申请、自主授权,充分保证了用户的知情权、选择权。
其余3款应用,由于未到座谈会进行沟通,在新版本中,仍存有部分用途不明的敏感权限申请行为。其中:猎豹浏览器(V4.87.4) 存在:Android 目标 API版本过低、申请了与电话相关的权限、与短信相关权限,具体用途不明问题。触宝输入法(6.8.0.5)存在申请了与短信和定位相关的权限,具体用途不明问题。芒果TV (6.0.2)存在申请了与短信相关的权限,具体用途不明问题。
上海市消保委副秘书长唐健盛透露,这些应用获得的权限,大多数有短信或者通话权限,如此,即使消费者不知情,也可能手机自动发送消息。而且这些信息发送后,在手机上并不留痕迹。此外,API版本在23之下手机应用,相当于安全没有保障,建议不要使用。
上海市消保委副秘书长唐健盛回答澎湃新闻记者提问时表示,目前,国家对手机APP权限的开发、立法和标准不完善。简单说,很多都是概念上的规定,只要求必要正当合理。但是什么是必要正当合理,并没有明确的规定和规范。
事实上,目前市场上的APP开发者,全凭觉悟在做。“而且,觉悟高的不多。”唐健盛说道。为此,上海市消保委透露,希望国家相关主管部门能更加明确(APP权限),使之制度化。其次,希望能建立团体标准。
上海市消保委透露,对相关企业的改进措施表示赞赏,同时敦促未参加沟通的猎豹浏览器、触宝输入法、芒果TV作出切实的改进,以落实企业的诚信责任。
【延伸阅读】
App普遍涉嫌过度收集个人信息 这些大牌被中消协点名了
手机上装的那些个App,都安全吗?今天上午,中消协发布100款App个人信息收集与隐私政策测评情况,金融理财、邮箱云盘类App评分相对较低。在收集个人信息方面,App普遍存在涉嫌过度收集个人信息的情况,其中过半App涉嫌过度收集“位置信息”;在隐私政策方面,47款App隐私条款内容不达标,其中34款没有隐私条款。中消协为此建议,各应用商店应履行平台审核责任,对于没有隐私条款的App应及时下架。
测评涉及10类App
近年来,互联网安全事件陆续爆发,手机上各类应用程序在给使用者带来便利的同时,其背后的使用权限和隐私问题也随之引起消费者的密切关注。中消协于今年8至10月开展了App个人信息保护情况测评活动。本次被测评的10类(通讯社交、影音播放、网上购物、交易支付、出行导航、金融理财、旅游住宿、新闻阅读、邮箱云盘和拍摄美化)100款App源于中消协此前开展的消费者需求调查以及评测专家组建议。所有被测评App都是在9月1至3日期间从App Store、安卓市场下载,同时对App的用户协议、隐私政策进行录屏取证。测评活动还邀请了消费维权志愿者进行现场体验,同时邀请相关专家对App的用户协议、隐私政策进行审核,综合反映App个人信息保护中存在的问题。
金融理财类App得分最低
《测评报告》显示,从同一款App不同下载来源上看,App Store下载渠道与安卓市场下载渠道在信息采集类型和隐私政策方面无明显差别,但不同类别App以及同一类别中的不同品牌App测评结果差异较大。根据测评结果,新闻阅读、网上购物和交易支付类App评分相对较高,而金融理财类App得分最低,仅为28.91分。
10类App总平均分
常用App与中小企业App对比发现,中小企业App的平均得分均在各类App平均水平以下,常用App平均分为74.78,而中小企业App是39.18。中小企业App问题较为突出,存在过度收集信息、无隐私条款、条款不完整以及不合理格式条款等问题,说明目前中小企业App隐私政策缺失或设计存在明显不足。其中金融理财类App得分相对较低,为15.6分,通讯社交、影音播放、网上购物、出行导航和旅游住宿类App低于平均水平20分以上。
消费者常用App与中小企业App评分对比一览表
过半App涉嫌过度收集“位置信息”
在收集个人信息方面:10类App中多达91款App列出的权限存在涉嫌“越界”,即普遍存在涉嫌过度收集个人信息的情况。59款App涉嫌过度收集“位置信息”,28款App涉嫌过度收集“通讯录信息”,23款App涉嫌过度收集“身份信息”,22款App涉嫌过度收集“手机号码”等。除此之外,用户的个人照片、个人财产信息、生物识别信息、工作信息、交易账号信息、交易记录、上网浏览记录、教育信息、车辆信息以及短信信息等均存在被过度使用或收集的现象。
App涉嫌过度收集或使用个人信息情况
在隐私政策方面:47款App隐私条款内容不达标,其中34款App没有隐私条款。其主要问题是:1.未明确告知收集个人信息类型,且收集敏感信息时未明确告知用户信息的用途;2.未明确告知用户个人信息的保存期限和停止运营的情形;3.未明确告知用户个人信息使用方式;4.对外提供个人信息时不单独告知并征得用户同意;5.未明确告知用户如何更正个人信息和撤回同意;6.隐私条款未在明显位置公示,条款变更时未及时通知用户;7.隐私政策存在默认同意或未提示阅读等问题;8.存在“自行承担风险”等不合理免责条款。
各类App隐私条款测评得分情况
值得注意的是,中消协特别点出:中国工商银行App没有单独的隐私政策,链接中仅提供隐私保密声明;支付宝App未在收集的信息种类中注明个人敏感信息,且未对核心和附加功能进行区分,导致用户易认为所收集的信息均为必需项;ofo小黄车向关联公司及第三方分享相关信息时,未单独征得用户同意,存在的风险不得而知。
建议:没有隐私条款的App应下架
针对测评中发现的问题,中消协建议:一是加强隐私保护立法,为消费者个人信息安全提供法律和制度保护;二是督促App开发管理者根据App的核心功能和扩展功能明示个人信息收集范围,给予消费者知情权和选择权,并应尽可能少的收集消费者个人信息,并采取有效措施保护消费者个人信息安全;同时明示隐私条款,不采用默认勾选方式、不使用不公平格式条款,采取显著方式引起消费者注意,引导消费者主动阅读、理解相关隐私政策;三是各应用商店要履行平台审核责任,强化App隐私条款的明示公示义务,对于没有隐私条款的应当及时下架,并提醒消费者谨慎下载使用,应当要求相关隐私条款内容不能损害消费者合法权益,不得含有不公平格式条款;四是强化部门间的沟通合作,完善消费者个人信息安全问题的投诉举报制度,严肃查处侵害消费者合法权益的典型问题。
中消协呼吁,消费者应尽量通过审核机制更严格的应用商店平台下载App,下载过程中要认真阅读App的应用权限和用户协议或隐私政策,不扫来历不明的二维码,不点来历不明的网页链接,不安装来历不明的App,使用过程中一旦发现信息泄露,要留存相关证据,及时向有关部门投诉举报,依法主动维权。
中消协同时表示,针对本次测评活动中发现典型问题,将约谈劝谕相关App开发管理者,督促企业整改提高。
App测评中的“一星”App:
通讯类App:一起、妙见、宜聊、面聊、百合婚恋
影音播放类App;橙子VR、手机电视、1905电影网、魔力视频
网上购物类App:爱抢购、搜了、快乐购、名创优品、喜购
交易支付类App:翼支付、瑞钱包、付费通、银嘉钱包
出行导航类App:飞嘀打车乘客、曹操专车、一起来拼车、E代驾
金融理财类App:胜算在握、微贷网、中国工商银行、捷信快贷、随手记、同花顺、马上到账贷款、悟空理财
住宿旅游类App:票管家、百程旅行、天巡旅行、6人游、居家游
新闻阅读类App:掌阅、聚看点、掌上阅读
邮箱云盘类App:139邮箱、景邮箱、轻邮、2980邮箱、易联安全邮箱
拍摄美化类App:POCO相机、柚子相机、Faceu激萌、美人相机
头条 21-12-17
头条 21-12-17
头条 21-12-15
头条 21-12-15
头条 21-12-15
头条 21-12-15
头条 21-12-15
头条 21-12-15
头条 21-12-15
头条 21-12-15
头条 21-12-15
头条 21-12-15
头条 21-12-15
头条 21-12-15
头条 21-12-15
头条 21-12-15
头条 21-12-15
头条 21-12-15
头条 21-12-15
头条 21-12-15
头条 21-12-15
头条 21-12-15
头条 21-12-15
头条 21-12-14
头条 21-12-14
头条 21-12-14
头条 21-12-14
头条 21-12-14
头条 21-12-14
头条 21-12-14
头条 21-12-14
头条 21-12-14
头条 21-12-14
头条 21-12-14
头条 21-12-09
头条 21-12-08
头条 21-12-07
头条 21-12-06
头条 21-11-30
头条 21-11-26
头条 21-11-25
头条 21-11-24
头条 21-11-23
头条 21-11-23
头条 21-11-23
头条 21-11-19
头条 21-11-19
头条 21-11-18
头条 21-11-18
头条 21-11-17
头条 21-11-16
头条 21-11-16
头条 21-11-15
头条 21-11-15
头条 21-11-15