相信不少市民都有过这样的体验:在淘宝上搜索了几件大衣,打开浏览器,大衣广告铺天盖地而来;在视频网站看个剧,却会收到其他APP大量与该剧相关的推送……在不经意间,用户的个人信息仿佛已经在各种APP间“走街串巷”。昨日,上海市消保委通报了针对输入法、浏览器、综合视频等三大类18款应用的评测,其中手机应用过度申请权限的问题再次让市民“炸了锅”。
冰山一角
猎豹浏览器可监听外拨电话
据悉,此次评测的18款应用涉及的手机APP包括:搜狗输入法、百度输入法、讯飞输入法、QQ输入法、触宝输入法、UC浏览器、QQ浏览器、360浏览器、搜狗浏览器、猎豹浏览器、百度浏览器、华为浏览器(2个版本)、优酷视频、腾讯视频、爱奇艺视频、芒果TV、哔哩哔哩。评测内容涉及“应用敏感权限的授权请求方式、申请的敏感权限是否存在与之对应的服务功能”两方面。
以目前受众最多的Andrord6.0(API-23)为例,总权限达到338个。其中,普通权限57个、敏感权限29个。“普通权限”大多不涉及用户隐私的权限,并不需要经过用户授权。而“敏感权限”,则被认为会涉及到用户的隐私信息数据。比如涉及用户的电话号码、通信录、短信等等。这些权限是需要经过用户确认授权。
而在此次评测中,167项与用户个人信息密切相关的“敏感权限”中,发现存在25项无实际功能对照的权限申请,其中短信权限(15个)和电话权限(5个)名列前两名。
此外,还有4款应用的Android目标API版本设定过低。专家指出,过低的API目标版本,一是在权限管理方面存在用户“可知而不可控”的问题,二是存在可规避系统安全机制的漏露,容易造成用户个人信息泄漏,引发大量终端安全和个人信息保护风险。
经过上海市消保委与手机App企业进行技术沟通,2018年11月,上海消保委再次针对这18款应用的最新版本进行技术验证,15款应用在敏感权限的申请、使用方面做到了合理申请、自主授权,充分保证了用户的知情权、选择权。然而,仍有猎豹浏览器、触宝输入法和芒果TV三款应用的新版本中,存在部分用途不明的敏感权限申请行为。其中,猎豹浏览器甚至可以监听外拨电话。
上海市消保委表示,对相关企业的改进措施表示赞赏,同时敦促未参加沟通的猎豹浏览器、触宝输入法、芒果TV作出切实的改进,以落实企业的诚信责任。
广而告之
91款APP被曝涉嫌过度获取信息
上海市消保委揭开的只是手机软件领域的冰山一角。就在同一天,中消协发布了《100款APP个人信息收集与隐私政策测评报告》(以下简称《报告》),其中多达91款APP列出的权限存在涉嫌“越界”,即存在过度收集用户个人信息的问题。其中,出行导航、金融理财、拍摄美化、通讯社交和影音播放等5类APP中,每一款都涉嫌存在过度收集或使用用户信息的情况。
《报告》显示,“位置信息”“通讯录信息”和“手机号码”等个人信息是过度收集或使用的“重灾区”。100款APP中,59款APP涉嫌过度收集了“位置信息”,另外过度收集“通讯录信息”“身份信息”“手机号码”的APP分别有28款、23款、22款。除此之外,用户的个人照片、个人财产信息、生物识别信息、工作信息、交易账号信息、交易记录、上网浏览记录、教育信息、车辆信息以及短信信息等均存在被过度使用或收集的现象。
此外,《报告》中还提到,59款App未明确告知收集个人信息类型,且收集敏感信息时未明确告知用户信息的用途,70款APP未明确告知用户个人信息的保存期限和停止运营的情形,57款APP未明确告知用户个人信息使用方式,42款App对外提供个人信息时不会单独告知并征得用户同意,57款和96款APP未明确告知用户如何更正个人信息和撤回同意。
用户之声
希望开设“仅允许一次”权限申请
为何APP开发者们如此钟爱获取用户个人信息?部分企业也给出了自己的答案。以《报告》中被获取频率最高的位置信息为例,百度输入法相关负责人解释称,如果一位用户从北京来到上海,通过获取位置信息可以即时更新地理词库,方便用户输入地名等。而多家浏览器则称,获取位置信息是为了及时为用户推送个性化的本地信息。多款视频软件同样表示,此举是为了向用户推送本地节目、本地资讯等。
在其他方面,多家输入法表示,获取通讯录信息是为了加载通讯录词库。多家浏览器表示,获取照相机权限是为了方便用户使用扫描功能。
尽管多数企业都能说清每一项权限所对应的功能,但也有市民对此并不买账。“确实每一项权限都对应了具体功能,但这些功能真的有必要吗?浏览器有必要具有扫描功能吗?”“我不需要APP推送本地信息,是不是可以不给它我的位置信息呢?”虽然包括百度等在内的代表均表示,多数权限仅在用户使用特定功能时才会向用户索取,但在一些市民和网友看来,这样的设置仍显累赘,“一旦不小心点错开通了,之后取消权限反倒很麻烦。”
虽然质疑声不断,但也有市民认为,从过去的APP安装前“一揽子”获取权限,到如今在使用过程中逐步获取权限,企业在自律方面已有了明显进步。有市民建议,APP在申请部分敏感权限时,可以开设“仅允许一次”和“永远允许”两个选项,把选择的权利全部交还给用户。
[专家建议]
建议尽快出台团体标准让APP权限“自我约束”
关于手机APP值得注意的是,今年7月18日,上海市消保委曾发布《地图类手机APP涉及个人信息权限评测结果》,反映出申请的敏感权限与实际功能不完全对应等问题,当时多家企业积极回应,并通过紧急下线、取消获取、功能优化、版本更新等形式进行改进,相关问题得到解决。然而,上海市消保委此次开展的针对“输入法、浏览器、综合视频”三类APP的测评中,相关问题再次暴露出来。
一位业内人士告诉记者,在实现软件某些功能的时候,必须要申请某些权限,但开发人员对这一过程缺乏规范化的意识。“技术人员的安全隐私培养上目前还比较缺乏,他本身不太介意这个事情,但是没有及时预见到后续可能带来的隐患。”他指出,往往是用户发现了问题之后,商家才做出补救措施。“他不一定是恶意的,只是申请的时候没想太多。”而关于为何有APP索取的权限无法对应具体功能,该业内人士认为,可能是软件之前的版本需要该功能,但新版本取消了,而权限忘了取消申请。也有可能是商家希望为后续新功能的推出做准备,“偷懒”提前收集用户信息。
但也有媒体曾撰文指出,滥用权限的背后,折射的是当前互联网企业的商业逻辑。曾有资深业内人士在接受媒体采访时直言,对于企业而言,搜集的数据多一点,营销价值才会迅速提升。“大数据时代,没人知道哪些数据会成为重点,足够多的数据才是重点。”
根据2016年颁布的《移动互联网应用程序信息服务管理规定》,APP运营者收集、使用用户个人信息应当遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并经用户同意。但在实际运营中,对于合法、正当、必要原则的解读往往“众说纷纭”,APP运营者也常常要求用户对个人信息“脱盔卸甲”。
针对该问题,市消保委副秘书长唐健盛强调,手机APP在开发时,必须让消费者拥有选择权。而敏感权限一旦获取之后,一定要功能相匹配且妥善使用。他指出,目前国内对个人信息的保护和立法尚不完善,基本依靠APP开发商“凭觉悟”自律。“我们希望能尽快对个人信息进行规范,并将其制度化。此外,希望各应用厂商能出台团体标准,将权限问题自我约束和规范,让消费者放心。”
