点击关闭

记者网络-要求用户打开多个收集个人信息权限否则不让安装的问题

  • 时间:

【吴亦凡被激光照射】

手機應用爆髮式增長,頻現“越權”收集個人信息,監管重拳十餘新規落地主流APP今年已罕見強制索取通訊錄

“今年我們重點關註在安裝APP時通過一攬子方式,要求用戶打開多個收集個人信息權限否則不讓安裝的問題。這個問題現在也有很大好轉,前段時間,我們對下載量大的300款APP測試發現,僅極個別還未徹底更正該問題。”何延哲表示。在他看來,一兩年前多數APP隱私政策缺失,但現在情況已改觀,包括APP註銷渠道也陸續上線。“這和隱私政策一樣,從兩年前到現在一直在優化。”

7月底,互聯網巨頭相繼陷入“竊聽門”。英國《衛報》報道稱,蘋果公司將部分用戶與智能助手Siri的對話錄音發送給該公司全球範圍內的承包商,用於分析Siri的反應是否合理、服務是否到位。同樣“淪陷”的還有谷歌公司,其承認雇用的外包合同工會聽取用戶與其人工智能語音助手的對話,用於讓其語音服務擁有可以支持更多語言、音調和方言的功能。

安全專家對記者表示,用戶在手機以及PC上所做的任何行為都能成為用戶數據,被用於廣告推送。“如用戶在瀏覽網頁時,其瀏覽記錄等數據會儲存起來,該數據記錄被稱為cookie,百度等瀏覽器向用戶推送廣告的邏輯正是基於cookie技術,而現在APP端推送廣告的行為也是採用了類似cookie的技術。”

6月初,全國信息安全標準化技術委員會發佈了《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規範》(以下簡稱《信息規範》),依據個人信息收集最少夠用的原則以及不同種類APP的業務範圍,對地圖導航、網上購物、餐飲外賣等16類APP收集個人信息的範圍給出了參考。6月10日至17日,新京報記者依照《信息規範》中的分類選取了50款常用APP實測,結果顯示24款APP索取的權限超出範圍,其中,智聯招聘索取了相機、位置、通訊錄權限,百合婚戀收集了通訊錄權限。

新京報記者 羅亦丹 實習生 巢子怡

目前,在多部委對APP信息保護的監督下,APP個人信息安全的整改已經步入“深水區”。

●信息“裸奔”APP總量突破400萬 爆髮式增長暗藏隱憂

根據工信部數據,2018年,我國市場上監測到的APP數量凈增42萬款,總量達到449萬款,下載量更是達到千億人次。APP呈現爆髮式增長,衍生一系列信息安全與用戶隱私數據泄露的隱憂。8月13日,國家互聯網應急中心發佈了《2019年上半年我國互聯網網絡安全態勢》,其指出在目前下載量較大的千餘款移動APP中,每款應用平均申請25項權限,其中申請了與業務無關的撥打電話權限的APP數量占比超過30%。每款應用平均收集20項個人信息和設備信息等。此外,大量APP存在探測其他APP或讀寫用戶設備文件等異常行為,對用戶的個人信息安全造成潛在安全威脅。

“對於APP的治理,我們的管理思路是制定法律法規和標準規範,抓企業APP的合規性。”監管部門人士對新京報記者表示:“目前,歐盟的《通用數據保護條例》對隱私保護較為嚴格,但這也限制了大數據行業的發展,我們不能只註重安全,對企業‘一刀切’,還是要平衡好安全和發展的關係。”

有專家指出,在“大數據決勝”的背景下,一些互聯網企業將線上消費者視為大數據掠奪的重要資源。除手機APP主動索權外,一些企業利用格式條款將諸多索權隱匿在用戶協議中,這樣的做法也已是行業內“公開的秘密”。獲取的消費者信息越多,能繪製的消費者畫像越精準,從而達到流量變現的目的。

用戶在APP內的瀏覽記錄被用於廣告推送已成為當前國內APP界的基本“共識”之一,新京報記者瀏覽主流APP發現,幾乎所有有廣告推送的APP均會在隱私協議內備註“可能收集用戶瀏覽記錄等用於廣告推送”等類似條款,但用戶在使用APP時往往對這類隱私條款的具體內容並不關心,直接確認後就會開始使用,這意味著定向推送是用戶知情同意且合理的。

據新京報記者不完全統計,2019年以來,國家互聯網信息辦公室會同各行業主管部門研究起草了《數據安全管理辦法(征求意見稿)》、《網絡安全審查辦法(征求意見稿)》、《個人信息出境安全評估辦法(征求意見稿)》、《APP違法違規收集使用個人信息行為認定方法(征求意見稿)》等十餘個網絡信息安全相關的法規、部門規章以及行業標準。

●數據之爭企業搶食流量變現 瀏覽記錄用於推廣告

●整改見效今年十餘新規出台 強制索取位置有改善

7月至8月,新京報記者接觸網信辦、APP專項治理工作組、基層網安幹警等多個監管部門人士後發現,對於APP的治理,目前主流APP大多趨於規範。不過,基於安卓手機隱私權限顆粒等客觀條件,目前還無法做到完全杜絕APP“偷窺”隱私的可能性,因為其代價是用戶體驗受損以及發展停滯,如何在用戶體驗、保證發展的同時保護用戶隱私,是監管部門思考最多的地方之一。

針對手機APP違法違規收集和使用個人信息問題,今年,中央網信辦、工信部、公安部、市場監管總局等四部門連出重拳,向違法違規手機APP“開刀”。新京報記者調查發現,隨著治理工作的推進,相比兩年前,如今幾乎所有主流APP均能對索取權限進行提醒以及配備隱私條款。不過,一些APP仍然存在強制用戶授予、索取與主業無關權限以及註銷困難等問題。

安全專家向新京報記者介紹,隨著市場上APP功能越來越豐富,申請的權限也越來越多,但另一方面,以竊取泄露用戶信息為目的的惡意APP和提供服務的APP申請權限交集更大。“目前許多APP都有‘語音搜索’功能,即便這並非其核心功能,開啟與否區別不大,但一旦開啟,就意味著APP有了窺探用戶隱私的能力。”

APP專項治理工作組成員何延哲對新京報記者表示,今年最顯著的變化是APP強制索取通訊錄和地理位置權限的現象有所改善,過去不少APP都有強制索取通訊錄權限的情況,例如主打社交、金融借貸類的APP。但現在幾乎找不到主流APP有強制索取通訊錄權限的。

“繪製用戶畫像是許多APP的‘隱含功能’。”從事網絡安全方面工作的李淳(化名)曾對新京報記者表示,“例如不管百度、騰訊還是阿裡,它們的APP中都有相關的隱私協議,可以合法地讀取用戶各個維度的數據,從而繪製用戶畫像,以分析客源構成,為廣告營銷作參考。”

如今,APP個人信息安全整改已步入“深水區”。據新京報記者不完全統計,2019年以來,十餘個網絡信息安全相關的法規、部門規章以及行業標準出台。對於用戶的隱私保護正在從模糊的原則性條款,逐漸進化為可對照、可執行的細則標準。

新京報記者曾從獲客軟件處看到關於用戶畫像的數據,其用戶畫像維度精確到27項,例如“性別女,25-34歲,本科,旅游達人,無未成年子女,收入3k-5k,無車,企業白領,IT業人員,已婚無房,手機檔次低檔等”。

實際上,在互聯網時代,類似情形並不鮮見。今年央視3·15晚會節目現場,主持人使用一款名為“社保掌上通”的APP查詢個人社保信息,與此同時網絡安全專家抓取分析數據包,發現用戶在查詢信息時,個人信息已被髮送到一家大數據公司的服務器。

APP專項治理工作組成員何延哲向新京報記者表示,APP強制索取通訊錄和地理位置權限現象今年已經明顯改善。

大數據時代,獲取更多的用戶信息已成趨勢,而問題存在不是一年半載,公眾對此也嘖有煩言。手機APP“綁架”用戶隱私權限,錶面看是初創期軟件業的流氓習氣,說到底,折射的其實還是業界標準缺位和隱私保護連帶責任缺失。

“我為了貸款,曾下載過一些金融貸款類APP,結果有不少都在打開時要求我授權讀取我的通話記錄,允許撥打電話,提供地理位置。”提到下載的一些APP,李先生開啟吐槽模式。