今年央視“3·15”晚會(huì)曝光了一款名為“社保掌上通”的APP,其通過(guò)隱藏的用戶條款竊取用戶社保信息。經(jīng)濟(jì)導(dǎo)報(bào)記者在采訪中發(fā)現(xiàn)幾乎所有的APP都在過(guò)度索取權(quán)限。比如,咪咕視頻能“讀”日歷活動(dòng)和機(jī)密信息、監(jiān)控所有應(yīng)用的啟動(dòng),竟然還要擁有人體傳感器(如心跳速率檢測(cè)器)的權(quán)限;大潤(rùn)發(fā)優(yōu)鮮要清除SD卡內(nèi)容的權(quán)限;51talk青少兒英語(yǔ)竟然要永久停用手機(jī)、刪除應(yīng)用和強(qiáng)制重新啟動(dòng)手機(jī)的權(quán)限……
濟(jì)南華星信息安全技術(shù)有限公司總經(jīng)理劉華星在接受經(jīng)濟(jì)導(dǎo)報(bào)記者采訪時(shí)表示,“你在使用APP,實(shí)際上APP卻在收集你的隱私。”
如何讓個(gè)人隱私不再“裸奔”?業(yè)內(nèi)人士指出,除了個(gè)人使用的問(wèn)題外,應(yīng)大幅提升對(duì)違法違規(guī)企業(yè)的懲罰力度,還需制定APP過(guò)度索權(quán)的評(píng)估標(biāo)準(zhǔn),打造有力的監(jiān)管體系。
索權(quán)涉用戶隱私
“社保掌上通”被曝光只是APP竊取用戶信息的冰山一角,還有更多的APP存在類似問(wèn)題,只是沒(méi)有被曝光而已。
接受經(jīng)濟(jì)導(dǎo)報(bào)記者采訪時(shí),劉華星隨手拿過(guò)記者的手機(jī),經(jīng)過(guò)一番操作后,他告訴經(jīng)濟(jì)導(dǎo)報(bào)記者,目前手機(jī)一共有109個(gè)APP,這109個(gè)APP都要擁有的權(quán)限包括但不限于發(fā)送彩信、獲取手機(jī)信息(手機(jī)號(hào)碼、IMEI、IMSI權(quán)限)、讀取手機(jī)中已經(jīng)安裝的應(yīng)用列表、讀寫手機(jī)存儲(chǔ)以及后臺(tái)彈出界面。
此外,有94個(gè)APP要求定位和拍照、錄像和閃光燈等權(quán)限;93個(gè)要求開(kāi)啟或關(guān)閉WIFI的權(quán)限;87個(gè)要求可以修改系統(tǒng)設(shè)置;75個(gè)要通話錄音和本地錄音;58個(gè)要求獲取手機(jī)賬戶;56個(gè)要求可以讀取聯(lián)系人;46個(gè)要求可以直接撥打電話……
濟(jì)南市民劉偉告訴經(jīng)濟(jì)導(dǎo)報(bào)記者,此前他手機(jī)中曾安裝有一款名為“咪咕視頻”的APP,結(jié)果一次偶然瀏覽“權(quán)限要求”時(shí),他發(fā)現(xiàn)這款視頻軟件竟然能讀取和修改通訊錄、讀取和寫入通話記錄,甚至還能監(jiān)控手機(jī)里面的所有應(yīng)用。
咪咕視頻并非只要上述權(quán)限,經(jīng)濟(jì)導(dǎo)報(bào)記者在應(yīng)用程序商店“豌豆莢”內(nèi)搜索到這款A(yù)PP,在“權(quán)限要求”項(xiàng)發(fā)現(xiàn),這款定位為視頻軟件的APP,有著多達(dá)40多項(xiàng)權(quán)限要求,除了讀取通訊錄、修改通訊錄、監(jiān)聽(tīng)新安裝應(yīng)用、讀取通話記錄、寫入通話記錄、讀取日歷活動(dòng)和機(jī)密信息,最關(guān)鍵的,這款A(yù)PP還能強(qiáng)行重新啟動(dòng)手機(jī)、將系統(tǒng)恢復(fù)到出廠設(shè)置、清除SD卡內(nèi)容,甚至還有人體傳感器的權(quán)限要求。
而一款名為“51talk青少兒英語(yǔ)”學(xué)習(xí)類APP,其權(quán)限要求也有近30項(xiàng)。“添加或移除賬戶、控制近距離通信、永久停用手機(jī)、刪除應(yīng)用、強(qiáng)制應(yīng)用關(guān)閉、強(qiáng)行重新啟動(dòng)手機(jī)”。
此外,經(jīng)濟(jì)導(dǎo)報(bào)記者手機(jī)中安裝的“大潤(rùn)發(fā)優(yōu)鮮”——一個(gè)購(gòu)物軟件APP,要求的權(quán)限也不少,“讀取通訊錄、定位、獲取手機(jī)信息、讀取應(yīng)用列表、添加或移除賬戶、清除SD卡內(nèi)容、獲取當(dāng)前應(yīng)用的信息、人體傳感器”等。
百度APP要求了32項(xiàng)權(quán)限,其中就包括發(fā)送彩信、讀取短信和彩信、讀取聯(lián)系人、讀寫手機(jī)存儲(chǔ)、定位以及相機(jī)和錄音等敏感權(quán)限。此外還包括記錄鍵入的內(nèi)容和執(zhí)行的操作;修改安全系統(tǒng)設(shè)置;綁定通知偵聽(tīng)器服務(wù);強(qiáng)行重新啟動(dòng)手機(jī);強(qiáng)制關(guān)閉后臺(tái)應(yīng)用等權(quán)限。
“作為搜索及瀏覽器類APP,上述權(quán)限并非提供正常服務(wù)所必需,已超出合理的范圍。”劉華星說(shuō)。
隱私何時(shí)不再“裸奔”
“沒(méi)有人愿意用隱私來(lái)?yè)Q取便利,這些隱私信息確實(shí)都是我們?cè)谙螺d安裝APP時(shí)同意授權(quán)的,但并不都是心甘情愿的,因?yàn)槟悴贿x‘同意’就無(wú)法使用,在這個(gè)時(shí)代很難想象一個(gè)人在生活中完全不使用手機(jī)APP。”濟(jì)南市民劉偉說(shuō)。
“對(duì)廠商來(lái)講,能拿到的用戶信息越多越好,這有利于分析用戶的使用習(xí)慣,知道了用戶習(xí)慣就能更好地推送產(chǎn)品。”中國(guó)網(wǎng)絡(luò)空間安全人才教育聯(lián)盟秘書長(zhǎng)魯輝表示。
北京志霖律師事務(wù)所副主任趙占領(lǐng)律師表示,現(xiàn)有法律法規(guī)沒(méi)有針對(duì)各個(gè)細(xì)分領(lǐng)域單獨(dú)進(jìn)行規(guī)定,比如視頻APP只能收集哪些信息、電商APP只能收集哪些信息,主要原因在于行業(yè)和軟件類型眾多,很難逐一規(guī)定收集個(gè)人信息的范圍,只能通過(guò)必要性原則來(lái)判斷。
騰訊社會(huì)研究中心聯(lián)合DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心此前發(fā)布的《2018年度網(wǎng)絡(luò)隱私及網(wǎng)絡(luò)欺詐行為研究分析報(bào)告》顯示,2018年上半年,安卓端獲取隱私權(quán)限的手機(jī)APP占比達(dá)到99.9%,也就是說(shuō)幾乎所有的安卓端手機(jī)APP都存在不同程度獲取用戶隱私權(quán)限的情況。
劉華星認(rèn)為,現(xiàn)在大部分手機(jī)應(yīng)用并未遵循“最少夠用”的原則。“通常APP所收集來(lái)的信息都用于完善用戶畫像及數(shù)據(jù)分析。一些權(quán)限是非核心、不必要的,一些開(kāi)發(fā)者濫用權(quán)限的授權(quán),比如在產(chǎn)品設(shè)計(jì)時(shí),把未來(lái)才可能用到的權(quán)限全部加上,但目前的版本可能根本用不上。”
值得一提的是,APP的信息安全已經(jīng)引起監(jiān)管部門重視。今年1月底,中央網(wǎng)信辦聯(lián)合工信部、公安部、市場(chǎng)監(jiān)管總局等四部門表態(tài),今年將在全國(guó)范圍內(nèi)發(fā)起專項(xiàng)治理活動(dòng)。嚴(yán)重違法違規(guī)收集個(gè)人信息的APP運(yùn)營(yíng)者,將被依法暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照。
此外,將于5月1日生效的《信息安全技術(shù)個(gè)人信息安全規(guī)范》規(guī)定,收集個(gè)人信息時(shí)需要得到用戶授權(quán),而且收集的如果是個(gè)人敏感信息,還需明示同意。
在劉華星看來(lái),除了大幅提升對(duì)違法違規(guī)企業(yè)的懲罰力度,還需制定APP過(guò)度索權(quán)的評(píng)估標(biāo)準(zhǔn)和打造有力的監(jiān)管體系。