您的位置: 首页 > 周刊 > 产经 > IT互联网

App 用户权限遭滥用

出处:IT互联网 作者:记者 魏蔚 网编:产经中心 2019-03-14

2

3

与用户权限息息相关的大数据,同样和互联网企业的商业化密不可分,甚至可以说,大数据这个新物种就等同于金钱。不过为了积累大数据,部分App长时间滥用用户权限,成为新陷阱。

根据浙江此前一起侵犯公民信息案,该案涉及公民个人信息2亿余条,非法获利金额累计达2000余万元。北京商报记者发现,被中消协在《100款App个人信息收集与隐私政策测评报告》(以下简称“中消协《100款App测评报告》”)中点名的17款App中,安卓版咪咕视频的收集范围最广,共收集25项用户权限。App都收集哪些个人信息?谁在过度收集?如何监管企业行为?这已经变成全民话题。在整治App过度采集用户权限和隐私信息的监管高压下,仍有企业铤而走险。

法律界人士指出,目前国家已有多部法律和规定对App设置了收集用户信息的范围,但是由于App功能繁多,建立具化的统一的限定标准较难。短期内依靠企业自律、加大处罚力度是为数不多的解决方法。

1

大数据喜欢什么信息

“随着手机系统的更新和App本身功能的升级,用户个人信息权限不断细化,种类也不断增多。”DCCI互联网数据中心高级分析师胡修昊,以腾讯社会研究中心和DCCI互联网数据中心2019年1月发布的《2018年度网络隐私及网络欺诈行为研究分析报告》(以下简称“腾讯DCCI《2018年网络隐私报告》”)举例,“以往调研选取14个隐私权限,这次又增添了11个新的隐私权限”。

新增的隐私权限分别是:读写存储设备、获取应用列表、呼叫转移、获取浏览器上网记录、新建/修改/删除日历、写/删联系人、读取运动数据、写/删短信/彩信、写/删通话记录、使用身体传感器、ROOT。

此前的14个隐私权限包括5项核心隐私权限、5项重要隐私权限、4项普通隐私权限。越来越细化的用户权限将使大数据更丰富,更多纬度的大数据让互联网更容易做商业判断,同时也令越来越多的用户跌入陷阱。

通过腾讯DCCI《2018年网络隐私报告》可以窥见整个行业的现状,当前所有的Android端App都会不同程度地获取手机隐私权限。Android端手机App最常获取的三大核心隐私权限分别是获取位置信息、读取联系人和读取短/彩信,分别有 81.9%、51.9%和 42.8%的App获取了以上三大核心隐私权限。

Android端手机App最常获取的三大重要隐私权限分别是使用话筒录音、打开摄像头和发送短信权限,分别有 86.9%、81.6% 和 53.6%的 App获取了以上三大重要隐私权限。

腾讯DCCI《2018年网络隐私报告》对iOS端的隐私权限调查显示,iOS端通讯社区类App 获取的隐私权限最多,此类App是获取手机隐私权限最多的App。照片、定位和相机是iOS端App最常获取的三大隐私权限。

谁在顶风作案

有哪些App正疑似制造新陷阱?对照中消协《100款App测评报告》,北京商报记者调查发现,因涉嫌过度收集信息被点名的17款App,安卓版咪咕视频的收集范围最大,共获取25项用户信息权限,两度被点名的美图秀秀、ofo小黄车和爱抢购分别收集10项、11项和10项用户信息权限。

根据艾媒咨询在2019年2月13日的统计,安卓版本的QQ、微博、工银融e联、新浪新闻、咪咕阅读、芒果TV、乐视视频等App存在越界收集问题。其中乐视视频在5项信息收集上疑似跨界,QQ和咪咕阅读疑似跨界收集的用户信息各有4项,微博、工银融e联各有3项,新浪新闻有2项,芒果TV有1项。这些App在艾媒咨询2018年4月发布的《2018中国手机App隐私权限测评报告》(以下简称“艾媒咨询《2018年测评报告》”)中,就存在疑似跨界的情况。

艾媒咨询《2018年测评报告》显示,包括QQ、微博、工银融e联、新浪新闻、咪咕阅读、芒果TV和乐视视频等App疑似跨界收集用户信息。在艾媒咨询看来,对于社交类、理财类手机App,读取通话记录、联系人、短信、彩信等行为对于这些App正常运作所起作用有限,App对该部分信息的读取涉及疑似越界行为。

在艾媒咨询2019年2月13日的统计中,上述App仍有不同程度的疑似跨界。乐视视频依然是疑似跨界收集用户权限最多的App,分别为拨打电话、读取短信/彩信、读取联系人和定位。

QQ共收集12项用户信息,艾媒咨询认为其中4项疑似跨界收集,包括读取用户通话记录、读取短信、读取彩信和读取联系人;咪咕阅读共收集8项用户信息,艾媒咨询认为其中4项疑似跨界收集,分别为读取用户短信、读取彩信、读取联系人和定位;微博共收集10项用户信息,艾媒咨询认为其中3项疑似跨界收集,分别是读取短信、读取彩信和读取联系人;工银融e联共收集11项用户数据,其中读取短信、读取彩信和读取联系人也被认为疑似跨界。

北京商报记者于2月13日对比发现,上述疑似跨界收集涉及的用户信息与艾媒咨询《2018年测评报告》中所列一致。

对于收集这些用户信息的目的,截至北京商报记者发稿,新浪新闻、芒果TV、QQ和咪咕阅读方面未予回应。乐视视频相关技术负责人回应,这是安卓6.0以上版本系统对所有App的要求,App方无法修改,所以引起了用户误解,之后会在流程上尽量优化。

工行业务专家表示,工银融e联对客户信息进行访问或采集前,结合用户使用的具体功能需要请求授权,在用户允许的情况下才会获取相应的手机权限。例如针对安卓手机,在校验短信验证码时,为提升用户体验,会向用户请求读取短信/彩信权限,用于自动回填验证码;在用户需要添加手机联系人为好友时,会向用户请求读取联系人权限,用户快速添加好友。用户均可自由选择同意或拒绝。

芒果TV和新浪新闻是少有的取消多项信息收集的App,根据艾媒咨询2019年2月统计,芒果TV共收集4项用户信息,这远少于此前报告中显示的9项,不过获取用户定位的做法仍然疑似跨界收集。新浪新闻共收集4项用户信息,较此前少了3项,但艾媒咨询认为获取用户定位和拨打电话依然疑似跨界收集。

为何屡教不改

为了阻止用户掉入大数据的新陷阱,中消协也通过点名的方式警示。

根据中消协《100款App测评报告》,在10类100款App中,多达91款App列出的权限存在涉嫌“越界”,即存在过度收集用户个人信息的问题:59款App涉嫌过度收集“位置信息”,28款App涉嫌过度收集“通讯录信息”,23款App涉嫌过度收集“身份信息”,22款App涉嫌过度收集“手机号码”等。

多家企业被作为典型案例点名,包括:聚看点、网易彩票、天天P图、咪咕视频、139邮箱、捷信快贷、美图秀秀、中国工商银行、ofo小黄车、爱抢购、新浪新闻、e代驾、悟空理财、去哪儿、拼多多。其中两次被点名的有:美图秀秀、ofo小黄车、爱抢购等。

北京商报记者调查发现,上述App中,咪咕视频获取用户信息权限最多,共有25项,分别为发送短信、接收短信、接收彩信、读取短信/彩信、接收WAP信息、修改系统设置、读取存储卡中的内容、修改或删除存储卡中的内容、录制音频、拍摄照片和录制视频、查找设备上的账号、获取设备识别码和状态、访问确切位置信息、访问大致位置信息、访问身体传感器、读取日历、新建/修改/删除日历、拨打电话、重新设置外拨电话的路径、拨打/接听SIP电话、读取通话记录、新建/修改/删除通话记录、读取联系人、新建/修改/删除联系人、显示在其他应用上面。

在中消协《100款App测评报告》中两次被点名的有:美图秀秀、ofo小黄车、爱抢购。

北京商报记者发现,其中美图秀秀共获取了10项用户信息权限,分别是:修改系统设置、读取存储卡中的内容、修改或删除存储卡中的内容、录制音频、拍摄照片和录制视频、获取设备识别码和状态、访问大致位置和确切位置信息、访问身体传感器、显示在其他应用上面。

此外,ofo小黄车获取11项用户信息权限、爱抢购10项、聚看点10项、天天P图8项、139邮箱18项、中国工商银行15项、新浪新闻12项、e代驾15项、悟空理财18项、去哪儿13项、拼多多9项。

有没有越界标准

为什么多个报告质疑App的收集行为?国家如何从法律层面约束企业的行为?中国政法大学知识产权中心特约研究员赵占领告诉北京商报记者,“《中华人民共和国网络安全法》、《电子商务法》、《全国人大常委会关于加强网络信息保护的决定》和《电信与互联网用户个人信息保护规定》等都规定了企业收集、使用个人信息的原则”。

其中,2017年6月1日实施的《中华人民共和国网络安全法》对个人网络信息安全的要求最全面。

《中华人民共和国网络安全法》第四章专门针对网络信息安全,第四十一条为“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息”。

不过赵占领与国标律师事务所主任姚克枫均表示,目前没有针对各个垂直领域细化的法律法规。“在收集个人信息方面,现在大多数知名软件都通过用户协议或个人信息保护政策等方式告知用户并经用户同意,至于收集哪些信息,各个软件做法不一。现有法律法规没有针对各个细分领域单独进行规定,比如视频App只能收集哪些信息、电商App只能收集哪些信息,主要原因在于行业和软件类型众多,很难逐一规定收集个人信息的范围,只能通过必要性原则来判断。”赵占领向北京商报记者直言,“但是收集哪些信息有必要性,在很多情况下都容易产生争议。比如新闻App能否收集用户的地理位置信息,是否具有必要性,经营者可能会解释新闻App通过收集用户地理位置信息可以更好地判断用户在不同场景下的阅读习惯,以便为用户提供更精准的内容。当然,从用户角度来讲,可能会认为新闻App提供的是新闻服务,收集用户地理位置信息并非提供基本服务所必需的。”

姚克枫更是直言,“因为缺乏细化的法律和规定,各种App在打擦边球。”艾媒咨询高级分析师刘杰豪对此表示赞同,他说,“目前设立标准界定有难度。拿短信读取这一功能来说,它在便利性协助以及风险上都是客观存在的,如果App仅通过权限调用实现功能上的协助,在敏感信息读取上能够严守行业准则,那对用户不会构成危害。但是App在实质运行上有没有越界行为,这部分是存在灰色空间的,还需要行业以及用户的共同监督。”

也正因为此,第三方报告在质疑某类或某个App收集用户个人信息时,大多用“疑似跨界”、“涉嫌过度收集”来描述。法律和舆论也没有一刀切,法律界和第三方分析师普遍认为,App到底有没有过度收集需要根据具体案例分析。

针对艾媒咨询提出的QQ、微博等隐私跨界收集,刘杰豪以微博和咪咕阅读为例解释,“微博在读取短信、彩信和联系人时存在疑似跨界的情况,主要在于权限调用对用户信息安全的风险。对于所有App来说,在读取短信、彩信和联系人后,包括用户的日常联系号码、短信等都有违规上传泄露的风险。而对于大部分用户来说,短信信息可能包括日常工资收入、转账流水情况、App使用情况等,一旦泄露可能会造成严重后果。用户需要在这些权限开放上进行有效规避”。

微博方面认为,微博是社交媒体平台,基于社交关系和兴趣推荐内容。通过通讯录好友可以向用户推荐更精准的好友和信息,但是否授权微博读取通讯录,主动权在用户,可以自主选择。

具体到咪咕阅读,刘杰豪说,“作为一个阅读类App,咪咕阅读的主要功能是满足用户的阅读偏好,方便读者搜索符合自身兴趣的文章进行阅读。相比于用户在App内的浏览记录进行个性化服务提升,读取短信、彩信、联系人以及定位在其功能上优化上提供的效果不多,所以我们分析认为在该几项权限获取上是疑似越界的”。

陷阱背后的秘密

既然某些用户权限并不用于支持App的主要功能,那企业为何还要获取这些大数据?

“从行业上来说,新用户的增长越来越困难。对各厂商而言,基于存量用户的运营效率优化是他们的核心竞争力。收集更多用户数据,以更深入地了解和挖掘用户需求,提供更加精准的服务,能够帮助厂商节约大量运营成本。”易观研究中心分析师何文倩表示。

她以电商为例解释,“电商过去通过短信进行促销是无差别的,厂商的营销成本都极高,相对应的是用户的烦不胜烦和与成本不相称的收入。获得对用户的多维度了解后,就能够有效减少对用户的无效干扰,同时降低厂商的运营成本,提高运营效率”。

在胡修昊看来,手机App隐私权限滥用还是用户隐私泄露的渠道之一。“通过手机App或其他的网络服务,我们个人在互联网时代都是被数据化的,也就是说通过数据可以展现你的一个立体画像、模型。”胡修昊认为,“如果这个权限被他人掌握,而且恶意利用的话,结果就会非常恐怖。”

实际上,个人信息买卖目前已形成一条规模大、链条长、利益大的黑色产业链。“这条产业链结构完整、分工细化,个人信息被明码标价,流通变现环节主要包含三个方面。”据中国人民大学法学院博士后刘笑岑介绍,上游环节负责“源头供货”,非法获取或向他人提供个人信息,主要来自于黑客攻击和“内鬼”外泄;中游环节负责对从上游处获取的个人信息进行处理与再加工,通过买卖、交换等形式形成规模化市场;下游环节负责“应用变现”,将所获个人信息应用于电信诈骗、恶意营销等不法渠道以牟取高额利润。

仅腾讯DCCI《2018年网络隐私报告》就能掀开网络隐私危害的一角,2018年全年,腾讯安全实验室为用户拦截恶意网址超5550亿次,其中信息诈骗网址拦截次数超387亿次,诈骗电话和诈骗短信依然猖獗。2018年全年,腾讯手机管家用户标记诈骗电话超6100万个,举报诈骗短信超5100万条。

为此,中央网信办、工信部、公安部、市场监管总局决定自2019年1-12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。要求App运营者收集使用个人信息时,不得收集与所提供服务无关的个人信息;收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则,并经个人信息主体自主选择同意;不以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得违反法律法规和与用户的约定收集使用个人信息。

在姚克枫看来,“要治理App违法违规收集,最主要的就是国家监管,比如说加大处罚力度,甚至降低刑事案件的立案标准,现在刑事案件的立案标准较高,降低有利于保护个人信息安全”。北京商报记者 魏蔚

右侧广告

本网站所有内容属北京商报社有限公司,未经许可不得转载。 商报总机:010-64101978 媒体合作:010-64101871

商报地址:北京市朝阳区和平里西街21号 邮编:100013 法律顾问:北京市中同律师事务所(010-82011988)

网上有害信息举报  违法和不良信息举报电话:010-84276691 举报邮箱:bjsb@bbtnews.com.cn

ICP备案编号:京ICP备08003726号-1  京公网安备11010502045556号  互联网新闻信息服务许可证11120220001号