实测50款APP:24款权限超出规范,谁动了你的隐私
6月初,全国信息安全标准化技术委员会发布了《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》(以下简称《信息规范》),依据个人信息收集最少够用的原则以及不同种类APP的业务范围,对地图导航、网上购物、餐饮外卖等16类APP收集个人信息的范围给出了参考。
6月10日至17日,新京报记者依照《信息规范》中的分类选取了50款常用APP,对其索取的权限以及收集信息的范围进行实测,发现若严格按照《信息规范》中划定的信息收集范围,这50个APP中有24个APP索取的权限超出范围,如智联招聘索取了相机、位置、通讯录权限,百合婚恋收集了通讯录权限。
不过记者发现,部分权限索取范围超过《信息规范》的APP也有其正当理由。
“《信息规范》对于现在某些APP过度收集个人信息是有帮助的,是一个非常好的方向,但另一方面,很多时候并不是特别好去判断什么是企业应当收集的个人信息。对于这种情况我认为更重要的是要看企业对数据后续的处理和利用是否规范,是否合规,这应是监管的重点。”6月11日,中国人民大学法学院副教授丁晓东对新京报记者表示。
超半数APP遵守最少够用原则
京东金融、优信等18款APP“超出规范”索取位置信息
《信息规范》指出,移动互联网应用个人信息收集活动,主要依据《信息安全技术个人信息安全规范》的“个人信息安全基本原则”,遵循权责一致、目的明确、最少够用、选择同意、公开透明、确保安全六个原则。
2018年1月,新京报记者曾根据上述原则对20款主流APP进行测试发现,当时不少APP不仅越界索权,还未向用户进行明示提醒。
而在此次测试中,50款APP在索取权限时,均向用户进行了明示提醒,遵循了“选择同意”原则。但记者发现在“最少够用”与“目的明确”原则上,有部分APP仍不够完善。
“最少够用”原则指的是不收集与APP提供的服务无关的个人信息,不申请打开可收集无关个人信息的权限。只收集满足业务功能所必需的最少类型和数量的个人信息,自动收集个人信息的频率不超过业务功能实际所需的频率。
《信息规范》将APP“非越界”索取的信息分为了通用功能相关必要信息与必要信息两类。
其中,通用功能相关必要信息是指根据相关法律法规要求,保障移动互联网应用安全风险管控所必需的个人信息,记者发现这主要包括电话权限等;而必要信息主要包括APP中与基本业务功能直接关联,一旦缺少会导致基本业务功能无法实现或无法正常运行的个人信息,如位置之于导航类APP,姓名之于票务类APP。
新京报记者按该规定内容测试了50款常用APP发现,有24款APP所开启的权限违背了“最少够用”原则,而在多开启的权限中,位置总共被获取了18次。
位置是被索取最多次数的权限。根据《信息规范》,位置信息对于地图导航、网络约车两类APP来说属于必要。而对于快递配送、网上购物等门类的APP,虽然没有直接写明位置信息属于必要,但表示APP可以记录收货地址、购物地址等。
新京报记者测试发现,除上述门类的APP外,新闻资讯、房产交易、汽车交易等门类下共计18款APP也开启了位置权限。例如建行、京东金融、优信二手车等APP就索取了位置信息。根据《信息规范》,这些APP开启位置权限的行为属于“非业务功能所必需”。
这些APP中,部分索取位置权限的APP有其打开后就马上需要使用的功能,如优信二手车APP在下载后需要马上提供位置权限以便进行二手车“上门服务”。也有一些APP有相应功能,但并非需要马上使用,如京东金融内设本地生活栏目,豆瓣则有“豆瓣同城”,但这些APP在打开后立刻向用户索取了位置权限。
在不少用户看来,一些APP收集位置信息可以理解,如微信、抖音等发消息时可以“秀定位”。
对此,丁晓东对新京报记者表示,《信息规范》对于现在某些APP过度收集个人信息是有帮助的,是一个非常好的方向,但另一方面,对于什么是企业应当收集的个人信息,很多时候并不是特别好去判断,因为APP很多业务功能会扩展,很多业务的使用场景也都不同,而且很多时候APP提示用户同意收集,其实也是给了消费者选择权。
目的明确原则不够完善
智联招聘“多”开位置相机通讯录权限
在此次测试中,新京报记者发现在“目的明确”原则上,部分APP仍不够完善。
“目的明确”原则指的是APP向用户明示收集使用个人信息的目的、方式和范围,且收集的个人信息及申请的权限应具有合法、正当、必要、明确的收集使用目的和业务功能。
在本次测试中,多数APP只“超出规范”开启了一个权限,如豆瓣开启了位置等。智联招聘、陌陌“多”开启的权限数量超过两个。其中,智联招聘在安装后第一次运行时向用户提示索取位置、相机、通讯录权限;陌陌索取位置、相机、麦克风权限。
对于“超出规范”索取的权限,有不少APP直接在功能中予以体现。也有一些APP对权限的索取虽然与主业不符,但在首次打开后就进行了明确告知。
在本次测试中,新京报记者选取了打开APP后首先提示开启的权限作为该APP“与主业相关”的权限。在这一测试机制下,有部分APP在首次安装并打开后就索取了与主业无关的权限,且并未以明显方式提示用户其开启的权限有何用处。
如根据《信息规范》,“求职招聘”类APP可以索取的必要信息包括用户注册的手机号码、账号信息、求职者基本信息、教育信息和工作经历信息等。但记者首次安装并打开智联招聘后,该APP提示开启了位置、相机、通讯录等与上述可索取信息并不相干的权限,且并未提示为何开启这些权限。
新京报记者在智联招聘APP中寻找相应功能发现,位置权限与其首页检测用户所在城市并推荐工作有关,相机权限则发现与上传头像有关,记者未发现与开启通讯录权限所关联的主要业务功能。
需要注意的是,与智联招聘同样属于“求职招聘”类的Boss直聘与前程无忧只开启了位置信息,并未在安装后即向用户索取相机和通讯录权限,猎聘则未索取与主业无关的信息。
与之类似的还有百合婚恋。根据《信息规范》,婚恋相亲类APP可以收集手机号码、账号信息、个人基本资料等信息。但新京报记者首次打开百合婚恋后,该APP明示索取通讯录权限,相比之下,同属婚恋相亲类APP的世纪佳缘、珍爱网就没有索取通讯录权限。
开启权限有什么风险?
技术上APP可获取偷窥隐私的“后门”
需要注意的是,不论是当用户需要时再提示开启权限,还是在一开始就开启权限,一旦当安卓用户开启权限后,该权限就会一直处于“开启”状态,除非用户再手动关闭。这是因为相比于苹果ios系统具有权限“只在APP运行时开启”、“始终开启”、“不开启”的三个选项,安卓系统的隐私选项颗粒较粗,绝大多数用户只能选择“开启”或“关闭”,这意味着一旦授予后,该权限并不会随应用状态的改变(进入或退出使用状态)而发生变化。
这就意味着,不论是正当还是非正当的目的,只要安卓用户向APP打开权限的大门后,APP也拥有了偷窥用户隐私的技术权限。
“目前,不少APP索取权限虽然过界但有理由,比如导航APP要麦克风权限,其实我个人认为这个理由未必正当。因为当我们需要语音服务的时候,APP是可以录音的,但如果在我们不需要该服务的时候,它还录音,那么就侵权了。”中国人民大学法学院教授刘俊海告诉新京报记者。
有安全专家向新京报记者介绍,随着市场上APP的功能越来越丰富,申请的权限也越来越多,但另一方面,以窃取泄露用户信息为目的的恶意APP和仅是提供服务的非恶意APP申请的权限交集也更大了。“例如目前许多APP都有‘语音搜索’功能,即便这并非其核心功能,开启与否区别不大,但一旦开启,就意味着APP有了窥探用户隐私的能力。”
在其看来,只要开启了录音权限,技术上APP确实可以获取用户的录音;而开启了通讯录权限,技术上APP也可以得到你的联系人名单。换言之,只要拿到相关权限,APP可能在正常提供相关服务的同时,“顺手”获取用户的隐私数据,不管这些数据是否属于“服务必需之外”。
目前,由权限开启与否来判断企业是否窃取隐私确实存在一定争议。新京报记者发现,目前APP为正常运行基本都需要获取储存权限,但根据APP治理工作组5月14日发布的文章,给予APP储存权限后,APP将可以访问安卓手机的“公共储存区”,按照安卓系统的设计,“公共储存区”包括手机拍照的照片、拍摄的视频;各种下载的文件;微信、QQ等即时通信接收的文件等。因此,获取存储权限后,APP理论上就可以收集用户存储在手机上的所有照片、文件等个人的数据和文件,“不排除APP申请该权限后进行滥用的可能。”
“事实上,如果一些应用程序涉嫌非法收集、使用加工用户隐私信息,通过深度数据解析、网络通讯行为分析、相关操作访问等技术手段是可以监测到的。因此,个人信息的使用无论是软件开发者、公司或机构都要遵循相关法律法规,否则,一旦涉嫌用户信息不当使用都要承担相应后果。”北京邮电大学移动互联网与大数据安全联合实验室主任马兆丰博士告诉新京报记者,“个人信息的使用、保存、委托处理、共享、转让或公开披露等必须满足个人信息安全基本原则和规范,个人信息的不当获取、使用、加工处理涉嫌违法犯罪要负法律责任。”
有安全专家对新京报记者表示,“由于很难取证,目前并没有有效的惩处制度来约束APP的这种隐私窃取行为,用户也无法证明APP是否真的窃取了隐私。”
专家:关注APP信息处理是否合规或更正确
前不久,腾讯科恩实验室发布了《安卓应用安全白皮书》,选取2018年下载量较高的1404个APP为样本检测发现,92%的安卓应用过度获取核心隐私权限。白皮书显示,这些APP过度收集或使用的隐私数据主要包括位置信息、通讯录信息、手机号码等个人信息。
新京报记者发现,在法律法规上,目前针对APP中个人隐私保护的条例有逐渐细化与严厉的趋势。
如5月28日,网信办发布《数据安全管理办法(征求意见稿)》,其中第十七条规定,网络运营者以经营为目的收集重要数据或个人敏感信息的,应当明确数据安全责任人。并规定“数据安全责任人由具有相关管理工作经历和数据安全专业知识的人员担任,参与有关数据活动的重要决策,直接向网络运营者的主要负责人报告工作。”
但在一些业界专家看来,过于严苛的保护条例或将影响大数据产业的发展。
“《征求意见稿》中有一些条文规定不太完善。如第26条,网络运营者接到相关假冒、仿冒、盗用他人名义发布信息的举报投诉时,应当及时响应,一旦核实立即停止传播并作删除处理。如何保证举报投诉的真实性、紧急性?如何防范恶意投诉?这条缺乏恢复措施。”6月11日,中央民族大学法学院副教授熊文聪表示。
在他看来,如果规定过细的事先预防规则,网络运营者或难以做到。且监管成本与监管者的选择也是难题之一。此外,要求网络运营者做太多或会压制技术创新和商业模式的创新。“是不是不用规定这么细,而是通过事后的惩戒和给予权利人(个人信息主体)的隐私权或一般人格权遭受损害后的救济途径能更好地解决问题,并能平衡各方利益?”
而在丁晓东看来,与其把注意力完全放在对APP收集信息上进行限制,更重要的可能是看企业对于数据的处理和利用是否符合全流程的周期,或者说使用是不是规范。“大数据的发展本身就依赖于数据的合理使用,而且消费者也会感到很多困扰,例如很多时候弄不清哪些时候需要开启权限,哪些时候不需要开启,所以应该给企业一定的收集信息的自主性。另一方面,在给予自主性的同时,要更加严格地去看企业对信息的收集和使用的流程,是否有数据伦理,或者对数据后续的处理和利用是否规范,是否合规,这才是监管的重点。”
“现在监管重点放在了消费者对APP开启权限的知情和同意上,但实际上知情同意原则在学界中批判声音非常多。若国家对企业开启哪些权限有强制性的要求,这其实已经超越了知情同意的原则,所以,某种程度上把注意力放在权限上本身就是一种问题,应该把注意力更多地放在后续的环节上。”丁晓东对新京报记者表示。