APP過度索權背後:大量數據被販賣,貸款數據一條至少五毛

荔枝特報專稿 記者/周詩婕

下載計算器,卻要求聯網權限。下載美食軟件,卻要求通訊錄權限。下載購物平台,卻要求日曆權限……

APP過度索權一直是備遭吐槽,最近,人民日報一則《手機APP過度索取權限何時休》讓APP過度索權現狀再度曝光在鎂光燈下。

為何APP要過度索權?誰來承擔APP索權的審核責任?「技術霸凌」之下,個人信息安全如何保障?荔枝新聞記者對此進行調查。

APP索權生態:可獲取權限多達40條 最貴轉賣數據達五毛一條

都在談APP過度索權,那麼手機APP到底可以索取哪些權限?荔枝新聞記者通過查閱某Android論壇發現,Android各類權限接近40個,被列入「危險權限」達24個,包含日曆、相機、通訊錄、定位、麥克風、傳感器、簡訊、內存等。

APP過度索權背後:大量數據被販賣,貸款數據一條至少五毛

值得注意的是:表中每個危險權限都屬於一個權限組,用戶一旦同意授權,那麼該權限組中其他權限也將同時被授權。這也就意味著,如果用戶通過了「通訊錄」授權,那麼「通訊錄」權限組的其他權限——讀取通訊錄、寫入通訊錄、得到帳號——都將同時被授權。

DCCI互聯網數據研究中心聯合騰訊社會研究院發布的《網路隱私安全及網路欺詐行為研究分析報告(2018年)》顯示:2018年上半年Android端獲取隱私權限的手機APP占比相較於2017年下半年提高1.4%,達到99.9%,幾乎所有的Android端手機APP都會獲取隱私權限。iOS端獲取手機隱私權限的APP比例呈上升趨勢,2018年上半年iOS端獲取手機隱私權限的APP比例已達到93.8%。在現實中,一部分移動開發者在申請獲取手機權限時採用的是「多多益善」原則,甚至個別移動開發者為追求短期利益,存在售賣用戶隱私信息的行為,造成大量用戶隱私信息泄露。

荔枝新聞記者調查發現,通過APP授權獲取利益的情況確實存在。一部分通過大數據買賣;還有一部分是直接變現的收入。

「安卓開發者帳號」的一位群友向記者「兜售」數據道,「我們可以向用戶發送簡訊,一條一毛二;我們的用戶數據庫很大,定期更新,有幾百萬」。

這位群友同時向記者透露,「目前市面上最值錢的是貸款數據,可以通過貸超APP獲取,一條信息至少五毛以上」。

APP過度索權背後:大量數據被販賣,貸款數據一條至少五毛

APP過度索權背後:大量數據被販賣,貸款數據一條至少五毛

「安卓開發者帳號」的另一位群友則向記者吐槽了自己因為「授權」中招的經歷。「下載了某軟件以後,簡訊一直發,各種扣費」。

他向荔枝新聞記者展示,目前該軟件在某用戶量最多的Android APP商店上依舊可以下載,下載量已逾千。

那麼,此類APP商店對此具有審核責任嗎?

平台審核:部分嚴苛部分馬虎 多為人工判斷

某國產手機研發部工程師向荔枝新聞記者透露,APP商店一般會對APP申請的權限與功能是否相符進行審核。APP商店對APP具有審核責任。

目前,蘋果系統的應用商店申請比較嚴苛;但Android系統由於應用商店龐雜,審核魚龍混雜。

荔枝新聞記者查看蘋果應用商店的審核規範發現,蘋果應用商店對於上架APP的數據收集和存儲作出了細致的規範。

在訪問權限這一欄,其寫道:不得操縱、欺騙或強迫用戶同意不必要的數據訪問……若有可能,請為不同意的用戶提供解決方案。

APP過度索權背後:大量數據被販賣,貸款數據一條至少五毛

 蘋果應用商店審核規範

荔枝新聞記者同時查看了Android幾大APP商店的審核規範,發現不同的APP商店對於隱私及權限的說明各有不同。

某用戶量最多的Android APP商店僅在審核規範里提到:APP存在非法竊取或上傳用戶隱私信息的將被拒絕。

APP過度索權背後:大量數據被販賣,貸款數據一條至少五毛

 某用戶量最多的Android APP商店審核規範截圖

某用戶量排名前十的Android APP商店也僅提示:APP不得未經用戶授權自動發送簡訊、撥打電話、聯網下載或獲取用戶個人信息。

APP過度索權背後:大量數據被販賣,貸款數據一條至少五毛

 某用戶量排名前十的Android APP商店審核規範截圖

相比而言,一些國產手機自帶的應用商店對於「越權」行為有比較明確的說明:

APP過度索權背後:大量數據被販賣,貸款數據一條至少五毛

國產某手機應用商店審核規範

APP過度索權背後:大量數據被販賣,貸款數據一條至少五毛

國產某手機應用商店審核規範

APP過度索權背後:大量數據被販賣,貸款數據一條至少五毛

國產某手機應用商店審核規範

不過,該工程師同時向記者透露,「Android各大APP商店之間也存在競爭關係,而且審核大多由人工操作,審核並不嚴格」。

所以,APP過度索權究竟應該誰來監管?過度索權APP到底侵犯了用戶的哪些權益?

立法規範:個人信息保護或迎來專門立法

作為全國首例「個人信息民間公益訴訟」發起者、曾於2018年1月狀告百度涉嫌違規獲取消費者個人信息的江蘇省消保委向荔枝新聞記者介紹道,根據《消費者權益保護法》、《中華人民共和國網路安全法》、《江蘇省消費者權益保護條例》的規定,經營者收集、使用消費者個人信息,應當明示收集、使用信息的目的、方式和範圍,並經消費者同意;經營者收集消費者個人信息應當符合正當、合法、必要原則,不應超出上述原則獲取權限,更不得違法收集消費者個人信息。

不過,目前國內對個人信息的保護並沒有制定一部專門的法律,涉及個人信息保護的條款散見於大陸《民法總則》《消費者權益保護法》《網路安全法》等不同的法律中,但這些規定對個人信息的內涵和外延都沒有形成統一的標準。

最高人民檢察院檢察技術信息研究中心主任趙志剛在此前接受央視新聞採訪中表示,個人信息保護法已經列入本屆全國人大常委會立法規劃,大陸將進一步加大對個人信息保護力度。

為了扼制APP強制授權、過度索權、超範圍收集個人信息等現象,中央網信辦、工信部、公安部、市場監管總局等四部門自2019年1月至12月,也在全國範圍組織開展APP違法違規收集使用個人信息專項治理。

四部門同時出台《APP違法違規收集使用個人信息行為認定方法(征求意見稿)》,《征求意見稿》自5月5日起公開征求社會意見。《征求意見稿》擬規定,在未打開或使用APP時,APP後台調用用戶個人信息;APP利用用戶信息和算法定向推送新聞、廣告等,未提供終止定向推送的選項等行為,都將視為違法違規。

那麼,個人應該如何規避APP過度索權和隱私泄露?

專家提示:選擇正規管道下載APP 重視手機隱私權限管理

《網路隱私安全及網路欺詐行為研究分析報告(2018年上半年)》提示用戶:盡量選擇官方管道,特別是投資理財、銀行類APP,不要下載來歷不明的山寨APP;謹慎授予APP「打開錄影頭和麥克風」、「讀取簡訊」、「讀取聯繫人」、「讀取位置信息」等權限;對一些使用大量流量且沒有告知的APP,及時檢查和刪除。

(本文系荔枝新聞專稿,轉載請註明出處。)

‘,


近期文章

Be the first to comment

Leave a Reply

Your email address will not be published.


*