荔枝特报专稿 记者/周诗婕
下载计算器,却要求联网权限。下载美食软件,却要求通讯录权限。下载购物平台,却要求日历权限……
APP过度索权一直是备遭吐槽,近日,人民日报一则《手机APP过度索取权限何时休》让APP过度索权现状再度曝光在镁光灯下。
为何APP要过度索权?谁来承担APP索权的审核责任?“技术霸凌”之下,个人信息安全如何保障?荔枝新闻记者对此进行调查。
APP索权生态:可获取权限多达40条 最贵转卖数据达五毛一条
都在谈APP过度索权,那么手机APP到底可以索取哪些权限?荔枝新闻记者通过查阅某Android论坛发现,Android各类权限接近40个,被列入“危险权限”达24个,包含日历、相机、通讯录、定位、麦克风、传感器、短信、内存等。
值得注意的是:表中每个危险权限都属于一个权限组,用户一旦同意授权,那么该权限组中其他权限也将同时被授权。这也就意味着,如果用户通过了“通讯录”授权,那么“通讯录”权限组的其他权限——读取通讯录、写入通讯录、得到账号——都将同时被授权。
DCCI互联网数据研究中心联合腾讯社会研究院发布的《网络隐私安全及网络欺诈行为研究分析报告(2018年)》显示:2018年上半年Android端获取隐私权限的手机APP占比相较于2017年下半年提高1.4%,达到99.9%,几乎所有的Android端手机APP都会获取隐私权限。iOS端获取手机隐私权限的APP比例呈上升趋势,2018年上半年iOS端获取手机隐私权限的APP比例已达到93.8%。在现实中,一部分移动开发者在申请获取手机权限时采用的是“多多益善”原则,甚至个别移动开发者为追求短期利益,存在售卖用户隐私信息的行为,造成大量用户隐私信息泄露。
荔枝新闻记者调查发现,通过APP授权获取利益的情况确实存在。一部分通过大数据买卖;还有一部分是直接变现的收入。
“安卓开发者账号”的一位群友向记者“兜售”数据道,“我们可以向用户发送短信,一条一毛二;我们的用户数据库很大,定期更新,有几百万”。
这位群友同时向记者透露,“目前市面上最值钱的是贷款数据,可以通过贷超APP获取,一条信息至少五毛以上”。
“安卓开发者账号”的另一位群友则向记者吐槽了自己因为“授权”中招的经历。“下载了某软件以后,短信一直发,各种扣费”。
他向荔枝新闻记者展示,目前该软件在某用户量最多的Android APP商店上依旧可以下载,下载量已逾千。
那么,此类APP商店对此具有审核责任吗?
平台审核:部分严苛部分马虎 多为人工判断
某国产手机研发部工程师向荔枝新闻记者透露,APP商店一般会对APP申请的权限与功能是否相符进行审核。APP商店对APP具有审核责任。
目前,苹果系统的应用商店申请比较严苛;但Android系统由于应用商店庞杂,审核鱼龙混杂。
荔枝新闻记者查看苹果应用商店的审核规范发现,苹果应用商店对于上架APP的数据收集和存储作出了细致的规范。
在访问权限这一栏,其写道:不得操纵、欺骗或强迫用户同意不必要的数据访问……若有可能,请为不同意的用户提供解决方案。
苹果应用商店审核规范
荔枝新闻记者同时查看了Android几大APP商店的审核规范,发现不同的APP商店对于隐私及权限的说明各有不同。
某用户量最多的Android APP商店仅在审核规范里提到:APP存在非法窃取或上传用户隐私信息的将被拒绝。
某用户量最多的Android APP商店审核规范截图
某用户量排名前十的Android APP商店也仅提示:APP不得未经用户授权自动发送短信、拨打电话、联网下载或获取用户个人信息。
某用户量排名前十的Android APP商店审核规范截图
相比而言,一些国产手机自带的应用商店对于“越权”行为有比较明确的说明:
国产某手机应用商店审核规范
国产某手机应用商店审核规范
国产某手机应用商店审核规范
不过,该工程师同时向记者透露,“Android各大APP商店之间也存在竞争关系,而且审核大多由人工操作,审核并不严格”。
所以,APP过度索权究竟应该谁来监管?过度索权APP到底侵犯了用户的哪些权益?
立法规范:个人信息保护或迎来专门立法
作为全国首例“个人信息民间公益诉讼”发起者、曾于2018年1月状告百度涉嫌违规获取消费者个人信息的江苏省消保委向荔枝新闻记者介绍道,根据《消费者权益保护法》、《中华人民共和国网络安全法》、《江苏省消费者权益保护条例》的规定,经营者收集、使用消费者个人信息,应当明示收集、使用信息的目的、方式和范围,并经消费者同意;经营者收集消费者个人信息应当符合正当、合法、必要原则,不应超出上述原则获取权限,更不得违法收集消费者个人信息。
不过,目前国内对个人信息的保护并没有制定一部专门的法律,涉及个人信息保护的条款散见于我国《民法总则》《消费者权益保护法》《网络安全法》等不同的法律中,但这些规定对个人信息的内涵和外延都没有形成统一的标准。
最高人民检察院检察技术信息研究中心主任赵志刚在此前接受央视新闻采访中表示,个人信息保护法已经列入本届全国人大常委会立法规划,我国将进一步加大对个人信息保护力度。
为了扼制APP强制授权、过度索权、超范围收集个人信息等现象,中央网信办、工信部、公安部、市场监管总局等四部门自2019年1月至12月,也在全国范围组织开展APP违法违规收集使用个人信息专项治理。
四部门同时出台《APP违法违规收集使用个人信息行为认定方法(征求意见稿)》,《征求意见稿》自5月5日起公开征求社会意见。《征求意见稿》拟规定,在未打开或使用APP时,APP后台调用用户个人信息;APP利用用户信息和算法定向推送新闻、广告等,未提供终止定向推送的选项等行为,都将视为违法违规。
那么,个人应该如何规避APP过度索权和隐私泄露?
专家提示:选择正规渠道下载APP 重视手机隐私权限管理
《网络隐私安全及网络欺诈行为研究分析报告(2018年上半年)》提示用户:尽量选择官方渠道,特别是投资理财、银行类APP,不要下载来历不明的山寨APP;谨慎授予APP“打开摄像头和麦克风”、“读取短信”、“读取联系人”、“读取位置信息”等权限;对一些使用大量流量且没有告知的APP,及时检查和删除。