築起“ 防火牆”管住APP任性索權的“黑手”
讀取聯絡人和通訊錄,偷偷監控外撥電話,翻看手機通話記錄,甚至還開啟了錄音功能,你的手機也許並不“老實”。即便你安裝的手機APP是行業領先的“大公司出品”,這些APP的安全性也並不能令人完全放心。
理論上說,你放棄的隱私越多,越有可能得到稱心如意的服務,但事實上,無孔不入的APP並沒有留給你多少選擇的空間。當APP越界蒐集個人隱私資訊時,潛在的風險不言而喻。
三令五申APP越界索權“濤聲依舊”
上海市消保委近期對網購平臺、旅遊出行、生活服務等39款市場佔有率領先的手機APP涉及個人資訊許可權評測顯示,截至3月23日,有9款手機APP存在索取的許可權與功能無法對應的問題,涉及聚美、窮遊、貓途鷹、神州租車、百度糯米等。
比如,窮遊APP向用戶索取“讀取聯絡人”的許可權,但並沒有提供相應的功能;神州租車APP向用戶索取“錄音”“監控外撥電話,重新設定外撥電話的路徑”等許可權,但也並未能提供相應的功能。
此次釋出的測評結果,已經是上海市消保委第三次針對手機APP進行的測評。上海市消保委此前已經針對地圖類、瀏覽器類、輸入法類以及綜合視訊類等進行了兩輪測評,發現存在數十項無實際功能對照的許可權申請,包括讀取通訊錄、電話許可權、簡訊許可權、定位許可權等。
上海市消保委祕書長陶愛蓮說,在三令五申下,APP過度索權問題依然屢禁不止,即使是來自行業領先大公司的APP問題同樣突出,已經成為消費者的新痛點。
去年8月,中國消費者協會發布的《APP個人資訊洩露情況調查報告》顯示,超八成受訪者曾遭遇個人資訊洩露問題,其中常見情形為推銷電話、簡訊騷擾、詐騙電話、垃圾郵件。而根據全國消協組織受理消費者投訴情況統計,去年上半年,電商、社交軟體等平臺非法收集消費者個人資訊的現象已成投訴新熱點。
一款手機桌布應用竟然要讀取你的通訊錄,一個瀏覽器應用竟能隨時給你錄音。媒體調查發現,為了收集使用者資訊,在大資料時代佔據市場先機,一些APP過度索取消費者許可權的情況近乎“瘋狂”,相關法律和監管滯後。
利益驅使APP開發商突破底線
在大資料時代,更多的使用者許可權和使用者資訊意味著更大的收益。
早在PC時代,使用者在註冊一些網站時就被要求填寫大量個人資訊,實際上有些個人資訊並不是非填寫不可的,但是在商業利益驅使下,某些網路運營者總是傾向於蒐集儘可能多的使用者資訊。
在移動互聯時代,這一問題有變本加厲之勢。網站註冊時要求使用者填寫儘可能多的個人資訊,網站卻無法獲取電腦許可權;即使有些個人資訊沒有填寫,也是可以註冊的。但是現在APP卻發展到了這樣的程度,一款普通的手機瀏覽器,不開啟定位許可權就無法正常使用;一個普通的手機輸入法,拒絕它讀取你的手機通訊錄等個人資訊就不給你用……
“大資料時代,沒人知道哪些
資料會成為未來商業發展的重點,所以,擁有足夠多的資料才是重點。蒐集的資料越多,營銷價值就越大。 ”一位從事網際網路營銷的業內人士一句話點破了其中奧祕。
APP強制索權之所以會越來越嚴重,與人們日常生活對手機的依存度越來越高有關。網上購物、出門打車、在家叫外賣、上門保潔……現在生活中很多事情都可以藉助於手機完成,當人們習慣了享受APP提供的各項便捷服務時,在與APP的博弈中就會處於下風。
正所謂此消彼長,當棄用某個APP的成本甚至要高於強制索權的潛在危害時,那麼使用者面對APP步步緊逼的強制索權行為即使明知自己權益受損或者可能受損,也不得不有意無意選擇妥協。
網際網路從業人員葉先生對自己安卓手機上安裝的109個應用進行了統計,104個APP都有“讀取已安裝應用列表”許可權,由此可以瞭解使用者的行為習慣及分析同行情況;第二受關注的許可權就是“讀取本機識別碼”,這是用於確定使用者,因為每個手機識別碼都是獨一無二的;第三是“讀取位置資訊”許可權,有80個APP需要這一許可權,可蒐集使用者的活動範圍。
記者搜尋了應用商店10款排名靠前的“手電筒”軟體,除了相機許可權外,絕大部分都要求使用者放開儲存、位置資訊、電話等,還有1款要求開通訪問通訊錄的許可權。
DCCI網際網路資料中心釋出的《2017年中國安卓手機隱私安全報告》顯示,非遊戲類APP2017年越界獲取的各種隱私許可權顯著減少,但核心隱私許可權中的越界獲取“通話記錄”和越界“讀取彩信記錄”出現較大幅度增長。
“從行業看,都在盡一切可能收集使用者資訊。 ”移動網際網路系統與應用安全國家工程實驗室高階安全研究員朱易翔指出,本質上就是一些APP開發商沒有底線。
安全認證行業治理重在嚴肅規範
對於APP來說,過度或者強制索取使用者許可權是一個由來已久的問題。
資訊時代,資料可變現,個人資訊成為買賣的產品,使用者的消費習慣、出行軌跡、財務狀況等成為不少企業的利益源泉,一些企業就把“收割”個人資訊作為博取利益的途徑,甚至不惜鋌而走險,“打擦邊球”牟利。
其實早在2016年12月,《移動智慧終端應用軟體預置和分發管理暫行規定》就明確指出,生產企業和網際網路資訊服務提供者所提供的移動智慧終端應用軟體,不得呼叫與所提供服務無關的終端功能。不過,面對海量的手機APP,這個“不得”的禁令最終被亂象與沉痾所掩蓋。
“雖然我國已經有多部相關法律法規加強對個人資訊和與網際網路相關的消費者權益的保護,但隨著網際網路快速發展,需要確立一個和其他人格權區分的個人資訊權,在立法層面將原本分散的保護規定整合起來,建立起專門的保護機制。 ”作為長期關注隱私保護領域的法律人士,安徽相和律師事務所資深律師王陳認為,越界索權的手機APP,該用法治化的責任擔當來約束其安裝與服務行為。
他還認為,強化對相關企業行為合法性的行政監管非常重要。尤其是針對消費者被侵權,但尚未察覺損失的情況,要有針對性地對企業展開檢查,建立適當的個人資訊侵權行為行政處罰機制。
針對APP過度獲取隱私許可權等現象,今年3月15日“國際消費者權益日”當天,國家市場監管總局和中央網信辦聯合出臺了《關於APP安全認證的公告》,指定中國網路安全審查技術與認證中心(ISCCC)為官方認證機構,依據《資訊保安技術個人資訊保安規範》來制定技術驗證規範,對APP進行安全認證。
記者瞭解到,上述APP安全認證相關通道已經於3月21日正式開通。認證秉承自願原則,按照“技術驗證+現場核查+獲證後監督”的模式進行,對於通過認證的APP,將鼓勵搜尋平臺和應用商店優先推薦。針對APP中涉及個人資訊保安的具體技術驗證規範已經制定完成,將會對參與驗證的機構公開。
令人欣慰的是,一些涉事企業也已經行動起來,積極進行自查修改。據上海市消保委訊息,截至4月1日,前述測評涉及的問題APP均已向其提交報告,大多通過版本更新、刪除許可權等方式完成整改。
合肥工業大學網際網路安全專家朱家富認為,網際網路企業應確保相關應用索取的許可權與功能必須相匹配,並妥善使用這些許可權,建議行業內的大型企業能儘早推出團體標準,淨化市場。同時,消費者也應加強對APP索權的重視程度,謹慎授權。(記者 陳樹琛)