在大数据时代,任何个体在使用信息交流工具、社交媒介、网络购物时,都不可避免会留下个人信息的蛛丝马迹。一旦个人信息被恶意收集或者泄露,就会给个人隐私乃至人身安全带来巨大风险。
中消协近日发布了《100款App个人信息收集与隐私政策测评报告》。报告显示,100款App中,多达91款App列出的权限存在涉嫌“越界”,即存在过度收集用户个人信息的问题。
实际上,这已经不是第一次手机APP被曝出现问题,究竟谁动了我们的隐私。
昨天,中国消费者协会在京发布了《100款App个人信息收集与隐私政策测评报告》。报告显示,100款App中,多达91款App列出的权限存在涉嫌“越界”,即存在过度收集用户个人信息的问题。综合评分中,金融理财类App评分较低,只有28.91分。同时在综合星级评定中,爱抢购、翼支付、E代价、同花顺、百程旅行、139邮箱等App的表现只有一星。
据中消协介绍,App个人信息收集与隐私政策测评活动于今年8月到10月展开,由中国电子技术标准化研究院提供专业技术支持。本次被测评的包括10类(通讯社交、影音播放、网上购物、交易支付、出行导航、金融理财、旅游住宿、新闻阅读、邮箱云盘和拍摄美化)共100款App。所有被测评App都是在9月1日到3日期间从App Store、安卓市场下载的,同时对App的用户协议、隐私政策进行了录屏取证。
测评结果显示App最爱收集“位置信息”
个人信息收集一直都是消费者安装App时关注的焦点。测评结果显示,“位置信息”、“通讯录信息”和“手机号码”等三种个人信息是过度收集或使用个人信息最常见的内容。100款App中,59款涉嫌过度收集了“位置信息”,过度收集或使用个人信息的情况较多。除此之外,用户的个人照片、个人财产信息、生物识别信息、工作信息、交易账号信息、交易记录、上网浏览记录、教育信息、车辆信息以及短信信息等均存在被过度使用或收集的现象。
测评发现,通讯社交和影音播放类App收集定位信息的问题更为突出,分别有10款和9款App涉嫌存在过度收集用户位置信息的现象。例如:咪咕视频。
中消协表示,出行导航、旅游住宿、网上购物类App对于用户个人位置信息具有根据定位信息提供产品和服务的合理诉求,但是对于大部分社交类、影音播放类、拍摄美化类、新闻阅读以及金融理财类App来说,调用用户的位置信息并非这些服务所必需,存在过度收集或使用的嫌疑。
通讯录信息、手机号码涉及用户的个人隐私,属于个人敏感信息,存在较高的商业价值,部分仅提供手机号注册方式,借助手机权限开放的便利,很容易收集手机号码及通讯录信息。以收集通讯录为例,10类App中,4款金融理财类App与3款影音播放类App收集用户通讯录信息。手机号码信息收集现象在金融理财类与出行导航类App中较为普遍,10款金融理财类App均收集手机号码,8款出行导航类App在用户注册时要求必须用手机号注册。
34款App没有隐私条款
今年5月,推荐性国家标准《个人信息安全规范》正式实施,《个人信息安全规范》对于个人信息收集、保存、使用、流转等环节提出了要求,是国内在个人信息保护实践方面的重要参考标准。本次测评针对规范中涉及隐私政策方面的内容进行了测评。
结果显示,在100款App中仅有一半(53款)的隐私条款得分达到及格分以上,而有13款App具备隐私条款,但得分低于及格分,另外有超过三分之一(34款)的隐私条款得分为0,即未对用户公布个人信息隐私条款。
测评中发现,设置了隐私条款同样存在问题,如隐私条款笼统不清,对收集、使用个人信息的目的、方式、范围、保存期限和地点等没有明确说明;不主动向用户展示隐私条款,或展示内容晦涩冗长;征求用户授权同意时,未给用户足够选择权;没有为用户提供访问、更正、删除个人信息的途径;大量收集与所提供服务无直接关联的个人信息,未遵守标准中最小化收集个人信息的规定等。
中消协表示,个人信息收集规则主要包括两方面内容,一是明确告知用户收集的个人信息类型,二是收集敏感信息时明确告知用户,并告知用户拒绝提供将带来的影响。测评中发现,支付宝App未在收集的信息种类中注明个人敏感信息,且未对核心和附加功能进行区分,导致用户易认为所收集的信息均为必需项。
中消协建议加快隐私保护立法
针对本次测评中发现的问题,中消协建议加强隐私保护立法,为消费者个人信息安全提供法律和制度保护;督促App开发管理者明示隐私条款,不采用默认勾选方式、不使用不公平格式条款,采取显著方式引起消费者注意,引导消费者主动阅读、理解相关隐私政策。
中消协同时表示,针对本次测评活动中发现的典型问题,将约谈劝谕相关App开发管理者,督促企业整改提高。
体验
“聚看点”App收集个人财产信息 用途笼统不明确
昨天,记者下载了被中消协点名且星级评分只有一星的新闻阅读类App——聚看点(中消协测试版本号为5.8.0)。下载进入App(已更新为5.9.5版本)后,北青报记者在设置中心找到了隐私协议。平台可能收集的信息中包括:个人身份证明(包括身份证、护照、驾驶证等);生日、籍贯、性别、个人电话号码;网络身份标识信息(包括系统账号、IP地址、电子邮箱地址);个人财产信息(账户余额、账户变动、提现情况等);通讯信息;个人上网记录和日志信息;设备信息;位置信息。
一款App列出了可能收集用户如此多的信息内容,每一项收集的明确目的又是什么呢?北青报记者发现,该协议虽然在下面对公司收集信息的用途进行了说明,但是比较笼统并不明确,如:向您提供服务;帮助本平台产品及服务的设计、优化和升级;向您提供个性化服务,例如向您展示、推送与您更加相关的内容和广告;用于身份验证、安全防范、存档和备份,确保服务的安全性等。看完协议,消费者仍然不能明确软件获取个人信息到底是做什么用。
(北青网 记者 王薇)
11月27日,苹果应用商店集中下架了拼多多、搜狗、科大讯飞、悦跑圈等900多款App。拼多多、科大讯飞、悦跑圈等都表示,App下架与“热更新”相关。苹果公司工作人员表示,早在去年3月就已明确告知该方面的审核规定并提供过合规指导。热更新在App Store 审核指南中明令禁止。被下架的App可以自查代码之后重新交审核,如果合规通过审核的话,就可以重新上架。拼多多等多款App已重新上架。
27日白天,记者曾试图在苹果App Store上下载拼多多,搜索显示的是拼多多商家版。27日晚上11时左右,拼多多在苹果App Store 陆续恢复上架,拼多多股价从下跌迅速拉升,瞬间涨幅超过5%。据拼多多回应称,拼多多最新发版的iOS客户端(买家版)存在技术bug,导致短期下架。目前已恢复上架。
搜狗表示,正在向苹果核实原因,暂时没有回应。悦跑圈公开表示,“是因为2.5.2的‘热更新’技术的问题导致下架”,目前重整了代码,正在修复当中。
苹果一位人士表示,这次App集中下架,多数违反了“热更新”条款。
热更新,是软件更新的一种,指的是服务器在不关闭的情况下,可以无需更新,就修改代码或新增功能,用户打开APP即可下载安装更新的代码运行,这个更新包可以做得非常小,最小的只有1M左右,便于开发者更新和用户下载,不连接WIFI用户也能随意下载。热更新不需要通过苹果App Store软件版本更新审核,因为苹果审核严格,所以很多公司用此修改Bug、快速迭代,甚至“变形”。
因为“热更新”不需经过App Store审核而容易被黑客或组织利用此机制修改App,因此除了涉及到用户的数据安全和隐私之外,苹果也在尝试通过限制“热更新”优化苹果生态,打击一些试图利用热更新打擦边球的应用,通过更新审核拦截打击一些黄色、暴力、赌博、第三方支付、违规广告等内容。
实际上,2017年初,App Store就掀起一阵热更新浪潮,苹果大规模复查,给违规开发者发送警告邮件。对于被下架的App,苹果公司的工作人员表示,受影响的开发者可以自查代码,更新之后再提交审核,如何合规的话,很快就可以重新上架。关于坊间有抱怨苹果审核速度慢的问题,苹果工作人员也趁机澄清公司近年已大幅提高审核效率,九成以上合规的App审核都可以在24小时内完成并上架。
(钱江晚报 记者 张云山 朱银玲)
有些人可能觉得,
现在本来就是没有隐私,
接不完的骚扰电话就说明了这些,
还用在乎再泄露更多么?
也有些人对APP“偷”隐私信息情况觉的不解:
“我下载这个APP的目标很单一,只想购买某些商品而已,为什么要掌握我的通讯录信息、车辆信息、教育背景、个人照片、工作单位,甚至指纹信息。”
关于手机App的个人信息和隐私保护问题,相关部门早有规定。
2017年6月,《中华人民共和国网络安全法》实施以来,人大、工信、网信、网安以及消协系统在全国各地掀起了一系列个人信息专项检查、整治行动,处罚违法违规行为的同时,也加强了社会公众对个人信息保护的重视程度。
2017年7月,《移动智能终端应用软件预置和分发管理暂行规定》实施,在APP的权限限制方面,要求生产企业和互联网信息服务提供者所提供移动智能终端应用软件不得调用与所提供服务无关的终端功能。
2018年5月实施的推荐性国家标准《信息安全技术 个人信息安全规范》规定,对个人信息的收集应有明确的目的,不得超出产品功能相关目的外收集额外的个人信息。
· 手机APP使用安全建议:
尽量选择官方渠道,特别是投资理财、银行类APP,不要下载来历不明的山寨APP;
谨慎授予APP“打开摄像头和麦克风”、“读取短信”、“读取联系人”、“读取位置信息”等权限;
对一些使用大量流量且没有告知的APP,及时检查和删除;
不要把手机中的QQ、微信、微博等设置为“自动登录”,密码最好定期更换;
不再使用APP时应彻底退出;
关闭某些APP的自启动功能,如果不能关闭,就卸载。
· 公共WiFi使用安全建议:
在公共场所尽量不去使用没有密码的免费WiFi;
尽量向服务人员询问商家提供的免费WiFi和密码,并认真核对WiFi名;
将手机上的WiFi设置为手动连接,避免不经意间连入风险WiFi。
· 旧手机安全处理建议:
把重要数据备份后,多次存取一些无关紧要的内容或者大型文件(如电影),直至将手机的存储空间全部占满。这样数据即使被不法分子恢复,也只能恢复一些无关紧要的数据;
给手机安装一个“文件粉碎机”,进行全盘擦除;
将旧手机低价处理或扔掉前,一定要确保手机里的隐私信息已经被妥善处理。
·防网络诈骗记住十个凡是,五个一律:
<十个凡是>
1、凡是问你银行卡号和让你转账的都是骗子;
2、凡是自称公检法工作人员要求核查账户、转账汇款的都是骗子;
3、凡是找工作找兼职让你先掏钱的都是骗子;
4、凡是退票改签要去ATM操作的都是骗子;
5、凡是声称免费退款换货的陌生电话和网址都是骗子;
6、凡是接到170、171、147号段牵涉到钱的都是骗子;
7、凡是说你中奖要求先交保证金的都是骗子;
8、凡是购买游戏装备要你先汇款的都是骗子;
9、凡是补贴、补助要求去ATM操作的都是骗子;
10、凡是QQ、微信上要求借钱、汇款、充话费的务必电话确认;
<五个一律>
1、接电话,不管你是谁,只要一谈到银行卡,一律挂掉;
2、只要一谈到中奖了,一律挂掉;
3、只要一谈到是公检法税务或领导干部的,一律挂掉;
4、所有短信,但凡让你点击链接的,一律删掉;
5、微信不认识的人发来的链接,一律不点。
手机APP开发者要遵守国家相关规定,根据实际掌握APP的权限,是否需要获取用户相关信息,如果在经营和服务活动中收集、使用用户个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律。同时在开发APP的时候需加强用户隐私安全的保护。
开发APP不能一哄而上
APP的出现,本是追求更快捷、方便、高效的服务,其发展壮大的基础还是服务升级。唯有精心创新、深耕服务,才能成为名副其实的工作“标配”、方便好用的生活“常配”
近日,多所高校被曝出学生工作“沉迷”于“APP化”,打热水、发学分、刷网课甚至连接无线网络,都要在专门的APP上操作。不止一名学生向记者反映,学校强制要求安装“运动世界校园”APP令跑步变了味,本意或是督促学生利用零碎时间锻炼身体,但实际体验并不佳,路线、步速被硬性规定,里程记录时常不准,使用情况挂钩奖学金,广告小弹窗不胜其扰……
原为方便师生、提高效率的信息化手段,在实际管理和运营中出现了过度倾向。实际上,APP滥用情况不单出现在校园,不知何时起成了各领域工作“标配”。再以政务APP使用情况为例,多地基层干部反映,手机上普遍装有七八个工作APP,每天要按规定完成APP上的“留痕”任务,但个别政务服务APP内容远离群众,甚至成为“僵尸应用”。
一边是使用随心所欲,一边是开发一哄而上。驾校、医疗、购物、健身……目前,每个领域都对应着五花八门的APP,让工作领域和服务领域更加细分。据了解,中国APP开发数量目前位居全球前列,每个手机用户使用的APP数平均超过10个。此外,工信部发布的相关统计显示,截至今年8月底,我国市场上监测到的移动应用达426万款;仅8月,应用商店就新上架移动应用12.7万款。
量多未必质优。APP研发门槛低,很多APP的功能、页面设计等存在雷同,市场上出现一个受追捧的APP,行业往往跟风开发甚至互相抄袭。即便是同类APP,由于细节设计贴近性不同、提供服务便利度不一,热门有之,冷清有之,迭代长存者有之,昙花一现者有之。记者在应用商店搜索“租房”,显示出几十款软件,有的“粉丝”数达几十万,有的却只有几百、几千名用户。
互联网创业属性给人的印象就是快,短时间里创造出高价值,很多APP的创立初衷是好的,但在实际运维和应用过程中,一味求快求多却引发多种问题。
工信部关于电信服务质量的最新通告显示,三季度组织对48家手机应用商店的应用软件进行技术检测,发现违规软件53款,涉及违规收集使用用户个人信息、恶意“吸费”、强行捆绑推广其他应用软件等问题。
APP扎堆,还反映出当下人们的信息焦虑。一些人希望随时知晓与自己相关的信息变化以便及时应对,一些人则依赖大量碎片信息刺激神经带来新鲜感和愉悦感,从而造成了对手机的过度依赖、对APP的盲目下载。
在遭遇大量同质化APP“绑架”之后,我们很想问一句:真的需要开发这么多APP吗?
的确,APP开发应用该做做减法了。实际上,随着市场的饱和、竞争的加剧、监管的从严,APP行业也已开始分化。有的固守互联网形态步履维艰,苦苦探索变现之路;还有的则开始走出互联网,回到线下探索服务途径。
APP的出现,本是追求更快捷、方便、高效的服务,其发展壮大的基础还是服务升级。唯有精心创新、深耕服务,才能成为名副其实的工作“标配”、方便好用的生活“常配”。
( 人民日报 吴姗)
