近9000条举报涉及2000多款App个人信息安全存在哪些问题
央视网消息:App是手机应用软件的俗称。几乎所有的智能手机用户都要用到App。但是,仅不到10个月的时间,App治理专项工作组就收到近9000条相关举报,这些举报涉及了2000多款App,到底存在哪些问题呢?
30款App严重违法被点名
在App专项治理工作组最新发布的App专项治理情况通报中,记者看到,因违反《网络安全法》,10款无隐私政策App和20款强制收集个人信息的App被点名。 另外,有40款App因在个人信息收集使用方面存在问题,被要求限期整改。
为了了解此次App专项整治最新情况,记者于近日来到App专项治理工作组进行采访。据了解,受中央网信办、工信部、公安部、市场监管总局委托,App专项治理工作组于今年1月正式成立,对用户数量大、与民众生活密切相关的App隐私政策和个人信息收集使用情况进行评估。
App专项治理工作组 何延哲:我们主要的职责就是说接受网友举报。接受举报之后,我们从举报的App里面选取下载量大、用户常用的App纳入我们的评估,我们预计今年要完成1000款评估。目前我们看到第二批评估的结果已经发布出来了,总共评估了150款左右的App,其中有30款是有一些问题,我们把它通报。
2000多款App被举报
记者注意到,此次通报是自App专项治理工作组成立以来披露的第二批App评估结果通报。 据工作组相关负责人介绍,截至今年9月,App专项治理工作组共收到网民举报信息8939条,涉及2000余款App。
其中,强制或频繁索要与业务功能无关权限的举报最多,共计3717次,占比41%;其次是超范围收集与业务功能无关的个人信息,被举报3460次,占比38%。
在这些举报信息中,记者发现,有些金融借贷类App存在无法注销等问题。
App专项治理工作组 何延哲:我们在评估过程中发现这款App在隐私政策中提到用户有注销账户的权利,但在实际测试过程中我们发现并没有注销的功能。我们去询问客服的时候,客服也明确告诉我们现在是不支持注销的。
我们都知道按照要求的话,现在每一款App都应该支持注销账号,但是这款App它不光不支持注销,同时在隐私政策中传递的是一个虚假信息,误导用户它能注销,这个是一个比较严重的问题。
专家告诉记者,金融贷款类App一般存储有用户身份证、银行信息等重要个人信息,在用户注销时设置障碍或者不提供注销功能,直接威胁用户个人信息安全。
App专项治理工作组 何延哲:你一旦能注册就必须能注销,这是个闭环。按照注销的要求是需要删除你的相关信息的,有些App它因为怕丢失用户、流失客户,它就不给注销功能,那我们就无法知道自己的数据以后会被用在什么地方,我们认为它是不合规的。
有些App存在无隐私政策等违法行为
△无隐私政策App
进一步采访中,记者还发现,有些App还存在无隐私政策等违法行为。
App专项治理工作组 何延哲:我们现在在应用商店找到一款挂号的App,我们在评估过程中发现这款App存在没有隐私政策。这个比较典型和严重的问题,登录过程中有一个默认勾选用户协议,我们打开这个用户协议之后发现这个用户协议里面没有任何隐私政策的内容,也就是说没有把收集使用个人信息的规则讲出来,我们既然都不知道它收了哪些个人信息,为什么要收?收了之后怎么去使用?又把这些信息给谁了?那这样一个App我们认为在个人信息保护方面是个黑洞,就是用户完全不知道它处理个人信息的规则是什么,是非常危险的。
据了解,按照《网络安全法》第四十一条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
App专项治理工作组 何延哲:没有隐私政策就意味着没有公开收集使用个人隐私信息的规则,这是属于法律法规的规定,只有公开透明之后,用户也好,可以去读它、监督它、质疑它。看你隐私政策里描述的一些内容到底是不是能够达到要求,形成一个有效的监督力量,如果不写(隐私政策)谁也不知道到底做得怎么样,这样的违法违规的行为就比较典型,可能会受到严重处罚。
App过度获取敏感权限非首次发现
进一步调查中,记者了解到,除了App专项治理工作组,上海市消费者权益保护委员会日前对网购、旅游出行和生活服务三类手机App也进行了评测,结果发现选取的39款热门手机App中有25款存在过度获取用户敏感权限等问题。
上海市消保委秘书长 陶爱莲:从这次的评测结果看,我们觉得依然情况是不乐观的,我们测了39个项目,那么其中发现超过6成有25个敏感权限的收集是找不到相对应的功能的。比如说去访问短信,也有访问通讯录,包括还有定位等等这样一些问题普遍存在。
这次评测涉及网购、旅游出行和生活服务三类消费者使用最频繁的手机App。
经过评测,结果发现:
15款网购类手机App中,有7款App获取了11个敏感权限无对应功能,占比为46%;
11款生活服务类手机App中,有8款App获取了17个敏感权限无对应功能,占比61%;
13款旅游出行类手机App中,有7款获取了10个敏感权限没有实际对应功能,占比为63%。
存在的主要问题在于这些App获取了诸如读取短信、发送短信、日历信息、拨打电话等与消费者个人隐私信息密切相关的敏感权限,却未在应用中进行使用。
采访中记者了解到,本次测试的13款旅游出行类手机应用软件中,有6款App向用户申请了短信和电话两大类敏感权限,却找不到实际对应功能。
评测工程师 阳雄:像很多App在注册过程中可能用户是需要输入一些验证码的。很多的应用就以这个为理由说我可以提供给用户一些便利,可以把验证码直接拷过来,免去用户拷贝粘贴的过程。以此为理由申请了“读取短信”这样一个敏感权限。但是我们认为在一个App使用过程当中,注册只是非常小的、或者是一次性的这样一个环节,我们认为为了一个单一的一个功能点去要这么一个(敏感)权限,没有必要,因为对于用户来讲这个给他带来的便利远远比不过给他带来的风险。
过度获取敏感权限风险不可预知
工程师告诉记者,旅游出行类App,作为消费者日常使用最频繁的一类手机应用软件,如果没有实际对应功能,却向用户申请了短信和电话等多项敏感权限,可能会给用户的个人信息安全带来不可预知的风险。
评测工程师 阳雄:如果一个应用被授予了读取短信的权限的话,它其实是可以读取用户收件箱里面所有短信记录的。那么就存在一定风险 (可能)造成用户隐私信息泄露,比如说用户收件箱里面很多短信可能是包含验证码的,包含一些订购信息,或者出行信息等等,这些信息一旦被泄露给用户就会带来不可预测的风险。
工程师告诉记者,用户手机短信箱中一般存储有各种验证码、订票信息等重要内容,一旦泄露可能会给消费者带来不可预测的风险。记者通过搜索发现,近年来发生的多起网络诈骗和盗刷案件都与手机短信内容泄露直接相关。
现如今,手机已经成为人们日常工作和生活中密不可分的重要工具,其中存储着用户大量的个人隐私信息。手机应用软件也就是手机App也已经成为人们生活消费最主要的入口之一。有数据显示,上海市消保委此次测评的15款网购类手机App月活跃用户超过了7亿人次,13款生活服务类App月活跃用户超过5亿人次;11款旅游出行类App月活跃用户超过3亿人次。
据记者了解,这次评测已经是上海市消保委组织的第三次手机App涉及个人信息权限的评测。除了这次的网购、旅游出行和生活服务三个类别之外,上海市消保委还曾针对手机地图、输入法、浏览器和视频类热门手机App进行过评测。综合三次评测结果,52款热门App中,有46款App都存在获取的敏感权限无实际对应功能的问题,占比88%。也就是说,有超过8成App涉嫌过度收集消费者个人隐私信息。
中消协:超九成App涉嫌过度收集用户个人信息
除了上海市消保委,中国消费者协会也曾对10类100款App个人信息收集与隐私政策进行测评,结果发现100款App中超九成App涉嫌过度收集用户个人信息。
曾经有所谓的大型互联网企业负责人公开说“中国人更加开放,对隐私问题没那么敏感,他们愿用隐私来换便捷性跟效率,很多情况下他们是愿意这么做的。“那么事实真的如此吗?
信息安全专家表示,在现阶段法律法规有待健全的情况下,过度收集用户个人信息问题之所以普遍存在,主要源于一些互联网企业的盈利模式。
上海市信息安全行业协会会长 谈剑峰:互联网时代几乎所有的App都在采集数据,这就是现在大数据的本质,通过收集数据可以进行商业分析成为互联网营销的一种基础。对于手机应用厂商来说,谁掌握的大数据越多,随后去流量变现带来的利益也就越大。那么现在很多App都是免费下载使用的,盈利模式都是通过流量变现的,所以在这种经济利益驱动下,特别是我们现在国家立法有待完善的情况下,就导致目前这种过度获取权限和个人信息过度采集等现象比较普遍。
中消协:85.2%的消费者都曾遭遇过个人信息泄露问题
2018年,中消协组织的 App个人信息泄露情况调查显示,85.2%的消费者都曾遭遇过个人信息泄露问题。
2016年,中国互联网协会发布的《中国网民权益保护调查报告》显示,中国网民平均每周接到垃圾短信20.6条、骚扰电话21.3个,其中骚扰电话是网民最为反感的骚扰来源;“电脑广告弹窗”和“App推送信息”紧随其后。另据调查推算,2016年,因垃圾信息、诈骗信息、个人信息泄露等给消费者造成的经济损失约为915亿元。
上海市信息服务业行业协会秘书长 陆雷:你会觉得你刚刚到一个医院里生完孩子,结果推销奶粉的电话就来了。很快你上了学以后,辅导班的电话也来了。事实上是你的数据被盗卖了,这种行为要么是黑客把数据窃取了,要么是内部的数据盗卖,形成了一个地下数据黑市。
个人隐私信息已成黑市商品
据专家介绍,目前个人隐私信息已经成为一种暴利商品,在网络黑市中可以轻松获取到。
上海市信息安全行业协会会长 谈剑峰:这些年我们可以看到个人信息泄露的问题比较严重,实际上目前信息贩卖在地下黑产规模也相当巨大。之前新闻也报道过,一个记者在一个QQ的黑产群里面以一百元就能购买上万条的个人信用卡信息,也有的花几百块钱就能通过手机追踪定位目标。
个人信息在网上买卖的时候有时是非常廉价的,而且准确度越来越高,还有一些酒店、住宿信息、保险信息都可以轻松获取。
有关部门加大App违法行为治理力度
今年1月,中央网信办、工信部、公安部、市场监管总局四部门联合发布公告,
针对App强制授权、过度索权、超范围收集个人信息等违法违规问题展开专项治理,开发App个人信息举报平台,指导成立App专项治理工作组。
据记者了解,截至目前,App专项治理工作组已完成近600款主流App的评估,其中包括网民下载量最大的300款App,并向其中问题严重的200余款App运营者告知评估结果,建议其及时整改,整改问题达800余个。
与此同时,四部门在《网络安全法》规定的基础上,研究制定一系列个人信息保护相关文件,包括《App违法违规收集使用个人信息行为认定办法》、国家标准《移动互联网应用(App)收集个人信息基本规范(草案)》等,目前已完成公开征求意见。
App专项治理工作组 何延哲:从政策角度来说,我们今年不是推出了很多征求意见稿。有的是标准草案,一定会把这些总结归纳成果慢慢形成一些正式的文件,让它达到可以长期持续监督这么一个效果。比如国家标准以后会专门有一个针对App收集使用个人信息这么一个标准,那对于App的监督管理,包括指导企业去做合规提升都会有一个非常好的支撑。
个人信息不受侵犯是个人的自然权利,也是基本权利之一。从人类抓起树叶遮羞之时起,隐私就产生了。对个人信息肆无忌惮的搜集和交易本质上是对人格尊严的侵犯,在现实生活中,又往往会成为违法犯罪行为实施的助力工具。
今年以来,执法部门已经连续侦办多起买卖公民个人信息案,并引起了比较强烈的社会反响。但侵犯个人信息就是违法犯罪的意识显然还没有在App相关从业者中充分树立。App及相关行业的治理,我们将持续保持关注。