超1000款App过度收集用户信息,你的隐私谁来守护?
- +1 你赞过了
【雷竞技须安全稳定 网络频道】当前,智能手机已经成为人们生活必需品,以至于人们吃饭、睡觉、上厕所都带着手机。人们使用智能手机,并下载各类App。这些App在提供方便的同时,却成为人们个人信息泄露的“漏斗”。从这个“漏斗”,用户的手机号、通讯录、通话记录、短信记录等隐私信息纷纷外泄。
为什么这些公司要收集你的个人信息?因为它“无价”,更贴切地说你的个人信息有价值。众所周知,互联网时代,数据的价值最大,它堪比工业时代的“石油”。在工业时代,为获取石油,人们不断采掘;到互联网时代,为获取数据,出现一些公司疯狂收集用户信息的事情。
如果你刚想吃什么,手机就弹出它的推荐;刚要说要买什么,就出现了广告;刚在购房App上浏览完,信用贷款电话就打了进来……如果有这种类似遭遇,那么你的隐私信息可能已经泄露。
近日,广东省公安机关持续开展2019年第二季度超范围收集用户信息APP清理整治工作,共监测发现1048款APP存在超范围收集用户信息行为。
简言之,超过1000款App每天都在暗地收集你的个人信息(你手机中安装的)。从你的电话、短信、通话记录到位置等等,这些信息均被上述App收集起来,想想都令人后背发凉。
据悉,这1048款App,有42款App存在超范围读取用户通话记录、短信或彩信、收集用户通话录、用户设备上已知账号、超权限使用用户设备麦克风等突出安全问题。
来看看笔者比较熟悉的一些App(详情看附表):
1. 艺龙旅行(9.54.2版本)
超范围收集用户信息情况——获取任务信息,此常量在API级别21中已弃用不再强制执行;读取用户联系人数据。
用户协议及隐私政策——有用户协议,有隐私政策,易于访问,不易于阅读。
2. 酷狗音乐(9.2.2版本)
超范围收集用户信息情况——读取用户日历数据;读取用户联系人数据
用户协议及隐私政策——有用户协议,有隐私政策,易于访问,不易于阅读。
3. 中华万年历日历(7.5.2版本)
超范围收集用户信息情况——读取用户的联系人数据;允许应用程序录制音频
用户协议及隐私政策——有用户协议,有隐私政策,易于访问,不易于阅读。
4. 华润信托(1.7.6版本)
超范围收集用户信息情况——读取用户设备状态和身份;读取用户短信内容;允许应用程序录制音频;允许程序读取或写入系统设置
用户协议及隐私政策——在登录页面有用户协议,但未说明业务逻辑与权限的关系。
5. 多点(4.2.1版本)
超范围收集用户信息情况——在用户不知情情况下添加或修改日历活动,并向邀请对象发送电子邮件;读取用户日历活动和详情;允许应用随时使用麦克风进行录音;读取用户设备上短信内容;修改用户通讯录。
用户协议及隐私政策——无隐私政策和用户协议
虽然有些App已经申请收集个人用户信息,但是如果某些权限,用户不同意开启,则App无法安装或运行的权限数。笔者称这种做法为“耍流氓”。
根据《百款常用App申请收集使用个人信息权限列表》显示,手机信息权限有26个小项,分为日历、通话记录、相机、通讯录、位置、麦克风、电话、传感器、短信和存储10个类别。
其中申请收集个人信息相关权限数,笔者统计申请收集13个权限及以上的手机App,分别有(详情看附表)
平安普惠(6.0.0版本)——16个权限
平安金管家(5.03.0)——15个权限
360手机卫士(8.1.0)——23个权限
腾讯手机管家(7.14.0)——22个权限
QQ同步助手(6.9.11)——19个权限
百度网盘(9.6.8)——17个权限
WiFi万能钥匙(4.3.59)——13个权限
钉钉(4.6.25)——13个权限
途牛旅游(10.6.0)——13个权限
中国建设银行(4.1.5)——13个权限
中国工商银行(4.1.0.4.0)——13个权限
联通手机营业厅(6.1)——18个权限
中国移动(5.3.0)——17个权限
铃声多多(8.7.47.0)——14个权限
汽车之家(9.10.5)——14个权限
根据《网络安全法》第四十一条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则、明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息。
按理说,公司收集个人用户信息应当遵循国家标准提出的“个人信息最少够用”原则。注意,这里已经指出一个是最少,一个够用。实际上,公司收集个人用户信息不是最少,而是尽可能多地去收集。这实际上已经与国家标准背道而驰。
比如上文提到的360手机助手、腾讯手机管家,申请收集的个人信息权限数均超过20个,差不多都想获取你的全部手机权限。这种问题,值得大家注意。
根据全国信息安全标准化技术委员会发布的《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》指出,移动互联网应用个人信息收集活动需遵循6个基本原则:
1. 权责一致原则—个人信息收集应遵循法律法规要求,不采用非法的方式和渠道收集个人信息,不收集法律法规禁止的个人信息,不违反与用户的约定收集使用个人信息,并对因个人信息处理活动对个人信息主体合法权益造成的损害承担责任。
2. 目的明确原则——向用户明示收集使用个人信息的目的、方式和范围,收集的个人信息及申请的权限应具有合法、正当、必要、明确的收集使用目的和业务功能。
3. 最少够用原则——不收集与其提供的服务无关的个人信息,不申请打开可收集无关个人信息的权限。只收集满足业务功能所必需的最少类型和数量的个人信息,自动收集个人信息的频率不超过业务功能实际所需的频率。
4. 选择同意原则——仅当用户知悉收集使用规则并明确同意后,网络运营者方可收集个人信息。不以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。不因个人信息主体拒绝或者撤销同意收集必要信息以外的其他信息,而拒绝提供基本业务功能服务或频繁征求用户同意。
5. 公开透明原则——以明确具体、简单通俗、易于访问的方式公开收集、使用个人信息的规则,并接受外部监督。
6. 确保安全原则——采用足够的安全技术和管理措施,保障个人信息收集安全,防护数据窃取、违规爬取、采集传输泄密等安全风险。
实际上,我们看到这些原则在现实中并没有被很好的遵守,尤其是最少够用原则和选择同意原则。很多App是尽量多收集一些与个人信息有关的权限,并且App安装时,一旦“拒绝或者撤销同意收集必要信息以外的其他信息”,App就“拒绝提供基本业务功能服务或频繁征求用户同意”。
如果你无法指望公司,那么只有自己守护自己的个人隐私。关于个人隐私信息,笔者将在另一篇文章中详细道来。
附:
1.42款超范围收集用户信息App名单
2. 百款常用App申请收集使用个人信息权限列表
3. 《网络安全实践指南—移动互联网应用基本业务功能必要信息规范(V1.0)》(下载地址:www.tc260.org.cn)
最新资讯
热门视频
新品评测