近日,中国信息通信研究院安全研究所发布《移动应用(App)数据安全与个人隐私信息保护白皮书》(下称《白皮书》)。
《白皮书》显示,从业务类型来看,地图导航类App存在的个人隐私信息安全问题最多,平均每款8.4个;其次是医疗健康和安全管理类,平均每款有8.3个问题。
·· 1 ··
超九成App有隐私政策,但强制用户同意问题突出
截至2019年9月底,三家基础电信企业手机上网用户规模达到 13.04 亿户。网上购物、叫车、看视频......,App已深入渗透我们正常的生活的方方面面。
随着App的全面渗透,用户却面临着享受便捷化服务与保护个人隐私信息权利之间的两难抉择。App强制授权、过度索权、超范围收集个人隐私信息的现象大量存在。
截至2019年11月4日,《白皮书》从小米应用商店、应用宝等10个安卓应用市场,选择地图导航、社交通信等20个类别中下载量大、影响范围广的200款App作为检测对象,共检测出1265项数据安全问题。
从业务类型来看,地图导航类App存在的个人隐私信息安全问题最多,平均每款8.4个;其次是医疗健康和安全管理类,平均每款有8.3个问题。
超过九成的 App 已具备隐私政策且内容丰富,63.1%的 App 通过“登录/注册即表示同意隐私政策”的方式强制用户同意,且未提供拒绝选项,用户若想继续使用只能被动同意隐私政策,侵犯了用户自主选择权;16.9%的 App 在使用的过程中仅展示隐私政策但未征询用户同意,违背制定隐私政策的初衷;15.4%的 App 提供了是否同意隐私政策的勾选框,但存在默认勾选问题。
近日,国家互联网信息办公室、工信部等四部门联合发布的《App违法违规收集使用个人隐私信息行为认定方法》(下称《办法》)规定,App以默认选择同意隐私政策等非明示方式征求用户同意可被认定为“未经用户同意收集使用个人隐私信息”。
权限方面,近三成App申请10个以上权限,部分金融类App申请权限多达14-16个,涉嫌超范围获取权限。
检测发现,85%以上的App申请“写入外置存储器”、“读取电话状态”权限。《白皮书》指出,二者均属于安卓系统中的危险级别权限。拥有“写入外置存储器”的App可能会引起用户被植入恶意程序,拥有“读取电话状态”权限的App可获取设备唯一识别码,关联用户生活小习惯和消费行为。
此外,“拍摄”、“访问粗略定位”、“访问精确定位”、“录音”等危险权限的申请比例也超过七成。
·· 2 ··
近半App存在注销难问题
大数据时代,“数据”已然成为生产资料,被企业格外的重视。其中,数据存储是App运营中的关键环节,也是网络黑客攻击窃取数据的切入点。
《白皮书》显示,超九成的 App 会在用户终端内存储运行日志、设备信息、用户个人信息等数据,但其中 25%的 App 存在明文存储用户个人隐私信息的问题。
其中,网络身份标识信息占比 35.1%,最重要的包含个人隐私信息主体账号及密码;个人基本资料占比 38.6%,最重要的包含用户手机号、邮箱、生日等信息;精确定位信息占比 15.8%,最重要的包含用户所在位置的经纬度信息。
《白皮书》强调,网络身份标识信息被不法分子获取后可直接窃取账号内的全部数据。
此外,《白皮书》显示,20.5%的 App 未提供注销功能。26.9%的App 虽然提供了注销功能,但注销耗时长、流程繁琐,还需比注册时多提交额外非必要的个人敏感信息,如用户真实姓名、住址、邮箱、身份证照片等,且 App 运营者并未明确额外信息在注销后是否会删除。
《办法》规定,App为注销用户账号设置不必要或不合理条件可被认定为“未按法律规定提供删除个人隐私信息功能”。
文/南都个人信息保护研究中心研究员 尤一炜