部分APP的權限訪問記錄。
優酷開啟位置、運動數據等權限。
拼多多未明示的情況下開啟了多項涉隱權限。
趕集網索取的手機權限。
1月11日,工信部信息通信管理局約談了百度、支付寶和今日頭條,指出對照《網絡安全法》、《電信和網際網路用戶個人信息保護規定》等有關規定,三家企業均存在用戶個人信息收集使用規則、使用目的告知不充分的情況,並要求三家企業進行整改。
1月12日至17日,新京報記者使用安卓系統手機測試了市面上使用較多的20款APP,發現其中16個APP要求讀取位置、通訊錄等較敏感權限;多個APP開啟的權限與其主營業務無關;4個APP未經明示提醒就開啟了包括相機、錄音在內的多個敏感權限。
根據《網絡安全法》第四十一條規定,網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。
「APP收集個人信息應遵循我國《信息安全技術-個人信息安全規範》,個人信息收集、使用其一是要保證收集信息的合法性要求,其二是滿足收集個人信息的『最小化要求』,例如原本APP給用戶的提示是開啟位置權限,結果APP同時把錄音、讀取通訊錄,或其他獲取個人信息或資源的權限隱含地開啟了,這就不符合個人信息安全的最小化要求。」北京郵電大學移動網際網路與大數據安全聯合實驗室主任馬兆豐博士表示,個人信息的使用、保存、委託處理、共享、轉讓或公開披露等必須滿足個人信息安全基本原則和規範,個人信息的不當獲取、使用、加工處理涉嫌違法犯罪要負法律責任。
5款APP涉及隱私權限提示不全
今日頭條餓了麼明示「儲存」暗開「定位」
當用戶在安裝一款APP時,手機界面往往會彈窗提示要求用戶開啟某項權限,用戶可以選擇開啟或關閉。
「APP軟體,包括PC程序在內,在用戶行使知情權時彈出的提示屬於『明示同意』,如果APP軟體採取非明示同意的隱含同意,或者以超越法律法規事實上強迫用戶不得不同意的方式獲取用戶個人信息屬於個人信息的不當使用。」馬兆豐博士稱。
新京報記者從華為應用商店安裝20款主流APP發現,其中14款APP在首次安裝使用時對可能涉及的敏感權限進行彈窗提示,但有5款APP對涉及隱私權限的提示有「疏漏」。
在這5款APP中,「儲存」權限是被要求最多的權限,但「位置」權限是最多被默認開啟的權限。
比如,今日頭條、喜馬拉雅FM和餓了麼在首次使用時均彈窗提示用戶開啟電話以及儲存權限,攜程旅行則在首次使用時只提示用戶開啟儲存權限,但當記者點擊同意後,卻在後臺發現上述應用實際也開啟了位置權限。
百度瀏覽器則在首次安裝時提示要求用戶開啟「儲存」、「位置」、「電話狀態」三項權限,但實際除上述三項權限外還開啟了麥克風錄音權限。
對於這一現象,手機百度高級經理田彪曾表示,有的系統會授予它認為安全的APP一些權限,安卓系統的權限授予非常複雜,權限授予完全取決於手機系統本身,而並非由APP自身判斷和決定的。
在梆梆安全研發中心副總裁方寧看來,這一說法確有其道理。「通過原生安卓系統安裝時,谷歌規定安裝APP時是一定要提示所有權限的。但用戶在品牌手機自帶的應用商店裡安裝APP時,如果該APP處於手機廠商的白名單列表裡,有時應用商店本身會替你忽略掉這一過程。」
但在專家看來,「白名單」不能作為APP對涉敏權限不進行明示提醒的理由。
馬兆豐表示,一些APP產品廠商和軟體商店有合作,以白名單模式放行本該提示用戶知情的選擇權,從而沒有進行「明示同意」的提示,這也不符合個人信息安全使用規範和要求。
新京報記者在測試20款APP時發現,蘑菇街未經提示就在後臺開啟了「讀取本機識別碼」權限。「許多APP需要從手機中讀取標識符來標識用戶,相當於在用戶未登錄的情況下讓伺服器知道用戶身份,屬於較為普遍的權限要求,相對之下較為『無害』。由於手機廠商可以二次定製開發安卓系統擁有廠商權限,所以如果手機廠商認為某些權限是安全的,有可能會不提示給用戶。」方寧稱。
「而定位功能屬於較為敏感的權限。」西安郵電大學副教授任方表示,「一般系統不會直接無條件給APP打開,不過由於一些APP開發者在軟體設計時就設置了這樣的條件,你不開放它就不讓安裝,用戶也沒有什麼辦法。」
在網際網路安全專家劉海(化名)看來,不管APP是否進入了廠商的「白名單」,能開啟哪些權限還是APP開發者自身決定的。
「目前安卓平臺上廣泛存在權限被濫用的現象,很多應用經常申請不必要的敏感權限,使用戶隱私面臨被洩露的風險。造成權限『濫用』現象的除安卓系統自身的開放性之外,APP沒有做到約束自己的行為也是原因之一。」劉海說。
多款APP開啟與主業無關的敏感權限
優酷開啟位置權限,愛奇藝讀取運動數據
在1月15日的測試中,記者發現除了上述明示不全的外,趕集網、滴滴出行、拼多多、優酷、愛奇藝和蘑菇街6款APP在首次安裝使用時沒有對用戶權限進行任何明示。
其中,滴滴出行、趕集網、拼多多、優酷四款APP在後臺直接開啟了包括錄音等多個敏感權限。
在用戶李豔看來,一些APP開啟敏感權限情有可原,另一些則不合情理。「比如微信要發語音開啟錄音權限,以及滴滴需要定位開啟位置權限我可以理解,但一些購物和視頻網站也要位置就有些說不通了。」
在實際測評中,記者發現不少APP開啟的權限和自身核心業務交集不大,如主業為視頻播放的騰訊視頻在首次使用時向用戶明示了使用協議,並只開啟了「讀取本機識別碼」,同類APP愛奇藝則沒有在軟體打開時做到彈窗提示,還開啟了使用呼叫轉移以及讀取運動數據權限,並在記者安裝後立刻嘗試讀取位置信息。
優酷則開啟了位置、運動數據、獲取瀏覽器上網記錄等多個與視頻觀看交集不深的敏感權限。記者打開優酷和愛奇藝APP後,並未發現有哪些選項與讀取位置或者撥打電話有關。
也有不少APP有明確的理由開通與主業無關的功能。例如資訊類APP今日頭條在上線「發布小視頻」功能後,就有理由開啟相機和麥克風錄音權限。對此,有用戶曾經質疑今日頭條「通過麥克風竊取用戶隱私」,今日頭條則回應稱「今日頭條旗下所有產品,都不存在未經用戶許可、擅自獲取用戶隱私的行為。」
在方寧看來,雖然目前相關法規有「不得收集服務所必需以外的用戶個人信息,不得將信息用於提供服務之外的目的」之類的表述,但其實這個說法空子還是很大的。「什麼叫『服務必需以外』?比如優酷,我們認為它只提供視頻播放服務,但是它也可以說我獲取用戶信息是為了做大數據分析,比如根據用戶喜好推薦想看的視頻,根據用戶行為習慣做用戶畫像分析等。事實上,APP可以把它的服務裝飾成很多維度,然後就可以通過這種方式獲取主業之外的權限,即找一個合適的理由來採集你的信息。」
1月18日,記者在後臺的「權限訪問記錄」中發現,一些敏感權限的讀取記錄來自和主業完全不符的APP,如搜狗輸入法、愛奇藝、蜻蜓FM在安裝後不久就嘗試讀取位置信息。而被訪問最多的權限之一是「讀取已安裝應用列表」。方寧介紹,這是APP做運營分析或者用戶畫像時很常見的方式。
開啟權限是否洩露隱私?
技術上可以讀取隱私,但難判斷是否洩露
在劉海看來,隨著市場上APP的功能越來越豐富,申請的權限也越來越多,這也同樣說明以竊取洩露用戶信息為目的的惡意APP和僅是提供服務的非惡意APP申請的權限交集更大了。「例如目前許多APP都有『語音搜索』功能,即便這並非其核心功能,開啟與否區別不大,但一旦開啟,就意味著APP有了窺探用戶隱私的能力。」
他認為,只要開啟了錄音權限,技術上APP確實可以獲取用戶的錄音;而開啟了通訊錄權限,技術上APP也可以得到你的聯繫人名單。換言之,只要拿到相關權限,APP完全可以在正常提供相關服務的同時,「順手」獲取用戶的隱私數據,不管這些數據是否屬於「服務必需之外」。
比如,為了方便用戶導入聯繫人名字,一些輸入法要求讀取用戶通訊錄,但這也意味著它得到了通訊錄個人信息(包括姓名、號碼、甚至家庭住址等)。對此,馬兆豐分析稱,如果輸入法獲取了通訊錄信息後只是為了本地使用方便,不做數據上傳或進一步用於其他目的,獲取權限的理由也成立,那麼,在很大程度上就不一定能涉及隱私洩露。
「事實上,如果一些應用程式涉嫌非法收集、使用加工用戶隱私信息,通過深度數據解析、網絡通訊行為分析、相關操作訪問等技術手段是可以監測到的,即使在網絡傳輸層面是加密的,但在本地數據解析、數據構造層面也是可以分析監測到是否涉嫌用戶隱私侵犯。因此,個人信息的使用無論是軟體開發者、公司或機構都要遵循相關法律法規,否則,一旦涉嫌用戶信息不當使用都要承擔相應後果。」馬兆豐指出。
方寧表示,通過做逆向分析、滲透測試等方式可以檢測出一個應用是否上傳了用戶隱私數據,但這需要具備專業的技術能力,普通老百姓不可能做到。「目前主要依靠企業行為自律或尋找專業的安全企業進行合作,以達到為用戶提供安全的使用環境。」
而在任方看來,由於很難取證,目前並沒有有效的懲處制度來約束APP的這種隱私竊取行為,用戶也無法證明APP是否真的竊取了隱私。
20款APP僅京東、蘇寧易購、騰訊視頻、支付寶彈窗提示隱私協議
百度趕集網等未明示隱私協議
根據我國《信息安全技術-個人信息安全規範》要求,收集個人敏感信息時,應取得個人信息主體的明示同意,確保其在完全知情的基礎上自願給出具體、清晰、明確的願望表示,並且允許個人信息主體選擇是否提供或同意自動採集。
為了解決權限安全問題,谷歌公司曾建議開發者在上傳應用時發布隱私條例,即開發者需要聲明用戶相關的隱私信息如何被使用、收集或分享,其目的是使用戶了解隱私信息如何被使用,從而更好地保護用戶隱私。
但目前,很多APP並沒有做到明示隱私協議以及給予用戶選擇是否同意的權利。
1月17日,在新京報記者測試的20款APP中,京東、蘇寧易購和騰訊視頻在首次安裝時就將其隱私協議進行了彈窗提示,用戶可以選擇是否同意,支付寶在安裝後不會立即提示隱私協議,而是在用戶登錄時彈窗進行相關提示。
相比之下,滴滴出行、百度瀏覽器、趕集網、1號店、攜程旅行、美團外賣、西瓜視頻等多數APP都沒有向用戶明示提醒其隱私協議。
此前,南都個人信息保護研究中心發布的《關於收集個人信息「明示同意」的測評報告與建議》顯示,在100款常用APP中,在用戶註冊前,「默認勾選」同意企業用戶協議和隱私政策的情況並不少見,有的甚至存在用戶不可自主選擇同意與否的問題。僅有11%的APP做到了合乎法規及規範的「明示同意」。
新京報記者測試發現,多數APP的隱私協議藏在「設置」選項中,如今日頭條在「設置」的最下方有一行小字才能看到「今日頭條用戶協議」,而百度瀏覽器的相關隱私協議則在「設置」-「關於瀏覽器」中才能找到。
相關隱私條款中,今日頭條和百度瀏覽器均有「使用APP就視為同意條款」的表述。百度瀏覽器還特別列出了一個免責聲明,表示「您可以選擇不使用百度,但如果您使用百度,您的使用行為將被視為對本聲明全部內容的認可。」這意味著,用戶在安裝並使用該APP時,就已經默認同意了上述條款。
在前不久的支付寶「年度帳單」事件中,也出現了默認勾選隱私協議的事件。
對此,華東政法大學教授、大數據政策法律研究中心主任高富平曾發表文章認為,有效同意的要件需要明確。
在他看來,我國現行法律將同意視為個人信息收集和使用的一般規則,但在實踐中,「同意」被大量地使用,很難起到保護個人權利的目的。這主要是因為,在實踐中的同意大多數是與服務捆綁的,用戶協議的同意是接受服務的前提,因而要接受服務就必須同意,否則無法享受服務。而用戶協議又是涵蓋經營者可能列舉的各種情形,包括向所有關聯方、業務合作方等提供信息。這也就是大家通常講到的「概括式同意」。在這種概括式的協議中不乏各種不合理條款。
高富平認為,法律尚沒有明確否定概括式同意,實踐中的做法並不違反法律。但涉及具體的個案糾紛,法院有權對不合理條款進行實質審查,否定其效力。「何為有效的同意,需要今後法律予以明確。」
「通過APP或者網站提供的相關協議屬于格式合同,APP方在格式合同中肯定會弱化用戶的權利。」盈科律師事務所律師方超強告訴新京報記者,「這一個格式條款算不算用戶承諾值得商榷。事實上,如果該格式條款過於限制用戶權益,可以認定無效。例如目前很多APP都在隱私協議中表示會把用戶資料提供給合作方或第三方,但卻沒有提及第三方的身份,在這種情況下默許用戶『同意』的格式條款就涉嫌侵害了用戶的權益。」(記者 羅亦丹 實習生 李曉麗)