手機APP,如何保護消費者個人信息?
來源:解放日報
2019年,上海市消保委廣泛聽取消費者意見,聯合《中國消費者報》上海記者站委託北京捷興信源信息技術有限公司,於2019年1月繼續對網購平臺、旅遊出行、生活服務等39款手機用開展第三期手機APP涉及個人信息權限評測。
2018年3月至7月,上海市消保委開展第一期地圖類手機APP涉及個人信息權限評測,反映出申請的敏感權限與實際功能不完全對應的問題。5款頭部應用相關企業積極回應,通過取消獲取、功能優化、版本更新等形式進行改進,相關問題得到解決。
2018年8月至11月,上海市消保委開展第二期針對瀏覽器、輸入法、綜合視頻等手機APP涉及個人信息權限評測。18家頭部應用相關企業積極跟進問題,在敏感權限的申請、使用方面均做到了合理申請、自主授權,充分保證了用戶的知情權、選擇權。
2019年1月25日,網信辦、工信部、公安部、市場監管總局四部門聯合發布《關於開展APP違法違規收集使用個人信息專項治理的公告》,將針對APP強制授權、過度索權、超範圍收集個人信息問題進行專項檢查。
評測維度
一是APP所使用的目標API級別。當目標API級別低於23時,安卓對於權限會採用一攬子授權的模式,存在可規避系統安全機制的漏洞;
二是APP敏感權限的數量。重點關注安卓系統中與個人信息密切相關的有29權限的申請和使用;
三是注敏感權限的授權方式。是否存在一攬子授權的模式,如何向用戶提出授權請求;
四是查看是否存在無實際功能對應用的權限申請。
評測結果
14款應用敏感權限與實際功能均能對應。
9款應用問題涉及發送簡訊、錄音、撥打電話、讀取聯繫人、「監控外撥電話,重新設置外撥電話的路徑」、接收訊息(簡訊)、讀取通話記錄等敏感權限未找到對應功能及目標API級別低等。
不少網購類APP獲取了日曆權限,這些信息涉及個人信息、商業機密等,而消費者對日曆權限的重視度非常低。
社會反響
為推動相關問題的解決,上海消保委與手機APP企業進行技術溝通,相關企業也在排查後對存在的問題作出解釋和優化意見。
在前期溝通確認中,有8款應用第一時間進行溝通,並通過刪除敏感權限、升級版本等方式快速對存在的問題作出解釋和優化。
截止到2019年3月23日,30款應用全部實現在敏感權限的申請、使用方面做到了合理申請、自主授權。
截止到2019年3月23日,上海市消保委再次進行了測試,仍有9款應用未能就其權限和功能無法對應的問題進行改進。
截止到2019年4月1日,8家APP都已完成整改。
2019年4月11日,上海市消保委與最後一家企業現場溝通,就其APP麥克風權限與相關功能的對應性、APP內第三方金融服務的信息披露以及資質審核等問題提出了相關改進要求。2019年4月12日,企業提交書面改進措施。39款APP全部實現整改。
消保委觀點
個人信息保護的關鍵是規範收集和使用。
《網絡信息安全法》第四十一條規定:網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。
日曆權限給消費者帶來的可能性風險大於給消費者帶來的便利,網購類平臺使用日曆權限給消費者帶來的場景可以用其他技術手段加以替代。
據此,上海市消保委希望消費者和APP開發者都能對日曆權限加以重視。
建議:
如消費者經常使用日曆記錄敏感事項,對APP的日曆權限應謹慎授權;
APP開發者如無十分必要,建議儘可能不使用手機日曆權限。