默认开通监听外拨电话、位置信息、发送短信权限?中消协怎么说?
导读你的手机,是否会成为你个人隐私的“泄漏器”?从不离身的手机,为何会莫名其妙地被扣费或订阅一些扣费功能?在视频APP上看了几集电视剧,为何打开浏览器会收到大量与该剧相关的推送?……
昨天,中消协发布100款App个人信息收集与隐私政策测评情况,金融理财、邮箱云盘类App评分相对较低。在收集个人信息方面,App普遍存在涉嫌过度收集个人信息的情况,其中过半App涉嫌过度收集“位置信息”;在隐私政策方面,47款App隐私条款内容不达标,其中34款没有隐私条款。
中消协为此建议,各应用商店应履行平台审核责任,对于没有隐私条款的App应及时下架。
金融理财类App得分最低
根据测评结果,新闻阅读、网上购物和交易支付类App评分相对较高,而金融理财类App得分最低,仅为28.91分。
100款APP 超9成涉获权“越界”
中消协调查结果
在收集个人信息方面:100款App中多达91款App列出的权限存在涉嫌“越界”,即普遍存在涉嫌过度收集个人信息的情况。59款App涉嫌过度收集“位置信息”,28款App涉嫌过度收集“通讯录信息”,23款App涉嫌过度收集“身份信息”,22款App涉嫌过度收集“手机号码”等。除此之外,用户的个人照片、个人财产信息、生物识别信息、工作信息、交易账号信息、交易记录、上网浏览记录、教育信息、车辆信息以及短信信息等均存在被过度使用或收集的现象。
47款App隐私条款内容不达标
在隐私政策方面:47款App隐私条款内容不达标,其中34款App没有隐私条款。其主要问题是:
1.未明确告知收集个人信息类型,且收集敏感信息时未明确告知用户信息的用途;2.未明确告知用户个人信息的保存期限和停止运营的情形;3.未明确告知用户个人信息使用方式;4.对外提供个人信息时不单独告知并征得用户同意;5.未明确告知用户如何更正个人信息和撤回同意;6.隐私条款未在明显位置公示,条款变更时未及时通知用户;7.隐私政策存在默认同意或未提示阅读等问题;8.存在“自行承担风险”等不合理免责条款。支付宝、ofo小黄车、新浪新闻、e代驾、悟空理财、去哪儿网等App均存在问题。
◇ 中消协特别指出:
中国工商银行App没有单独的隐私政策,链接中仅提供隐私保密声明;支付宝App未在收集的信息种类中注明个人敏感信息,且未对核心和附加功能进行区分,导致用户易认为所收集的信息均为必需项;ofo小黄车向关联公司及第三方分享相关信息时,未单独征得用户同意,存在的风险不得而知。上海市消保委公布18款APP涉及个人信息权限的测评结果
同日,上海市消保委也公布了对18款APP涉及个人信息权限的测评结果,其中触宝输入法、芒果TV都申请了与短信相关的权限、用途不明。
为此,2018年8月-10月,上海市消保委联合《中国消费者报》上海记者站委托北京捷兴信源信息技术有限公司,对消费者反映集中及目前用户使用频度较高的 “输入法、浏览器、综合视频”三类18款应用进行了规范。
18款应用涉及的手机APP有:输入法(搜狗输入法、百度输入法、讯飞输入法、QQ输入法、触宝输入法);浏览器(UC浏览器、QQ浏览器、360浏览器、搜狗浏览器、猎豹浏览器、百度浏览器、华为浏览器(2个版本));综合视频(优酷视频、腾讯视频、爱奇艺视频、芒果TV、哔哩哔哩)。评测内容涉及“应用敏感权限的授权请求方式、申请的敏感权限是否存在与之对的服务功能”两方面。
问题主要集中在部分应用所申请的敏感权限存在无实际对应功能以及部分应用所采用的Android API版本过低方面。
其中,167项与用户个人信息密切相关的“敏感权限”中,发现存在25项无实际功能对照的权限申请,主要集中在:电话权限(5个)、短信权限(15个)、定位权限(2个)、日历权限(2个),读取附件(1个),均与终端用户的个人信息密切相关。有4款应用的Android API版本设定过低。而过低的API版本,一是在权限管理方面存在用户可知而不可控的问题,二是存在可规避系统安全机制的漏洞,容易造成用户个人信息泄漏,引发大量终端安全和个人信息保护风险。
其中:猎豹浏览器(V4.87.4) 存在:Android 目标 API版本过低、申请了与电话相关的(PROCESS_OUTGOING_CALLS)权限(即默认开通监听外拨电话权限)、与短信相关(SEND_SMS)权限,具体用途不明;触宝输入法(6.8.0.5)存在:申请了与短信和定位相关的(SEND_SMS)和(ACCESS_FINE_LOCATION)权限,具体用途不明;芒果TV (6.0.2)存在:申请了与短信相关的(SEND_SMS)权限,具体用途不明。
猎豹浏览器甚至默认开通监听外拨电话、位置信息、发送短信的权限。
图说:三款应用仍存有敏感权限用途不明及版本过低问题,尚未改进
上海市消保委此前已与18家涉事企业进行了沟通,其中15家企业迅速修改了相关权限或发布新版本。
猎豹浏览器、触宝输入法、芒果TV等三家企业没有参加沟通会,APP也没有任何改进。
上海市消保委:消费者须有选择权
◇ 为何对于权限管理的规范如此重要?
专家解释称,若APP获取了短信权限,理论上讲就可通过用户手机来发送、读取短信,订阅扣费业务等。“我们也曾接到消费者反映称,莫名其妙订购了某种收费服务,但自己没发过这些短信,查询运营商却会有发送短信的记录,在用户手机里却没有记录。这可能就是手机中某个应用接收到后台指令后发送的,很不安全。”上海市消保委副秘书长唐健盛说。
图说:部分输入法拥有读取短信的权限
部分应用也对为何需要这些权限进行了解释。比如,部分应用需要读取手机识别码,以获得手机状态和身份,对此百度浏览器解释称可以为用户推荐个性化资讯;而QQ浏览器则称,他们需要判别用户是否为联通用户、是否符合免流量的政策,“目前已下线该电话权限,改由联通来提供身份判断”。
◇ 为何应用需要定位权限?
百度输入法解释称,如果一位用户要从北京到上海的话,知道定位可以即时推送地理词库。而照相机的权限,则被商家解释为可以制作AR表情包,或提供扫描识别的功能。
不过消费者质疑称,这些“精准推送信息”,在日常生活中是否真的需要?用户是否可以有选择权,在需要的时候再打开这些权限,而不是在安装时就默认打开?
唐健盛表示,手机APP在开发时,必须让消费者拥有选择权。而敏感权限一旦获取之后,一定要有功能相匹配且妥善使用。我国对个人信息的保护和立法尚不完善,很多保护仅用“必要、正当、合理”这些模糊性词语来解释,因此各家APP开发全凭觉悟在做。“我们希望能尽快对个人信息进行规范,并将其制度化。此外,希望各应用厂商能出台团体标准,将权限问题自我约束和规范,让消费者放心。”他说。
中消协:APP权限越界,得治
中消协指出,大多数App仅仅达到及格水平甚至低于及格水平,而且各类型App的差距明显,尤其是中小企业App问题较为突出,存在过度收集信息、无隐私条款、条款不完整以及不合理格式条款等问题,显示出我国当前在保护消费者个人信息形势的严峻性,应当引起相关部门的高度重视。中消协将针对上述App中存在的问题约谈劝谕相关App开发管理者,督促企业整改提高。
此外,进一步提高立法立规水平,强化对消费者个人信息的法律制度保护。建议有关部门综合考虑当前App隐私保护方面的严峻形势,加强隐私保护立法,落实具体措施,提高立法立规水平,为消费者个人信息安全提供更好的法律和制度保护;督促App优化隐私政策,提升服务消费者的透明度。
强化App进行隐私条款明示、收集个人信息征得消费者同意,不使用默认选项、全面审核隐私条款,消除不公平免责条款;应用商店履行平台审核责任,强化App隐私条款的明示公示义务。
对于没有隐私条款的应当及时下架,并提醒消费者谨慎下载使用,应当要求相关隐私条款内容不得损害消费者合法权益,不得保留不公平格式条款。
