當前,智能手機已經成為人們生活必需品,以至于人們吃飯、睡覺、上廁所都帶著手機。人們使用智能手機,并下載各類App。這些App在提供方便的同時,卻成為人們個人信息泄露的“漏斗”。從這個“漏斗”,用戶的手機號、通訊錄、通話記錄、短信記錄等隱私信息紛紛外泄。
為什么這些公司要收集你的個人信息?因為它“無價”,更貼切地說你的個人信息有價值。眾所周知,互聯網時代,數據的價值最大,它堪比工業時代的“石油”。在工業時代,為獲取石油,人們不斷采掘;到互聯網時代,為獲取數據,出現一些公司瘋狂收集用戶信息的事情。
如果你剛想吃什么,手機就彈出它的推薦;剛要說要買什么,就出現了廣告;剛在購房App上瀏覽完,信用貸款電話就打了進來……如果有這種類似遭遇,那么你的隱私信息可能已經泄露。
近日,廣東省公安機關持續開展2019年第二季度超范圍收集用戶信息APP清理整治工作,共監測發現1048款APP存在超范圍收集用戶信息行為。
簡言之,超過1000款App每天都在暗地收集你的個人信息(你手機中安裝的)。從你的電話、短信、通話記錄到位置等等,這些信息均被上述App收集起來,想想都令人后背發涼。
據悉,這1048款App,有42款App存在超范圍讀取用戶通話記錄、短信或彩信、收集用戶通話錄、用戶設備上已知賬號、超權限使用用戶設備麥克風等突出安全問題。
來看看筆者比較熟悉的一些App:
1. 藝龍旅行(9.54.2版本)
超范圍收集用戶信息情況——獲取任務信息,此常量在API級別21中已棄用不再強制執行;讀取用戶聯系人數據。
用戶協議及隱私政策——有用戶協議,有隱私政策,易于訪問,不易于閱讀。
2. 酷狗音樂(9.2.2版本)
超范圍收集用戶信息情況——讀取用戶日歷數據;讀取用戶聯系人數據
用戶協議及隱私政策——有用戶協議,有隱私政策,易于訪問,不易于閱讀。
3. 中華萬年歷日歷(7.5.2版本)
超范圍收集用戶信息情況——讀取用戶的聯系人數據;允許應用程序錄制音頻
用戶協議及隱私政策——有用戶協議,有隱私政策,易于訪問,不易于閱讀。
4. 華潤信托(1.7.6版本)
超范圍收集用戶信息情況——讀取用戶設備狀態和身份;讀取用戶短信內容;允許應用程序錄制音頻;允許程序讀取或寫入系統設置
用戶協議及隱私政策——在登錄頁面有用戶協議,但未說明業務邏輯與權限的關系。
5. 多點(4.2.1版本)
超范圍收集用戶信息情況——在用戶不知情情況下添加或修改日歷活動,并向邀請對象發送電子郵件;讀取用戶日歷活動和詳情;允許應用隨時使用麥克風進行錄音;讀取用戶設備上短信內容;修改用戶通訊錄。
用戶協議及隱私政策——無隱私政策和用戶協議
雖然有些App已經申請收集個人用戶信息,但是如果某些權限,用戶不同意開啟,則App無法安裝或運行的權限數。筆者稱這種做法為“耍流氓”。
根據《百款常用App申請收集使用個人信息權限列表》顯示,手機信息權限有26個小項,分為日歷、通話記錄、相機、通訊錄、位置、麥克風、電話、傳感器、短信和存儲10個類別。
其中申請收集個人信息相關權限數,筆者統計申請收集13個權限及以上的手機App,分別有
平安普惠(6.0.0版本)——16個權限
平安金管家(5.03.0)——15個權限
360手機衛士(8.1.0)——23個權限
騰訊手機管家(7.14.0)——22個權限
QQ同步助手(6.9.11)——19個權限
百度網盤(9.6.8)——17個權限
WiFi萬能鑰匙(4.3.59)——13個權限
釘釘(4.6.25)——13個權限
途牛旅游(10.6.0)——13個權限
中國建設銀行(4.1.5)——13個權限
中國工商銀行(4.1.0.4.0)——13個權限
聯通手機營業廳(6.1)——18個權限
中國移動(5.3.0)——17個權限
鈴聲多多(8.7.47.0)——14個權限
汽車之家(9.10.5)——14個權限
根據《網絡安全法》第四十一條規定:網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則、明示收集、使用信息的目的、方式和范圍,并經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息。
按理說,公司收集個人用戶信息應當遵循國家標準提出的“個人信息最少夠用”原則。注意,這里已經指出一個是最少,一個夠用。實際上,公司收集個人用戶信息不是最少,而是盡可能多地去收集。這實際上已經與國家標準背道而馳。
比如上文提到的360手機助手、騰訊手機管家,申請收集的個人信息權限數均超過20個,差不多都想獲取你的全部手機權限。這種問題,值得大家注意。
根據全國信息安全標準化技術委員會發布的《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規范》指出,移動互聯網應用個人信息收集活動需遵循6個基本原則:
1. 權責一致原則——個人信息收集應遵循法律法規要求,不采用非法的方式和渠道收集個人信息,不收集法律法規禁止的個人信息,不違反與用戶的約定收集使用個人信息,并對因個人信息處理活動對個人信息主體合法權益造成的損害承擔責任。
2. 目的明確原則——向用戶明示收集使用個人信息的目的、方式和范圍,收集的個人信息及申請的權限應具有合法、正當、必要、明確的收集使用目的和業務功能。
3. 最少夠用原則——不收集與其提供的服務無關的個人信息,不申請打開可收集無關個人信息的權限。只收集滿足業務功能所必需的最少類型和數量的個人信息,自動收集個人信息的頻率不超過業務功能實際所需的頻率。
4. 選擇同意原則——僅當用戶知悉收集使用規則并明確同意后,網絡運營者方可收集個人信息。不以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由,以默認授權、功能捆綁等形式強迫、誤導個人信息主體同意其收集個人信息。不因個人信息主體拒絕或者撤銷同意收集必要信息以外的其他信息,而拒絕提供基本業務功能服務或頻繁征求用戶同意。
5. 公開透明原則——以明確具體、簡單通俗、易于訪問的方式公開收集、使用個人信息的規則,并接受外部監督。
6. 確保安全原則——采用足夠的安全技術和管理措施,保障個人信息收集安全,防護數據竊取、違規爬取、采集傳輸泄密等安全風險。
實際上,我們看到這些原則在現實中并沒有被很好的遵守,尤其是最少夠用原則和選擇同意原則。很多App是盡量多收集一些與個人信息有關的權限,并且App安裝時,一旦“拒絕或者撤銷同意收集必要信息以外的其他信息”,App就“拒絕提供基本業務功能服務或頻繁征求用戶同意”。
-
信息安全
+關注
關注
5文章
655瀏覽量
38898 -
APP
+關注
關注
33文章
1573瀏覽量
72441
發布評論請先 登錄
相關推薦
評論