近日,中国信息通信研究院安全研究所发布《移动应用(App)数据安全与个人信息保护白皮书》(下称《白皮书》)。《白皮书》显示,从业务类型来看,地图导航类App存在的个人信息安全问题最多,平均每款8.4个;其次是医疗健康和安全管理类,平均每款有8.3个问题。
超九成App有隐私政策
但强制用户同意问题突出
截至2019年9月底,三家基础电信企业手机上网用户规模达到13.04亿户。网上购物、叫车、看视频……App已渗透到人们生活的方方面面,同时用户也面临着享受便捷化服务与保护个人信息权利之间的两难抉择。App强制授权、过度索权、超范围收集个人信息的现象大量存在。
截至2019年11月4日,《白皮书》从小米应用商店、应用宝等10个安卓应用市场,选择地图导航、社交通信等20个类别中下载量大、影响范围广的200款App作为检测对象,共检测出1265项数据安全问题。
从业务类型来看,地图导航类App存在的个人信息安全问题最多,平均每款8.4个;其次是医疗健康和安全管理类,平均每款有8.3个问题。
超过九成的App已具备隐私政策且内容丰富,63.1%的App通过“登录/注册即表示同意隐私政策”的方式强制用户同意,且未提供拒绝选项,用户若想继续使用只能被动同意隐私政策,侵犯了用户自主选择权;16.9%的App在使用过程中仅展示隐私政策但未征询用户同意,违背制定隐私政策的初衷;15.4%的App提供了是否同意隐私政策的勾选框,但存在默认勾选问题。
近日,国家互联网信息办公室、工信部等四部门联合发布的《App违法违规收集使用个人信息行为认定方法》(下称《办法》)规定,App以默认选择同意隐私政策等非明示方式征求用户同意,可被认定为“未经用户同意收集使用个人信息”。
权限方面,近三成App申请10个以上权限,部分金融类App申请权限多达14-16个,涉嫌超范围获取权限。检测发现,85%以上的App申请“写入外置存储器”、“读取电话状态”权限。《白皮书》指出,二者均属于安卓系统中的危险级别权限。拥有“写入外置存储器”的App可能导致用户被植入恶意程序,拥有“读取电话状态”权限的App可获取设备唯一识别码,关联用户生活习惯和消费行为。此外,“拍摄”、“访问粗略定位”、“访问精确定位”、“录音”等危险权限的申请比例也超过七成。
网络身份标识信息泄露
App账号内数据或将被窃取
大数据时代,“数据”已然成为生产资料,被企业高度重视。其中,数据存储是App运营中的关键环节,也是网络黑客攻击窃取数据的切入点。
《白皮书》显示,超九成的App会在用户终端内存储运行日志、设备信息、用户信息等数据,但其中25%的App存在明文存储用户个人信息的问题。
《白皮书》显示,网络身份标识信息占比35.1%,主要包括个人信息主体账号及密码;个人基本资料占比38.6%,主要包括用户手机号、邮箱、生日等信息;精确定位信息占比15.8%,主要包括用户所在位置的经纬度信息。《白皮书》强调,网络身份标识信息被不法分子获取后,可直接窃取账号内的全部数据。
此外,《白皮书》显示,20.5%的App未提供注销功能。26.9%的App虽然提供了注销功能,但注销耗时长、流程繁琐,还需比注册时多提交额外非必要的个人敏感信息,如用户真实姓名、住址、邮箱、身份证照片等,且App运营者并未明确额外信息在注销后是否会删除。
《办法》规定,App为注销用户账号设置不必要或不合理条件可被认定为“未按法律规定提供删除个人信息功能”。
采写:南都个人信息保护研究中心研究员 尤一炜