IT时报 -V8 时报独家-
8时报独家
  • ·不授权,就不给你用!

快手、UC、腾讯新闻……

不授权,就不给你用!

  

5月1日后,39类App将不能过度索取个人信息 记者实测37款App
IT时报记者李丹琦图东方IC
  微信获取位置信息69次、读写储存空间549次,高德地图获取位置信息34次、抖音获取位置信息23次、支付宝获取位置信息13次、微博获取位置信息12次……这是冯小杰手机App一天的权限使用记录。
  他使用的是小米手机,手机里的“应用行为记录”功能记录了手机App不为人知的另一面。
  就在他打开“应用行为记录”的前3分钟,网易云音乐、百度网盘、快手、微信、什么值得买、支付宝先后自启动,一刻相册和网易云音乐App分别读写了手机里的照片和文件,微信和微博获取了一次手机信息。刷了5分钟抖音后,小米“空白通行证”共向抖音返回5116次空信息。
  看到这里,冯小杰感到后背发凉。生活中的他非常注意个人隐私保护,但明枪易躲,暗箭难防。十几款手机App竟然在自己毫无感知的情况下,几乎看光了他手机里的全部内容。
  为何有些App没有主动告知我就偷偷自启动读写我的储存空间、照片和文件?为何一些和自身服务定位毫不相干的权限,App都想要?吊诡的是,这些App在调取手机权限时,早已在不知不觉间经过了用户允许。
  半个月前,国家互联网信息办公室、工业和信息化部等四部门联合发布了《常见类型移动互联网应用程序必要个人信息范围规定》(简称《规定》),明确对39类App划定了必要个人信息范围,5月1日起正式实施。这意味着,App、小程序运营者过度索权的行为将会得到规范,公民在网络空间的合法权益将会得到保护。
  距离此项《规定》正式落地已不足一个月,《IT时报》记者对市面上包含社交、购物、出行、娱乐在内的37款主流App使用权限进行测试后发现,仍然有不少App涉嫌过度索权,其中不乏百度地图、快手、腾讯视频等知名App。
每部手机每天被定位3691次
  今年1月,小米MIUI隐私保护能力建设研发团队公布了这样一组数据:“平均每部手机每天会被App定位3691次,相册和个人文件每天被App访问2432次,App在后台每天尝试悄悄地启动783次,有超过40万个App可以直接读取用户的剪切板。”简单计算,一部手机平均每小时会被App定位154次,平均1分钟被定位2.56次。你根本无法察觉App暗中在做什么。
  App对用户信息的渴望,远超用户想象。
  4月7日,《IT时报》记者使用一部安卓国产手机下载了较为常用的37款App,涵盖社交、娱乐、电商、出行等领域。从手机权限管理界面中看到,37款App都涉嫌索要定位权限、拍照、录像权限以及手机识别码(IMEI码)权限,不仅如此,33款App索要通讯录权限,大多要求“读取联系人”,微信、QQ、脉脉、淘宝、微博5款App获取的通讯录权限还包括“新建/修改/删除联系人”;QQ、铁路12306和微博3款App还索取“读取彩信”“读取短信记录”的权限;番茄免费小说则需要读取用户拨打电话的权限。
  一些App在其“个人信息保护政策”中对此做了解释。美图秀秀称,收集用户位置、设备信息是为了帮助用户获得更感兴趣的社区内容,或在工具素材和广告内容推荐上呈现更符合需求的内容,减少对海量内容筛选的时间;bilibili表示,索取设备信息权限是为了给用户提供视频展示和播放服务,索取定位是为了定向推荐、维护和改进产品之必须;番茄免费小说申请电话权限,是为了用户看到广告页需要拨号和显示对方电话所设置……除上述授权要求外,有不少App还需要读取用户的剪切板、日历、存储等权限。
  如果一款导航类App索取定位是为了给用户提供服务,为何爱奇艺、bilibili、脉脉、QQ音乐等App也要获取用户的定位信息?为何读书软件也要读取用户拨打电话的权限?社交类App启用麦克风是为了便于交流,为何餐饮订单平台要启用麦克风及录音功能?
  事实上,手机里的不同权限对应不同风险。民间非企运营互联网安全组织网络尖刀创始人曲子龙告诉《IT时报》记者,获取通讯录权限,大多用于做大数据画像,同时获得用户的“社交关系”,容易被不法分子盗取后用于诈骗;短信权限的风险更大,如果被滥用,轻则被利用“薅羊毛”,重则被用于拦截短信验证码,控制所有的数字资产;麦克风权限,则可以用于监听;至于位置、相册权限,多用于建立行动轨迹和获取相册里的隐私。
快手、抖音、腾讯新闻……不授权无法正常使用
  《常见类型移动互联网应用程序必要个人信息范围规定》开篇便明确,网络运营者不得收集与其提供服务无关的个人信息,移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。
  但当记者对一些常用App进行测试后发现,不授权便不可用的现象,非常普遍。
  比如,《规定》对于短视频类App的要求是无须个人信息,即可使用基本功能服务。但当记者打开快手并拒绝授权定位信息以及要求授权存储、系统权限的隐私条款后,屏幕上跳出一行字:“若不同意,快手将不能为您提供服务。”
  打开西瓜视频,主界面会立即跳出一则信息,需要用户点击同意“个人信息保护指引”,该指引表示平台会收集、使用设备表示信息用于推荐,还可能会申请位置、日历等权限,记者点击“不同意”后,屏幕上跳出一则温馨提示,“如不同意该指引,我们将无法为您提供服务。”抖音亦是如此。《规定》对新闻资讯类App、运动健身类App、浏览器类App的要求均是无须个人信息,即可使用基本功能服务。记者测试了腾讯新闻、keep、UC浏览器、搜狗浏览器发现,如果选择不同意该平台的隐私协议和软件许可协议,均无法正常使用App。而如果记者同意了隐私协议,那么这些权限便被自动打开。
  此外,记者还发现,很多权限用户无法手动进行关闭,而一旦在开始点击了同意隐私协议,或者打开了某项权限,该权限下方所包含的更多细节也都一并处于默认打开状态。
不同手机App授权管理不同
  更令人惊讶的是,有些App虽然表面上征询了用户意见,但当用户拒绝后,却在用户不知情时悄悄打开了权限。
  记者在一台魅族手机自带的应用商店里下载了一款百度地图App,首页默认勾选开启定位、存储、麦克风、设备信息四项授权,并在屏幕最下方有“同意”和“不同意并退出”的按钮。记者将四项授权全部取消后,点击“同意”按钮,便进入百度地图搜索页面。然而,当记者查询某条路线时,百度地图依然自动定位了“我的位置”,并提供了导航路线。
  这是怎么回事?记者进入手机里百度地图“应用访问授权”设置后发现,在已经拒绝的前提下,位置信息、存储空间、日历、电话、相机、通讯录和麦克风均为开启状态。
  根据《规定》,地图导航类App的基本功能服务为“定位和导航”,必要个人信息为位置信息、出发地、到达地。但如果根据记者的测试结果,这款百度地图App不仅涉嫌过度索权,而且还有欺骗用户的嫌疑。
  然而,曲子龙在自己的华为手机上做了同样测试,无论是从华为应用市场还是魅族应用市场中下载的百度地图,只要在初始状态拒绝授权,其权限内默认是关闭状态。
  百度地图客服人员用两款手机测试后,得到了和曲子龙同样的结论,但她也坦承,目前暂时无法确定记者测试结果不同的原因,可能是与手机型号有关。
  业内人士猜测,这或许与不同手机厂商对App索权的限制有关,或者是某些应用市场里的特制安装包,有后门存在。
  在获取用户权限方面,苹果就规范许多。用户可以在设置中轻易找到App所需的定位、麦克风、相机、蓝牙、Siri权限,并将其手动关闭。iOS系统从7.0开始就停止了IMEI相关接口开放,开发者无法直接获得相关权限。4月7日,苹果宣布,未来几个星期内将实施全新的隐私采集用户披露和许可政策。
模糊地带的IMEI码
  37款App的“个人隐私权限政策”中,基本都有类似条款:“当您使用本款应用时,我们会搜集你的设备信息,包括设备型号、唯一设备标识符、设备MAC地址、操作系统类型、屏幕分辨率、电信运营商、登录IP地址、软件版本型号、接入网络的方式、网络质量数据……”
  从《规定》对39类App详细要求来看,并没有对IMEI码、IP地址等信息有明确要求,那么,设备信息是否属于本次《规定》的监管范围?《民法典》中规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
  IMEI码是国际移动设备识别码的简称,即通常所说的手机序列号,因其唯一不可变被称为手机的“身份证”。理论上,App获取该码之后,结合手机号码等其他信息,基本可以以此识别特定用户。 下转09版