多款App权限越界:今日头条饿了么明示储存暗开定位
导读:1月11日,工信部信息通信管理局约谈了百度、支付宝和今日头条,指出对照《网络安全法》、《电信和互联网用户个人信息保护规定》等有关规定,三家企业均存在用户个人信息收集使用规则、使用目的告知不充分的情况,并要求三家企业进行整改。
1月11日,工信部信息通信管理局约谈了百度、支付宝和今日头条,指出对照《网络安全法》、《电信和互联网用户个人信息保护规定》等有关规定,三家企业均存在用户个人信息收集使用规则、使用目的告知不充分的情况,并要求三家企业进行整改。
1月12日至17日,新京报记者使用安卓系统手机测试了市面上使用较多的20款App,发现其中16个App要求读取位置、通讯录等较敏感权限;多个App开启的权限与其主营业务无关;4个App未经明示提醒就开启了包括相机、录音在内的多个敏感权限。
根据《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
“App收集个人信息应遵循我国《信息安全技术-个人信息安全规范》,个人信息收集、使用其一是要保证收集信息的合法性要求,其二是满足收集个人信息的‘最小化要求’,例如原本App给用户的提示是开启位置权限,结果App同时把录音、读取通讯录,或其他获取个人信息或资源的权限隐含地开启了,这就不符合个人信息安全的最小化要求。”北京邮电大学移动互联网与大数据安全联合实验室主任马兆丰博士表示,个人信息的使用、保存、委托处理、共享、转让或公开披露等必须满足个人信息安全基本原则和规范,个人信息的不当获取、使用、加工处理涉嫌违法犯罪要负法律责任。
5款App涉及隐私权限提示不全
今日头条饿了么明示“储存”暗开“定位”
当用户在安装一款App时,手机界面往往会弹窗提示要求用户开启某项权限,用户可以选择开启或关闭。
“App软件,包括PC程序在内,在用户行使知情权时弹出的提示属于‘明示同意’,如果App软件采取非明示同意的隐含同意,或者以超越法律法规事实上强迫用户不得不同意的方式获取用户个人信息属于个人信息的不当使用。”马兆丰博士称。
新京报记者从华为应用商店安装20款主流App发现,其中14款App在首次安装使用时对可能涉及的敏感权限进行弹窗提示,但有5款App对涉及隐私权限的提示有“疏漏”。
在这5款App中,“储存”权限是被要求最多的权限,但“位置”权限是最多被默认开启的权限。
比如,今日头条、喜马拉雅FM和饿了么在首次使用时均弹窗提示用户开启电话以及储存权限,携程旅行则在首次使用时只提示用户开启储存权限,但当记者点击同意后,却在后台发现上述应用实际也开启了位置权限。
百度浏览器则在首次安装时提示要求用户开启“储存”、“位置”、“电话状态”三项权限,但实际除上述三项权限外还开启了麦克风录音权限。
对于这一现象,手机百度高级经理田彪曾表示,有的系统会授予它认为安全的App一些权限,安卓系统的权限授予非常复杂,权限授予完全取决于手机系统本身,而并非由App自身判断和决定的。
在梆梆安全研发中心副总裁方宁看来,这一说法确有其道理。“通过原生安卓系统安装时,谷歌规定安装App时是一定要提示所有权限的。但用户在品牌手机自带的应用商店里安装App时,如果该App处于手机厂商的白名单列表里,有时应用商店本身会替你忽略掉这一过程。”
但在专家看来,“白名单”不能作为App对涉敏权限不进行明示提醒的理由。
马兆丰表示,一些App产品厂商和软件商店有合作,以白名单模式放行本该提示用户知情的选择权,从而没有进行“明示同意”的提示,这也不符合个人信息安全使用规范和要求。
新京报记者在测试20款App时发现,蘑菇街未经提示就在后台开启了“读取本机识别码”权限。“许多App需要从手机中读取标识符来标识用户,相当于在用户未登录的情况下让服务器知道用户身份,属于较为普遍的权限要求,相对之下较为‘无害’。由于手机厂商可以二次定制开发安卓系统拥有厂商权限,所以如果手机厂商认为某些权限是安全的,有可能会不提示给用户。”方宁称。
“而定位功能属于较为敏感的权限。”西安邮电大学副教授任方表示,“一般系统不会直接无条件给App打开,不过由于一些App开发者在软件设计时就设置了这样的条件,你不开放它就不让安装,用户也没有什么办法。”
在互联网安全专家刘海(化名)看来,不管App是否进入了厂商的“白名单”,能开启哪些权限还是App开发者自身决定的。
“目前安卓平台上广泛存在权限被滥用的现象,很多应用经常申请不必要的敏感权限,使用户隐私面临被泄露的风险。造成权限‘滥用’现象的除安卓系统自身的开放性之外,App没有做到约束自己的行为也是原因之一。”刘海说。
多款App开启与主业无关的敏感权限
优酷开启位置权限,爱奇艺读取运动数据
在1月15日的测试中,记者发现除了上述明示不全的外,赶集网、滴滴出行、拼多多、优酷、爱奇艺和蘑菇街6款App在首次安装使用时没有对用户权限进行任何明示。
其中,滴滴出行、赶集网、拼多多、优酷四款App在后台直接开启了包括录音等多个敏感权限。
在用户李艳看来,一些App开启敏感权限情有可原,另一些则不合情理。“比如微信要发语音开启录音权限,以及滴滴需要定位开启位置权限我可以理解,但一些购物和视频网站也要位置就有些说不通了。”
在实际测评中,记者发现不少App开启的权限和自身核心业务交集不大,如主业为视频播放的腾讯视频在首次使用时向用户明示了使用协议,并只开启了“读取本机识别码”,同类App爱奇艺则没有在软件打开时做到弹窗提示,还开启了使用呼叫转移以及读取运动数据权限,并在记者安装后立刻尝试读取位置信息。
优酷则开启了位置、运动数据、获取浏览器上网记录等多个与视频观看交集不深的敏感权限。记者打开优酷和爱奇艺App后,并未发现有哪些选项与读取位置或者拨打电话有关。
也有不少App有明确的理由开通与主业无关的功能。例如资讯类App今日头条在上线“发布小视频”功能后,就有理由开启相机和麦克风录音权限。对此,有用户曾经质疑今日头条“通过麦克风窃取用户隐私”,今日头条则回应称“今日头条旗下所有产品,都不存在未经用户许可、擅自获取用户隐私的行为。”
在方宁看来,虽然目前相关法规有“不得收集服务所必需以外的用户个人信息,不得将信息用于提供服务之外的目的”之类的表述,但其实这个说法空子还是很大的。“什么叫‘服务必需以外’?比如优酷,我们认为它只提供视频播放服务,但是它也可以说我获取用户信息是为了做大数据分析,比如根据用户喜好推荐想看的视频,根据用户行为习惯做用户画像分析等。事实上,App可以把它的服务装饰成很多维度,然后就可以通过这种方式获取主业之外的权限,即找一个合适的理由来采集你的信息。”
1月18日,记者在后台的“权限访问记录”中发现,一些敏感权限的读取记录来自和主业完全不符的App,如搜狗输入法、爱奇艺、蜻蜓FM在安装后不久就尝试读取位置信息。而被访问最多的权限之一是“读取已安装应用列表”。方宁介绍,这是App做运营分析或者用户画像时很常见的方式。
开启权限是否泄露隐私?
技术上可以读取隐私,但难判断是否泄露
在刘海看来,随着市场上App的功能越来越丰富,申请的权限也越来越多,这也同样说明以窃取泄露用户信息为目的的恶意App和仅是提供服务的非恶意App申请的权限交集更大了。“例如目前许多App都有‘语音搜索’功能,即便这并非其核心功能,开启与否区别不大,但一旦开启,就意味着App有了窥探用户隐私的能力。”
他认为,只要开启了录音权限,技术上App确实可以获取用户的录音;而开启了通讯录权限,技术上App也可以得到你的联系人名单。换言之,只要拿到相关权限,App完全可以在正常提供相关服务的同时,“顺手”获取用户的隐私数据,不管这些数据是否属于“服务必需之外”。
比如,为了方便用户导入联系人名字,一些输入法要求读取用户通讯录,但这也意味着它得到了通讯录个人信息(包括姓名、号码、甚至家庭住址等)。对此,马兆丰分析称,如果输入法获取了通讯录信息后只是为了本地使用方便,不做数据上传或进一步用于其他目的,获取权限的理由也成立,那么,在很大程度上就不一定能涉及隐私泄露。
“事实上,如果一些应用程序涉嫌非法收集、使用加工用户隐私信息,通过深度数据解析、网络通讯行为分析、相关操作访问等技术手段是可以监测到的,即使在网络传输层面是加密的,但在本地数据解析、数据构造层面也是可以分析监测到是否涉嫌用户隐私侵犯。因此,个人信息的使用无论是软件开发者、公司或机构都要遵循相关法律法规,否则,一旦涉嫌用户信息不当使用都要承担相应后果。”马兆丰指出。
方宁表示,通过做逆向分析、渗透测试等方式可以检测出一个应用是否上传了用户隐私数据,但这需要具备专业的技术能力,普通老百姓不可能做到。“目前主要依靠企业行为自律或寻找专业的安全企业进行合作,以达到为用户提供安全的使用环境。”
而在任方看来,由于很难取证,目前并没有有效的惩处制度来约束App的这种隐私窃取行为,用户也无法证明App是否真的窃取了隐私。
20款App仅京东、苏宁易购、腾讯视频、支付宝弹窗提示隐私协议
百度赶集网等未明示隐私协议
根据我国《信息安全技术-个人信息安全规范》要求,收集个人敏感信息时,应取得个人信息主体的明示同意,确保其在完全知情的基础上自愿给出具体、清晰、明确的愿望表示,并且允许个人信息主体选择是否提供或同意自动采集。
为了解决权限安全问题,谷歌公司曾建议开发者在上传应用时发布隐私条例,即开发者需要声明用户相关的隐私信息如何被使用、收集或分享,其目的是使用户了解隐私信息如何被使用,从而更好地保护用户隐私。
但目前,很多App并没有做到明示隐私协议以及给予用户选择是否同意的权利。
1月17日,在新京报记者测试的20款App中,京东、苏宁易购和腾讯视频在首次安装时就将其隐私协议进行了弹窗提示,用户可以选择是否同意,支付宝在安装后不会立即提示隐私协议,而是在用户登录时弹窗进行相关提示。
相比之下,滴滴出行、百度浏览器、赶集网、1号店、携程旅行、美团外卖、西瓜视频等多数App都没有向用户明示提醒其隐私协议。
此前,南都个人信息保护研究中心发布的《关于收集个人信息“明示同意”的测评报告与建议》显示,在100款常用App中,在用户注册前,“默认勾选”同意企业用户协议和隐私政策的情况并不少见,有的甚至存在用户不可自主选择同意与否的问题。仅有11%的App做到了合乎法规及规范的“明示同意”。
新京报记者测试发现,多数App的隐私协议藏在“设置”选项中,如今日头条在“设置”的最下方有一行小字才能看到“今日头条用户协议”,而百度浏览器的相关隐私协议则在“设置”-“关于浏览器”中才能找到。
相关隐私条款中,今日头条和百度浏览器均有“使用App就视为同意条款”的表述。百度浏览器还特别列出了一个免责声明,表示“您可以选择不使用百度,但如果您使用百度,您的使用行为将被视为对本声明全部内容的认可。”这意味着,用户在安装并使用该App时,就已经默认同意了上述条款。
在前不久的支付宝“年度账单”事件中,也出现了默认勾选隐私协议的事件。
对此,华东政法大学教授、大数据政策法律研究中心主任高富平曾发表文章认为,有效同意的要件需要明确。
在他看来,我国现行法律将同意视为个人信息收集和使用的一般规则,但在实践中,“同意”被大量地使用,很难起到保护个人权利的目的。这主要是因为,在实践中的同意大多数是与服务捆绑的,用户协议的同意是接受服务的前提,因而要接受服务就必须同意,否则无法享受服务。而用户协议又是涵盖经营者可能列举的各种情形,包括向所有关联方、业务合作方等提供信息。这也就是大家通常讲到的“概括式同意”。在这种概括式的协议中不乏各种不合理条款。
高富平认为,法律尚没有明确否定概括式同意,实践中的做法并不违反法律。但涉及具体的个案纠纷,法院有权对不合理条款进行实质审查,否定其效力。“何为有效的同意,需要今后法律予以明确。”
“通过App或者网站提供的相关协议属于格式合同,App方在格式合同中肯定会弱化用户的权利。”盈科律师事务所律师方超强告诉新京报记者,“这一个格式条款算不算用户承诺值得商榷。事实上,如果该格式条款过于限制用户权益,可以认定无效。例如目前很多App都在隐私协议中表示会把用户资料提供给合作方或第三方,但却没有提及第三方的身份,在这种情况下默许用户‘同意’的格式条款就涉嫌侵害了用户的权益。”