2019年,上海市消保委广泛听取消费者意见,联合《中国消费者报》上海记者站委托北京捷兴信源信息技术有限公司,于2019年1月继续对网购平台、旅游出行、生活服务等39款手机用开展第三期手机APP涉及个人信息权限评测。
2018年3月至7月,上海市消保委开展第一期地图类手机APP涉及个人信息权限评测,反映出申请的敏感权限与实际功能不完全对应的问题。5款头部应用相关企业积极回应,通过取消获取、功能优化、版本更新等形式进行改进,相关问题得到解决。
2018年8月至11月,上海市消保委开展第二期针对浏览器、输入法、综合视频等手机APP涉及个人信息权限评测。18家头部应用相关企业积极跟进问题,在敏感权限的申请、使用方面均做到了合理申请、自主授权,充分保证了用户的知情权、选择权。
2019年1月25日,网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》,将针对APP强制授权、过度索权、超范围收集个人信息问题进行专项检查。
评测维度
一是APP所使用的目标API级别。当目标API级别低于23时,安卓对于权限会采用一揽子授权的模式,存在可规避系统安全机制的漏洞;
二是APP敏感权限的数量。重点关注安卓系统中与个人信息密切相关的有29权限的申请和使用;
三是注敏感权限的授权方式。是否存在一揽子授权的模式,如何向用户提出授权请求;
四是查看是否存在无实际功能对应用的权限申请。
评测结果
14款应用敏感权限与实际功能均能对应。
9款应用问题涉及发送短信、录音、拨打电话、读取联系人、“监控外拨电话,重新设置外拨电话的路径”、接收讯息(短信)、读取通话记录等敏感权限未找到对应功能及目标API级别低等。
不少网购类APP获取了日历权限,这些信息涉及个人信息、商业机密等,而消费者对日历权限的重视度非常低。
社会反响
为推动相关问题的解决,上海消保委与手机APP企业进行技术沟通,相关企业也在排查后对存在的问题作出解释和优化意见。
在前期沟通确认中,有8款应用第一时间进行沟通,并通过删除敏感权限、升级版本等方式快速对存在的问题作出解释和优化。
截止到2019年3月23日,30款应用全部实现在敏感权限的申请、使用方面做到了合理申请、自主授权。
截止到2019年3月23日,上海市消保委再次进行了测试,仍有9款应用未能就其权限和功能无法对应的问题进行改进。
截止到2019年4月1日,8家APP都已完成整改。
2019年4月11日,上海市消保委与最后一家企业现场沟通,就其APP麦克风权限与相关功能的对应性、APP内第三方金融服务的信息披露以及资质审核等问题提出了相关改进要求。2019年4月12日,企业提交书面改进措施。39款APP全部实现整改。
消保委观点
个人信息保护的关键是规范收集和使用。
《网络信息安全法》第四十一条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
日历权限给消费者带来的可能性风险大于给消费者带来的便利,网购类平台使用日历权限给消费者带来的场景可以用其他技术手段加以替代。
据此,上海市消保委希望消费者和APP开发者都能对日历权限加以重视。
建议:
如消费者经常使用日历记录敏感事项,对APP的日历权限应谨慎授权;
APP开发者如无十分必要,建议尽可能不使用手机日历权限。