近日,国家互联网应急中心(以下简称“CNCERT”) 发布《2019年上半年我国互联网网络安全态势》,称移动 App强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的问题十分突出。据了解,仅7月份,广东省就检测发现了490余款App存在超范围收集用户信息行为。律师认为,App强制授权、越界授权、超范围收集个人信息,属于违法行为,侵犯了客户的隐私权,影响用户体验。
据CNCERT统计,我国境内应用商店数量已超过 200 家,上架应用近 500 万款,下载总量超过万亿次。在目前下载量较大的千余款移动 App中,每款应用平均申请 25 项权限,其中申请了与业务无关的拨打电话权限的 App数量占比超过 30%;每款应用平均收集 20 项个人信息和设备信息,包括社交、出行、招聘、办公、影音等;大量 App存在探测其他 App或读写用户设备文件等异常行为,对用户的个人信息安全造成潜在安全威胁。
南都记者从广东省公安厅获悉,2019年7月份,广东省公安机关共监测发现490余款App存在超范围收集用户信息行为,其中“小图医学”、“游戏超人”、“乐讯社区”等44款App,存在超范围读取用户通话记录、短信内容,收集用户通讯录、位置信息,超权限使用用户设备麦克风、摄像头等突出安全问题。
以App“小图医学”为例,南都记者下载后发现,该App并未提供任何用户协议与隐私协议,但据公安机关监测,该App可读取用户联系人数据、位置信息、允许App录制音频、静默装载及卸载文件等。
南都记者向陕西恒达律师事务所高级合伙人赵良善律师了解到,根据我国法律规定,App经营者搜集公民个人信息应当遵循合法、正当、必要的原则,不得收集与其提供的服务无关的个人信息。《网络安全法》第四十一条明确规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
南都记者注意到,此前中央网信办App专项治理工作组曾对下载量大的100款App申请权限以及强制开启的权限进行了分析统计,其中相机、通讯录、位置、麦克风、电话状态、读取及写入外置存储器等个人信息会被绝大部分App申请收集,而过半的App在用户不同意开启某些权限时,无法安装或运行。例如百度糯米8.5.0,用户必须对其申请收集的9项个人信息相关权限全部同意才能顺利运行该App。
南都记者此前报道,6月1日,全国信息安全标准化技术委员会针对16类常用的基本业务功能界定了必要信息的范围,比如金融借贷类功能不能强制读取通讯录,设备信息只能用于安全目的等。
8月8日,全国信息安全标准化技术委员会秘书处组织起草了《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》,并向社会公开征求意见。
赵良善表示,违法搜集公民个人信息,容易导致信息泄露,给犯罪分子可乘之机,导致公民的个人安全受到严重威胁。此“规范”将对App搜集个人信息提出具体要求及操作规范,但是网络发展速度较快,法律规定具有一定滞后性,无法涵盖所有违法情形。同时,网络App软件多且更新快,这对判定App是否违法的监督工作提出了较高要求,执法难度也相应增加。
采写:南都见习记者 刘珺雅
领取专属 10元无门槛券
私享最新 技术干货