欢迎来到深圳互联网技术应用协会
您当前的位置:首页 - 协会资讯 - 行业动态

不良APP哪最多? 百度手机助手、应用酷等上榜

来源:发布日期:2017/12/29已有 3166 人浏览

昨日,由南方都市报社和中国人民大学未来法治研究院等联合主办的“2017年个人信息安全大会”在北京举行。

百度手机助手、应用酷、安卓网、苏宁易购应用商店被检测发现的不良APP较多。由此说明,即便是大型的应用商店,也可能存在审核不严的问题,从而让问题APP上架。

无人机、儿童智能玩具、扫地机器人……这些时下流行的新设备,都可能成为监视你的“间谍”。

12月28日,由南方都市报社和中国人民大学未来法治研究院等联合主办的“2017年个人信息安全大会”在北京举行。会上,近百名来自政府部门、科研机构和知名企业的代表,共同探讨个人信息保护的相关话题。

当天,南都个人信息保护研究中心还发布了《2017个人信息保护年度报告》(下简称《报告》)。《报告》包括1550家网站和APP的隐私政策测评结果、南都在系列隐私调查中发现的问题、年度热点隐私事件盘点,以及2018年可能出现的问题。据悉,这是国内首份由媒体发布的个人信息保护报告。

南方都市报编委虞伟表示,“从2016年开始,南都通过多篇调查报道,逐渐深入个人信息安全领域的话题。我们正在尝试以新闻报道与第三方评测监督的方式促进业界对个人信息安全形成共识。”

平台“任何事概不负责”条款遭诟病

从今年3月开始,南都个人信息保护研究中心就持续关注互联网产品的隐私政策透明度问题,至今已经完成了十多个行业共1550个网站和APP的隐私政策测评。当天发布的《2017个人信息保护年度报告》显示,在历次测评中,平台隐私政策透明度的分布都是陡峭的金字塔型,即透明度高的极少,透明度低则占到绝大多数,超过总数的80%,互联网金融类和购物类的占比甚至高于90%。

值得注意的是,透明度高的10个平台中,大部分都是大型互联网企业旗下产品,并且也是2017年7月中央网信办等四部委组织隐私政策评审的首批参评对象。在评审期间,这些企业均修改了自身的隐私政策,因此才达到评分高的层级。

不过,综观1550个平台,其知名度和隐私政策透明度并不一定成正比。报告指出,在招聘类平台测评中,知名平台如智联招聘、猎聘网、赶集网的隐私政策透明度就排在倒数;购物类平台里更有多个成立多年、口碑尚可的知名平台分数垫底,典型如当当网、乐蜂网、聚美优品、小红书、洋码头。反而有些相对较小的平台对隐私政策更为重视,比如美骑论坛就在旅游类平台测评中跻身透明度高的层级。

南都个人信息保护研究中心还对这1500多家平台中的隐私政策进行了回顾测评。结果发现,包括麦包包、美囤妈妈、马上游、爱飞网等17家互联网平台,在被南都首次测评曝光后,仍然没有任何保护个人信息相关的隐私政策。

据了解,报告发现有些重要条款是平台所普遍缺失的,这些条款无一例外的削减了企业责任,侵害了用户利益。比如用户对平台提供的附加功能应有选择权,即使用户拒绝也不能影响核心功能使用;若平台将用户信息用于此前声明以外的新的目的,必须获得用户的再次同意,例如使用“弹窗”提醒用户。

报告发布者介绍,参评平台的隐私政策普遍存在用户权利条款缺失、文本雷同、更新缓慢、暗藏格式条款等弊病,甚至一款名为“果库”的互联网平台直言“基本上任何事情都可能发生,我们是不会负责的”,令人啼笑皆非。

对此,报告提出三点建议,相关部委或监管机构、以及第三方社会组织对更多行业的更多网络产品和服务进行测评,督促企业加强行业自律;出台隐私政策相关标准和规范,对企业制定隐私政策时的随意性进行限制。应用商店可以要求在A?PP上架的同时提供隐私政策,供用户了解;拓展测评范围至实际操作层面,监测企业是否落实了隐私政策文本中对用户的承诺。

2000人支持APP不再读取短信

2017个人信息保护年度报告》还提出,互联网时代,个人信息随时可能被泄露,包括现在最时兴的无人机、儿童智能玩具、扫地机器人等,都可能成为监视你的“间谍”。甚至是一款你从未使用过的A?PP也能掌握你的信息,给你发来指名道姓的短信,称有好友标记了你的生日,赞你有两把刷子,给你发送一段视频,还称有人暗恋你。

当前,APP过度获取用户信息的现象严重。一款手机壁纸能读取你的通讯录,一个浏览器应用可能随时给你录音。报告提及,选取了6款安卓应用市场,以“王者荣耀”关键词排名前后的顺序,选取了50款王者荣耀周边应用作为研究样本。结果发现,50个APP覆盖了28个隐私相关权限。仅有两个APP列出的权限都是“核心”权限,却有5款APP列出的所有权限均“越界”。其中还有23个APP的“越界”权限占比超过50%。

而作为用户,想要具体知道一款APP获取了哪些权限十分困难。比如,王者荣耀视频网在简介中称,只会读取用户6项权限,但安装时弹出的提示中则列出了20项权限。经技术检测,在安装包中,它又至少向安卓系统申请了21项权限的许可。

这意味着,一个APP代码中写入的隐私获取命令与申请读取的权限不同,申请读取的权限与通知用户的不同,通知用户的与简介中的也不相同。

此外,报告还统计了近三年工信部公布的466款不良APP发现,超过八成以上的APP存在强制捆绑推广其他应用软件的问题,恶意“吸费”和违规收集用户信息合计占比16%,还有不良APP甚至恶意操控用户手机的情况。

这些不良APP涉及93个应用商店。百度手机助手、应用酷、安卓网、苏宁易购应用商店被检测发现的不良APP较多,在20款以上。由此可以说明,即便是大型的应用商店,也可能存在审核不严的问题,从而让问题APP上架。值得一提的是,报告发现要制作这样一个恶意APP并非难事,所需要花费的成本更是低廉。

当天,主办方还发起了APP不再读取短信内容的倡议。据悉,甚少有APP的服务功能必须通过读取用户短信实现,而用户的这个授权,却可以让应用开发方知道你短信里写有的银行卡余额,知道你的消费习惯。这则倡议获得了线上线下接近2000人支持,其中包括业界的核心专家数十人。

保护隐私首先要改变“平台免责”态度

2017年,在中国网络空间治理和个人信息保护发展史上都是值得纪念的一年。5月,“两高”发布办理侵犯公民个人信息刑事案件司法解释。6月,网络安全法正式实施。7月,四部委启动个人信息保护专项行动……这些今年隐私领域的热点事件在会上被一一盘点。

除了分析个人信息保护发展的现状问题,《报告》还指出了2018年可能出现的新形势与新问题。

首先是物联网发展对公众隐私的潜在威胁。据统计,2018年全球物联网市场规模有望超过千亿美元。如此庞大的市场规模,意味着智能终端将从电脑与手机转变为各种嵌入计算机系统的传感设备,人们的衣食住行,甚至是家庭、卧室等传统意义上最为私密的生活场所也会被覆盖。

《报告》认为,中国的互联网行业正在以领导者的姿态逐渐走向世界舞台中央,这意味着中国物联网也将先行体验这一新兴行业的风险。然而,随着物联网的迅猛发展,越发多样的个人信息将被收集,这可能会使公众对于个人隐私的保护更为敏感。如果个人信息得到很好保护,那么在物联网尚未普及的情况下,公众就有可能对物联网企业形成一种不可逆的不信任。

与此同时,《报告》特别指出,互联网巨头生态圈建设带来用户数据共享安全问题,也非常值得关注。随着互联网巨头不断并购和布局上下游周边业务,势必涉及到与第三方或者关联公司进行数据共享。而这个过程中,企业是否征得用户同意?用户是否充分知情?数据是否去标识化?目前网安法在这些方面仅仅作出了原则性规定,企业尚未明确细化的做法。2018年,新出台的网安法配套法规或将对敏感个人信息及有关的收集与使用行为作出明确规定,数据的去标识化相关标准也可能出台。届时,企业需直面合规风险,及时作出调整。

《报告》提醒,随着大众隐私保护意识的逐渐觉醒,“技术中立,平台无责”的说法对于用户将不再有说服力。企业不应该把用户的隐私保护意识视作数据收集的障碍,而应重新审视安全防御机制的设计,以人的需求与数据流向为核心构建新的安全机制。

特别要指出的是,在互联网的创业大潮中,一些新兴企业迅速崛起又迅速衰亡。大量用户数据就此成为企业“遗产”。这些用户数据该如何处理,目前行业还没有达成共识,政府的监管也仍然处于模糊地带。

但是,这些已无人看守和维护的数据就像埋藏在互联网中的定时炸弹,随时有被恶意滥用的可能,留下了极大的安全隐患。因此,除了数据共享安全,数据的留存、清理问题,也亟待政府和企业共同解决。

专家

个人信息安全规范

有望明年初发布

12月28日,由南方都市报社和中国人民大学未来法治研究院等联合主办的“2017年个人信息安全大会”在北京举行。

在当日下午的论坛上,中国电子技术标准化研究院信息安全研究中心审查部技术总监何延哲表示,近期部分省市区的政府部门和高校把信息公开变成“隐私公开”,有的APP尚未有隐私政策,这些都是隐私保护意识不足造成的。

如何更好地解决个人信息安全的问题?何延哲认为可以从法律、技术和管理层面着手。在法律相关细则不清晰的情况下,技术可以发挥作用,为数据保护提供支撑。但技术并非万能,所以也需要国家监管,行业联盟和社会监督。

在何延哲看来,技术标准是法律的缓冲地带,可以更灵活地解决实践层面的问题。他透露,2018年年初,由中国电子技术标准化研究院制定的个人信息安全规范报批稿即将发布。这份技术标准的制定,有来自政府部门的指导,企业和专家学者的多方参与,在个人信息保护方面具有较大的参考价值和可操作性。

与此同时,何延哲表示,对个人信息保护意识的培养也值得关注。比如很多用户根本不关心企业的隐私条款是否合理,也基本不会查看,而且不少人存在企业的隐私政策就是“霸王条款”的误解,殊不知这是企业在收集用户信息时对用户作出的一种承诺。

技术界看个人信息保护:

用户隐私意识不足

为企业消极应对提供空间

网络流通中的个人信息能否应当事人的合理要求删除或更改?这对网络个人信息保护而言意义重大,或可成为个人隐私信息被泄露后的重要救济方式。而当前,用户删除个人隐私信息的要求并不容易实现。

在南方都市报社、中国人民大学未来法治研究院等共同主办的2017个人信息安全大会上,北京师范大学法学院教授刘德良表示,用户信息是企业资源,是用户享受免费网络服务的对等条件,“它的价值不是个人的,(使用)也不需要你同意”。同时,刘德良也表示,删除网络用户信息是个技术难关,无法被彻底删除,仍可通过技术恢复,“不具有可操作性”。

对此,全知科技CEO方兴表示,个人信息是否能被删除应该由“技术界来定义”。他表示,“遗忘权和更正(在技术上)是一个东西”,意即如果企业能更正用户信息,那么就能删除信息。即使不能实现预期,技术也可以“用转化的手段”解决问题,“A问题不行,可不可以转成B问题,可以解决70%到80%”。

方兴认为,个人信息数据是企业的核心资产,在强调企业权利的同时,也应切实担负起保护用户隐私安全的责任。如果企业行为可能给用户造成危害,“这时候企业有责任和义务”保护用户数据,但也要“法律先行”。“确实需要法律的推动力”,方兴表示,“早前的法律没有规定,可能技术界不会研究这个问题,当有这样的法律提供出来的时候,并不是技术不能解决问题”。

据悉,目前相关法律规定的缺席和用户个人隐私保护意识不足或为一些企业消极保护用户信息提供了空间。方兴指出,当数据可以当作生产资料使用,数据流动带来的风险是不可避免的,重要的是对整个数据安全提供风险控制体系,感知并及时应对数据泄露的潜在风险。

地址:深圳市福田区梅华路105号多丽科技楼11层1105A房  本协会主管单位:中国互联网协会 深圳市科技工贸和信息化委员会

深圳市互联网技术应用协会 版权所有 技术支持:九曲网  电话:0755-83352158  QQ:2078864445 邮箱:2078864445@qq.com