◆导报记者 刘勇 济南报道
122个手机应用软件(APP)中,有22个要求的权限超过20个,最多一个要求的权限达27项。这27项权限中,包括读取、修改联系人、监听电话……这是经济导报记者的亲身遭遇,个人隐私就这样被悄悄“拿”走了。 随着移动互联网的快速发展,各种APP呈爆发式增长。手机APP在给人们带来便利的同时,也带来了许多困扰。部分手机APP过度收集、违规使用个人信息,导致大量个人隐私信息泄露或被窃取,甚至引发各种信息诈骗等刑事案件,给人们的生命财产安全带来严重风险隐患。以手机百度APP为例,用户在使用时,需要授权许多涉及到个人信息的项目,包括读取短信、读取联系人、读写手机存储、定位等敏感权限,其中多项超出合理范围。 接受经济导报记者采访的业内人士指出,除了个人使用时要格外注意,相关企业也要加大保护力度,监管部门更要加大监管力度,让每个人的隐私不再“裸奔”。
APP“绑架”用户
“别小看你的手机,你在不得不同意的前提下,将自己的隐私免费提供给了APP供应商。”济南华星信息安全技术有限公司总经理刘华星,在接受经济导报记者采访时说道。 刘华星将经济导报记者的手机拿过去,简单操作后说,经济导报记者的手机中共有122个应用,其中22个APP要求的权限超过20个;12个APP要求的权限在10个以内,其余88个APP要求的权限在10-19个之间。在122个应用中,米家要的权限最多,达到27项;QQ要求26项权限;招商银行和建设银行需要25个权限。 而从权限管理上看,122个应用全部要求后台弹出界面、锁屏显示和读取应用列表;120个APP要求读写手机存储;119个要求获取手机信息;还有103个APP要求定位。 此外,65个APP要求读取联系人;61个应用直接拨打电话;15个应用监听电话、读取通话记录和修改联系人。121个应用可以直接发送彩信;44个应用读取短信;38个应用读取彩信;26个应用发送短信,甚至还有8个应用要求修改短信和彩信。 刘华星告诉经济导报记者,很多APP在注册或者第一次启动时,总是会让人们同意各种隐私条款和政策。绝大部分人,并不会真正地去细细查看这些隐私条款。“这些用户须知或声明没有实用价值,篇幅很长,一般人没有时间和耐心看;另外它还会使用一些专业术语,让你看不懂。” 刘华星以某款APP为例,该APP要收集的个人信息包括账号名称、昵称、密码、密码保护问题、电子邮件地址、淘宝账号、支付宝账号、微信、QQ、车辆品牌、车牌号码、车辆识别代码、发动机号、机动车驾驶证、住宿信息、行程信息、支付信息等一大堆。“更关键的是,该APP的研发者还会将这些信息提供给第三方,并允许间接向第三方提供相关信息。” “没有人愿意用隐私来换取便利,这些隐私信息确实都是我们在下载安装APP时同意授权的,但并不都是心甘情愿的,因为你不选‘同意’就无法使用,在这个时代很难想象一个人在生活中完全不使用手机APP。”刘华星说。 北京消协最新的报告显示,近9成用户认为APP过度采集个人信息。监测数据认为,手机APP软件过度采集个人信息已经成为网络诈骗的主要源头之一。
隐私保护需要细化
在刘华星看来,造成用户信息泄露原因众多,APP只是其中的一个入口,还涉及到信息数据的管理、网站本身的原因,或者黑客攻击等。现在看来,大部分的手机应用并未遵循“最少够用”的原则。 以手机百度APP为例,用户在使用时,需要授权许多涉及到个人信息的项目。在手机后台权限系统中,经济导报记者发现,百度APP要求19项权限,其中就包括发送彩信、读取短信和彩信、读取联系人、读写手机存储、定位以及相机和录音等敏感权限。 “作为搜索及浏览器类APP,上述权限并非提供正常服务所必需,已超出合理的范围。”刘华星说。 而百度旗下的另外一款APP百度地图则要求的权限更多,达到23项,除了定位、获取手机信息、访问手机账户外,还要读取和发送彩信短信、直接拨打电话,读取联系人、监听电话等权限。 “目前几乎所有的APP都会要求读取通讯录及短信等个人信息。有些用户在持续提醒下不胜其烦,于是为图省事就干脆点同意获取。而这将极大增加个人信息泄露的概率。”刘华星表示。 去年6月1日起,《中华人民共和国网络安全法》正式开始实施。国家公务人员或者某些掌握数据的人员泄露用户数据,已经可以通过法律制裁,但个人隐私保护的相关法律仍不够完善。相关的草案(《中华人民共和国个人信息保护法(草案)》)已经公布了,但是目前也没有确定下来,而要靠行业规范,难度不小。 “各个厂商、各个APP开发者对APP申请权限都有自己的理由。你很难让各家公司或相应的开发者达成共识。现有的这种情况下,可能还是需要依靠操作系统本身的改进来解决这个问题。”刘华星表示。 “未来还应出台专门的个人信息保护法以及相应的行业标准,对个人信息保护的规定加以细化。”北京邮电大学互联网治理与法律研究中心常务副主任谢永江对经济导报记者表示。 在他看来,我国法律对于究竟什么样的“同意”是合法、合规的,并没有明确规定,“如果这种隐私授权是不合法的,就不能构成‘同意’。在这种情况下,企业收集用户个人信息并提供给第三方就是违法的。”谢永江表示,“未来应出台专门的个人信息保护法以及相应的行业标准,对个人信息保护的规定加以细化。” 中国传媒大学文法学部副部长王四新认为,很多互联网公司的数据管理员,在数据安全意识尤其是保护个体数据安全意识上,边界意识较差。什么数据可以用,什么数据可以搜集,对个人数据使用到什么程度,泄露出去后怎么处罚等,都没有相应的认知和具体的规范要求。未来,需要加强执法力度。
|