百度手机助手等应用商店被检测出的大量不良应用
无人机、儿童智能玩具、扫地机器人……这些时下流行的新设备,都可能成为监视你的「间谍」。
12 月 28 日,由南方都市报社和中国人民大学未来法治研究院等联合主办的「2017 年个人信息安全大会」在北京举行。会上,近百名来自政府部门、科研机构和知名企业代表,共同探讨个人信息保护的相关话题。
当天,南都个人信息保护研究中心还发布了《2017 个人信息保护年度报告》。报告包括 1550 家网站和 app 的隐私政策测评结果、南都在系列隐私调查中发现的问题、年度热点隐私事件盘点,以及 2018 年可能出现的新问题预测。据悉,这是国内首份由媒体发布的个人信息保护报告。
南方都市报编委虞伟表示,「从 2016 年开始,南都通过多篇调查报道,逐渐深入了个人信息安全领域的话题,我们正在尝试以新闻报道与第三方评测监督的方式促进业界对个人信息安全形成共识。」
平台「任何事概不负责」条款遭诟病
从今年 3 月开始,南都个人信息保护研究中心就持续关注互联网产品的隐私政策透明度问题,至今已经完成了十多个行业共 1550 个网站和 APP 的隐私政策测评。当天发布的《2017 个人信息保护年度报告》显示,在历次测评中,平台隐私政策透明度的分布都是陡峭的金字塔型,即透明度高的极少,透明度低则占到绝大多数,超过总数的 80%,互联网金融类和购物类的占比甚至高于 90%。
值得注意的是,透明度高的 10 个平台中,大部分都是大型互联网企业旗下产品,并且也是 2017 年 7 月,中央网信办等四部委组织隐私政策评审的首批参评对象。在评审期间,这些企业均修改了自身的隐私政策,因此才达到评分高的层级。
不过,纵观 1550 个平台,其知名度和隐私政策透明度并不一定成正比。报告指出,在招聘类平台测评中,知名平台如智联招聘、猎聘网、赶集网的隐私政策透明度就排在倒数;购物类平台里更有多个成立多年、口碑尚可的知名平台分数垫底,典型如当当网、乐蜂网、聚美优品、小红书、洋码头。反而有些相对较小的平台对隐私政策更为重视,比如美骑论坛就在旅游类平台测评中跻身透明度高的层级。
据悉,南都个人信息保护研究中心还对这 1500 多家平台中的隐私政策进行了回顾测评。结果发现,包括麦包包、美囤妈妈、马上游、爱飞网等 17 家互联网平台,在被南都首次测评曝光后,仍然没有任何保护个人信息相关的隐私政策。
据了解,报告发现有些重要条款是平台所普遍缺失的,这些条款无一例外的削减了企业责任,侵害了用户利益。比如用户对平台提供的附加功能应有选择权,即使用户拒绝也不能影响核心功能使用;若平台将用户信息用于此前声明以外的新的目的,必须获得用户的再次同意,例如使用「弹窗」提醒用户。
报告发布者介绍,参评平台的隐私政策普遍存在用户权利条款缺失、文本雷同、更新缓慢、暗藏格式条款等弊病,甚至一款名为「果库」的互联网平台直言「基本上,任何事情都可能发生,我们是不会负责的」,令人啼笑皆非。
对此,报告提出三点建议,相关部委或监管机构、以及第三方社会组织对更多行业的更多网络产品和服务进行测评,督促企业加强行业自律;出台隐私政策相关标准和规范,对企业制定隐私政策时的随意性进行限制。应用商店可以要求在 APP 上架的同时提供隐私政策,供用户了解;拓展测评范围至实际操作层面,监测企业是否落实了隐私政策文本中对用户的承诺。
近 2000 人支持 APP 不再读取短信
《2017 个人信息保护年度报告》还提出,互联网时代,个人信息随时可能被泄露,包括现在最时兴的无人机、儿童智能玩具、扫地机器人等,都可能成为监视你的「间谍」。甚至是一款你从未使用过的 APP 也能掌握你的信息,给你发来指名道姓的短信,称有好友标记了你的生日、赞你有两把刷子、给你发送了一段视频、还有人暗恋你。
当前,APP 过度获取用户信息的现象严重。一款手机壁纸能读取你的通讯录,一个浏览器应用可能随时给你录音。报告提及,选取了 6 款安卓应用市场,以「王者荣耀」关键词排名前后的顺序,选取了 50 款王者荣耀周边应用作为研究样本。
结果发现,50 个 APP 覆盖了 28 个隐私相关权限。仅有 2 个 APP 列出的权限都是「核心」权限,却有 5 款 APP 所列出的所有权限均「越界」。其中还有 23 个 APP 的「越界」权限占比超过 50%。
而作为用户,想要具体知道一款 APP 获取了哪些权限,十分困难。比如,一个名为王者荣耀视频网在简介中称,只会读取用户 6 项权限,但安装时弹出的提示中则列出了 20 项权限。经技术检测,在安装包中,它又至少向安卓系统申请了 21 项权限的许可。
这意味着,一个 APP 代码中写入的隐私获取命令与申请读取的权限不同,申请读取的权限与通知用户的不同,通知用户的与简介中的也不相同。
此外,报告还统计了近三年工信部公布的 466 款不良 APP 发现,超过八成以上的 APP 存在强制捆绑推广其他应用软件的问题,恶意「吸费」和违规收集用户信息也合计占比 16%,还有不良 APP 甚至恶意操控用户手机的情况。
这些不良 APP 涉及 93 个应用商店。百度手机助手、应用酷、安卓网、苏宁易购应用商店被检测发现的不良 APP 较多,在 20 款及以上。由此可以说明,即便是大型的应用商店,也可能存在审核不严的问题,从而让问题 app 上架。值得一提的是,报告发现要制作这样一个恶意 APP 并非难事,所需要花费的成本更是低廉。
当天,主办方还发起了不再读取短信内容的倡议。据悉,甚少有 APP 的服务功能必须通过读取用户短信实现,而用户的这个授权,却可以让应用开发方知道你短信里写有的银行卡余额,知道你的消费习惯。这则倡议获得了线上线下接近 2000 人支持,其中包括业界的核心专家数十人。
保护隐私首先要改变「平台免责 技术中立」的态度
2017 年,在中国网络空间治理和个人信息保护发展史上都是值得纪念的一年。5 月,两高发布办理侵犯公民个人信息刑事案件司法解释。6 月,网络安全法正式实施。7 月,四部委启动个人信息保护专项行动……这些今年隐私领域的热点事件在会上被一一盘点。
除了分析个人信息保护发展的现状问题,《报告》还指出了 2018 年可能出现的新形势与新问题。
首先是物联网发展对公众隐私的潜在威胁。据统计,2018 年全球物联网市场规模有望超过千亿美元。如此庞大的市场规模,意味着智能终端将从电脑与手机转变为各种嵌入计算机系统的传感设备。从人们的衣食住行,甚至是家庭、卧室等传统意义上最为私密的生活场所也会被覆盖。
《报告》认为,中国的互联网行业正在以领导者的姿态逐渐走向世界舞台中央,这意味着中国物联网也将先行体验这一新兴行业的风险。然而,随着物联网的迅猛发展,越发多样的个人信息将被收集,这可能会使公众对于个人隐私的保护更为敏感。如果个人信息得到很好保护,那么在物联网尚未普及的情况下,公众就有可能对物联网企业形成一种不可逆的不信任关系。
与此同时,《报告》特别指出,互联网巨头生态圈建设带来用户数据共享安全问题,也非常值得关注。随着互联网巨头不断并购和布局上下游周边业务,势必涉及到与第三方或者关联公司进行数据共享。而过程中,企业是否征得用户同意?用户是否充分知情?数据是否去标识化?
目前网安法在这些方面仅仅作出了原则性规定,企业尚未明确细化的做法。2018 年,新出台的网安法配套法规或将对敏感个人信息及有关的收集与使用行为作出明确规定,数据的去标识化相关标准也可能出台。届时,企业需直面合规风险,及时作出调整。
《报告》提醒,随着大众隐私保护意识的逐渐觉醒,「技术中立,平台无责」的说法对于用户将不再有说服力。企业不应该把用户的隐私保护意识视作数据收集的障碍,而应重新审视安全防御机制的设计,以人的需求与数据流向为核心构建新的安全机制。
特别要指出的是,在互联网的创业大潮中,一些新兴企业迅速崛起又迅速衰亡。大量用户数据就此成为企业「遗产」。这些用户数据该如何处理,目前行业还没有达成共识,政府的监管也仍然处于模糊地带。
但是,这些已无人看守和维护的数据就像埋藏在互联网中的定时炸弹,随时有被恶意滥用的可能,留下了极大的安全隐患。因此,除了数据共享安全,数据的留存、清理问题,也亟待政府和企业共同解决。
采写:南都记者 娜迪娅 李玲 蒋琳 冯群星 实习生:尤一炜
图片来源:南方都市报
头图来源:视觉中国