南都报告:八成应用超频率采集信息,安卓ID被读取最多

发布一下 0 0

12月22日,“2022啄木鸟数据治理论坛”在京召开。论坛由南都个人信息保护研究中心联合清华大学人工智能国际治理研究院、人工智能治理研究中心(清华大学)举办。会上,南都个人信息保护课题组发布了《个人信息安全年度报告(2022)》(以下简称“报告”)。

相比往年,今年的报告拓展了测评维度,从隐私政策、权限获取、SDK收集使用个人信息和个人信息的复制转移、个性化展示等六个方面对150款App进行测评。另外,还对四个应用商店的App上架审核情况进行了测评。

报告显示,八成App的隐私政策透明度得分超过及格线,尾部App虽然有了显著提升,但依然与头部App存在较大差距。另外,三成App在用户首次使用时收集了必要权限以外的其他非必要权限,涉及的权限包括存储、电话、相册、定位、应用列表等。

超八成App隐私政策透明度得分及格

南都个人信息保护研究中心对今年工信部、国家网信办、公安部通报违法违规App(包含SDK)的相关情况进行了梳理,发现今年共有635款因个人信息相关问题被通报。

在今年工信部的通报中,App强制、频繁、过度索取权限的情况最严重,共出现了152次,占比约46.2%。另外,“强制用户使用定向推送功能”问题也比较严重,被工信部通报了58次。在国家网信办通报下架的App中,“强制索要非必要权限”和“隐私政策无法访问”问题较为突出。而在今年公安部的通报中,存在“未向用户明示申请的全部隐私权限”问题的App最多,占比超过九成。

从上述通报可以看出,隐私政策、权限获取、定向推送等问题均为官方通报的重点。从2017年起,南都个人信息保护研究中心连续六年发布个人信息安全年度报告,对App的隐私政策、权限合规等方面进行测评。隐私政策的透明度越高,则代表隐私政策中关于企业如何收集、使用、存储和保护个人信息的描述越清晰和全面。

报告结果显示,在此次被测的150款App中,132款App的隐私政策透明度得分超过了及格线,占到总数的88%。其中,“云闪付”App得分最高,为91分;“自如”和“360借条”两款App紧随其后,分别为90分和89分。

南都报告:八成应用超频率采集信息,安卓ID被读取最多

150款App的得分主要集中在透明度较高和中等区间,均占约四成。仅有18款App的得分在60分及以下,其中隐私政策透明度较低的App有16款,两款App的隐私政策透明度为低。

从头、中、尾部App的平均分来看,头部略领先于中部,尾部则得分较低,头、中、尾部的平均分依次为78分、73.72分以及64.6分。

一直以来,尾部App因为合规成本等问题,在个人信息保护方面的动力不足。近年来在App治理的强监管下,尾部App有了明显的提升,不过整体来看,依然与头部App存在较大差距。

报告建议,监管部门应持续关注尾部App的个人信息保护工作,尾部App也应该继续增强合规意识,从而提升App整体的个人信息保护水平。

不到两成App提及死者个人信息如何处理

报告测评结果显示,所有150款被测App均向用户提供了单独成文的个人信息保护政策,且均为有效链接。136款App即93.67%向用户告知了个人信息的和储存时限。不过,绝大部分App仅仅说明将在达成目的所需期限内保留个人信息,并没有明确写出删除的具体时限。

比如,“多多进宝”App(2.23.0)在隐私政策中写道,“我们只会在达成本政策所述目的所需期限内保留您的个人信息,除非需要延长保留期或应法律法规的允许或要求。”

有App虽承诺了具体保存期限,但时间过长。比如,“苏宁易购”App(9.5.94)在隐私政策中写道,“原则上,我们在中华人民共和国境内收集和产生的个人信息,将存储在中华人民共和国境内。数据存储期间为20年。如果我们更改数据存储时间,会另行提前通知您。”

根据个人信息保护法,自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。

报告显示,绝大多数App未对用户去世后个人信息如何处理作出安排。

在150款受测App中,有124款App均未提及此问题,仅有26款App承诺保障死者近亲属为了自身的合法、正当利益,对死者的相关个人信息行使查阅、复制、更正、删除等权利,并告知用户申请受理和处理机制,占比17.33%。

三成App首次使用时收集了非必要权限

在权限合规方面,报告主要考察了App是否超范围申请/获取权限;是否详细告知申请权限目的以及对应的个人信息;用户明确拒绝某权限后,App是否频繁申请该项权限。

报告显示,共有14款App的总得分在90分及以上,其中“一起考教师”App以100分位居第一,“快手”“唯品会”“大众点评”等13款App以90分位居其后,另有10款App获得了85分。得分为75分的App数量最多,有62款;得分在60分以下的不及格App共27款,其中“金币云商”App得分最低,仅有20分。

南都报告:八成应用超频率采集信息,安卓ID被读取最多

报告显示,在150款被测App中,有42款App在用户首次使用时收集了必要权限以外的其他非必要权限,占比近三成,其中不乏“抖音”“网易云音乐”“支付宝”等头部App,涉及的权限包括存储、电话、相册、定位、应用列表等。

报告认为,虽然用户即使拒绝App获取这些非必要权限也不影响App其他功能的正常使用,但是在用户触发相关功能之前就弹窗,有诱导用户交出非必要个人信息的嫌疑。

例如,用户在初次使用在线影音类App“网易云音乐”(8.8.70)时,“网易云音乐”就向用户弹窗申请获取存储权限。根据《规定》,该类基本功能服务为“影视、音乐搜索和播放”的App,无须个人信息即可使用基本功能服务。

南都报告:八成应用超频率采集信息,安卓ID被读取最多

首次使用时,网易云音乐的权限申请弹窗页面

报告认为,根据最小必要原则,App应该在用户主动触发相关功能以后再弹窗申请对应权限,而非一打开App就申请。

近八成App超频率采集个人信息

App超频率调用权限问题屡受诟病。去年10月,有网友发现多个常用App在用户未主动激活的情况下,于后台频繁读取手机相册,每次读取时间为40秒至1分钟。相关平台回应称,该功能系为方便用户快速发图做准备,仅在手机本地完成。

2019年8月,国家市场监管总局和中国国家标准化管理委员会发布的《信息安全技术移动互联网应用(App)收集个人信息基本规范》(征求意见稿)提出,用户明确拒绝使用某服务类型后,App不得频繁(如每48小时超过一次)征求用户同意使用该类型服务,并保证其他服务类型正常使用。

本次报告也在史宾格安全及隐私合规平台的技术支持下,将超频率调用权限问题纳入测评范围。

报告显示,在150款被测App中,有116款自动采集个人信息频率超出了实现其业务功能所必需的最低频率,占比近八成,仅有34款App符合标准。

报告称,Android ID是本次测评中被超频率读取最多的个人信息,“多多进宝”(2.23.0)、“钉钉”(6.5.50)等106款App在一定时限内读取Android ID超出了实现业务功能所必需的最低频率。

如“乐视视频”App(10.5.3)平均每分钟读取Android ID约15次,“度小满金融”App(8.2.2)则是平均每分钟7.5次——都大大超过了合规标准。

此外,有74款App超频率读取了MAC地址,其中“乐视视频”App(10.5.3)平均每分钟读取约38次,而“嘀嗒出行”App(8.41.0)平均每分钟读取MAC地址约7次,“天眼查”App(12.70.2)平均每分钟读取约6次。

整体较去年提升,但默认获取非必要权限问题加重

去年南都发布的《个人信息安全报告(2021)》也对十大行业150款常用App进行了测评。结果显示,透明度高的App数量为零,56款App透明度较高,67款透明度中等,透明度较低的App为21款,透明度低的为6款。

报告显示,与去年相比,今年的App隐私政策透明度有所提升。在透明度高、较高层面的App数量增加了8款。透明度低的App也仅有两款,透明度中等的App数量相差无几。

两次年度测评选取的App中,有35款重合。在隐私政策透明度得分上,“360借条”和“口袋导游”两款App进步较大,相较去年,分别提升了12分以及35分。值得注意的是,口袋导游去年仅得25分,今年得分为60分,虽然仍处于隐私政策透明度较低的区间,但在告知个人信息使用场景、个人信息权利、数据保护的承诺等方面已经有了不小的进步。

在权限获取合规度方面,今年的测评情况相较去年有了明显改观。整体来说,150款被测App的整体平均分显著上升,达到了69.5,高出2021年11.6分,且远远超过了及格线。

App收集非必要敏感个人信息的问题一直饱受诟病,这一情况在2022年同样有了明显好转。报告显示,仅近一成App申请的敏感权限在App内找不到对应功能,2021年却有超四成找不到。同时,2021年有38%App未逐一在隐私政策中告知申请敏感权限相对应的个人信息,2022年这一数量下降到约9%。

不过,报告显示,有一项问题比2021年时严重许多——默认获取非必要权限。去年,仅有32%App未经用户同意自动获取权限,今年这一数量却上升到了约83%。在获取权限的具体内容方面,两年的情况类似,主要包括读取应用列表和剪切板。

出品:南都个人信息保护课题组

采写:南都记者 孙朝

版权声明:内容来源于互联网和用户投稿 如有侵权请联系删除

本文地址:http://0561fc.cn/195630.html