随着我国互联网移动应用市场的日益发展,互联网与人们生产生活的关系变得日益密切。互联网在为人们生产生活带来巨大便利的同时,也出现了个人信息被超范围收集、超频次索取、不规范使用、被非法交易等问题。为此,相关职能部门持续开展APP侵害用户权益专项整治工作。
近来,东方网信息安全联合实验室收到一些用户对所用APP的投诉和问题反馈,实验室针对这些投诉问题,联合中科院使用相关识别检测技术,采用先进、安全、严谨的信息安全检测方式对用户所反馈的APP进行检测。为了响应社会舆论诉求,我们对用户反馈中上海属地范围的APP进行检测,发现了一些APP产品疑似存在问题,主要以“违反必要原则,收集与其提供的服务无关的个人信息”问题为主。
我们是如何检测的?
东方网信息安全联合实验室,联合中科院相关识别检测技术,推出双边强强联合的《互联网应用安全及隐私合规人工智能检测系统》,依据《网络安全法》、《个人信息保护法》等法律,《APP违规收集使用个人信息行为认定办法》、《APP用户权益保护测评规范》等法规,从用户信息收集、使用规则;应用敏感权限过度申请;用户信息实际收集行为;用户权益保障措施等方面对APP进行检测,以下为检测顺序流程图:
接下来我们将结合近期用户使用上海本地APP的问题反馈、投诉的案例,为大家解读违规问题以及列举案例。
一、权限索取行为:APP强制、频繁、过度索取权限
频繁申请权限: APP在用户明确拒绝通讯录、定位、短信、录音、相机、日历等权限申请后,重新运行时,APP不应向用户频繁弹窗申请开启与当前服务场景无关的权限,影响用户正常使用。
解读:此类行为在APP经常出现的侵害用户行为中属于较为多见的行为。在用户明确拒绝使用该权限后,不应重复申请该权限,该类行为触犯了《APP用户权益保护测评规范》TTAF078.4-2020规定,《中华人民共和国网络安全法》第二十二条、第四十一条;《中华人民共和国个人信息保护法》第七条、第十三条、第十七条。
检测疑似违规案例:达*乐比萨
版本号:3.3.2检测包来源:安智应用市场
首页截图
截图示例
截图所示为拒绝权限后再次App打开时所遇情况,该类型App是允许申请定位信息的,但是根据相关要求,要在用户见到相关权限后才可申请,并且能让用户正常使用。笔者建议,如遇相关问题,可以尝试看拒绝权限后能否进入App,如若拒绝您使用,可以向有关部门投诉举报。(*注:举例例证均为《互联网应用安全及隐私合规人工智能检测系统》自动检测得出,并非单一APP存在问题,也非APP唯一问题)
二、权限索取行为:APP强制、频繁、过度索取权限
过度申请权限:APP首次打开或运行中,未见使用权限对应的相关功能或服务时,不应提前向用户弹窗申请开启通讯录、定位、短信、录音、相机、日历等权限。
解读:此类行为在APP经常出现的侵害用户行为中属于较为多见的行为。在用户没有见到相关功能时,提前索取用户的权限,有些权限是被认为非必要的权限,这违反了“最小数据”原则,该类行为触犯了《APP用户权益保护测评规范》TTAF078.4-2020规定,《中华人民共和国网络安全法》第二十二条、第四十一条;《中华人民共和国个人信息保护法》第七条、第十三条、第十七条。
检测疑似违规案例:光*随心订
版本号:4.1.8检测包来源:小米应用商店
首页截图
截图示例
这里截图所展示的问题是APP在还未见到相关功能时向用户申请的权限,虽然位置信息是该类型必要收集的权限,但是用户未见到该功能的时候收集,违反了相关规定,其设备信息的收集更是不必要的,笔者建议,如遇相关问题,可以尝试看拒绝权限后能否进入App,如若拒绝您使用,可以向有关部门投诉举报。(*注:举例例证均为《互联网应用安全及隐私合规人工智能检测系统》自动检测得出,并非单一APP存在问题,也非APP唯一问题)
东方网安全实验室提示:互联网应用(APP)侵害用户个人信息处于网络诈骗、流氓广告、骚扰电话的上游。你可能觉得侵害用户个人信息离你很远,但仔细比对上面的举例,其实不远,甚至很近。东方网安全实验室接受企业自检和用户反馈。
