2月2日,中国互联网空安全协会和国家计算机网络应急技术处理协调中心联合发布《网络购物app个人信息收集测试报告》,对排名前10位的网络购物app进行个人信息收集测试。
图片来自中国网空际安全协会官网。
报告显示,Suning.cn App(9 . 5 . 62)在后台静默时,调用位置权限的次数高达1199次。在上传个人信息方面,拼多多App(6.20.0)在启动、搜索、后台静默三种场景下上传的个人信息类型最多,包括唯一识别码、位置信息、剪贴板信息、应用列表信息等等。
南都记者梳理发现,此前监管部门在举报App非法收集和使用个人信息行为时,只披露了大致的类型,但此次的举报更加具体。有专家表示,报告是一种更灵活的通报方式,其意义更多的是“罗列数据,摆事实”,并不能完全反映App的个人信息保护水平。但是,企业也会非常重视报告的结果。
当背景无声时,Suning.cn数千次调用位置许可。
2月2日,中国互联网空安全协会和国家计算机网络应急技术处理协调中心联合发布了《关于“网购”App个人信息收集的检测报告》(以下简称报告)。
报告选取淘宝、JD.COM、拼多多等10款累计下载量最高的“网购”app作为测试对象,以完成一次网购活动为测试单元,包括启动app、搜索商品、下单购物三个用户使用场景,以及后台静默应用场景。测试内容包括系统权限调用、个人信息上传和网络上传流量三项。
测试结果显示,在系统权限调用方面,10款app在四种场景下使用了位置、设备信息、剪贴板、应用列表四类系统权限。具体来说,在启动App的场景下,拼多多App调用系统的权限种类最多,包括位置、设备信息、剪贴板、应用列表。Suning.cn App是在启动App、搜索商品、下单购物等场景中调用系统权限次数最多的App。在后台无声场景下,Suning.cn App调用定位权限1199次。
图片来自中国网空际安全协会官网。
2021年推荐性国家标准《信息安全技术移动互联网应用(App)个人信息安全评估规范》(征求意见稿)提出,在地图导航、位置跟踪等实时定位场景下,采集地理位置的合理频率为连续读取(每秒一次);在诸如显示周围可用服务的场景中,应该定期(每30秒一次)读取它;如果认出现在的地址和其他场景,应该只看一遍。
杜南发布的《个人信息安全年度报告(2022)》对150个app自动收集个人信息的频率进行了测算,重点是Android ID、剪贴板、精确地理位置等9项个人信息的读取。结果显示,116项的个人信息自动采集频率超过实现其业务功能所必需的最低频率,占比近八成。
在杜南测量:收集个人信息的应用程序的数量分布
具体来看,有106款App读取Android ID的次数超过了一定时限内实现业务功能所必需的最低频率,有74款App读取MAC地址的次数超过频率,如“乐视视频”App(10.5.3),平均每分钟读取约38次。还有65个应用经常读取设备IP。
针对部分app被测试调用系统权限上千次的情况,北京汉华天妃新安科技有限公司总经理彭根推测,可能是因为代码在某个模块形成了循环,或者是第三方代码的使用不规范。“本来只需要收集一次,但是那个模块收集了很多次,形成了一个循环。”
不同app对个人信息的收集差异较大。
在个人信息上传方面,10款app上传了六类个人信息,包括位置、唯一设备识别码、剪贴板内容、应用列表、购物和登录信息。在购物订单场景中,淘宝、JD.COM和Suning.cn App上传的个人信息最多,他们在完成一个购物订单的过程中上传了四类个人信息。
值得注意的是,在后台无声场景下,不同app上传的个人信息类型差异较大。比如拼多多App上传三类唯一设备识别码、剪贴板内容、应用列表信息,而手机天猫App只上传位置信息。
图片来自中国网空际安全协会官网。
根据测试结果,不同app的个人信息收集可能会有较大差异。为什么这种情况会发生在同类型同头像的app上?
中国网络安全审查技术与认证中心高级工程师樊华认为,这与App的规模、涉及的业务范围、风控维度有关。比如淘宝是最早进入大众视野的购物App,但现在的业务范围不仅包括购物,还提供旅游民宿、二手交易等生活服务;唯品会等购物app暂时没有开发这些功能。如果两者在个人信息收集上有差异,是很正常的。
彭根也有类似的观点。他指出,不同的app调用什么系统权限,上传什么个人信息,可能会受到多方面的影响,这并不奇怪。比如大部分测试的头部app都是多个开发团队联合开发的,但是不同团队开发的模块是低耦合的情况,可能会引入第三方模块。“他们可能都是在某个使用场景下或者静默状态下收集和发送个人信息,app不太可能会有意识地频繁收集或传输个人信息。”
测评还包括10款app的网络上传流量。结果显示,在完成一次网购活动时,平均上传数据流量最多的Suning.cn App比最少的荣耀亲选App高出近5倍。在App后台静默12小时的情况下,平均上传数据流量最多的是手机天猫,约92KB,最少的是唯品会,约1.4KB。
后台静默12小时平均上传数据流程图来自官网,中国网络安全协会空。
在线上传流量的多少意味着什么?樊华表示,由于大部分app都是以加密的方式传输数据,测试人员很难分析传输的具体内容,所以只能通过测试和统计静默状态等特殊场景下上传的数据流,来分析app从用户终端获取的数据量,进而从侧面反映其个人信息收集情况。
以报告形式通知,提高企业接受度
事实上,监管部门几年来一直在举报不合规的app,这种手段一直是整治app和监管互联网公司的有效方式。根据杜南去年发布的《个人信息安全年度报告(2022)》,去年共有635款非法app(包括SDK)因个人信息相关问题被工信部、国家网信办和公安部通报。
杜南记者注意到,监管部门通报时,在披露App存在的问题时,通常会使用较为笼统的语言,如“违规收集个人信息”、“超范围收集个人信息”等。这份“报告”提供了关于应用程序行为的详细数据,从而可以报告具体的违规行为。结合报告发布者的官方背景,是否意味着监管模式发生了变化?
樊华直言,报告更倾向于技术分析,不同于监管部门的正式通报,不涉及App是否违规的认定。“随着测试的深入,我们发现,由于实现部分App功能的技术方法和开发方案不同,无法按照一个固定的标准来判断个人信息收集行为,仅凭一个技术测试结果很难判断App是否违法。”
她表示,报告的意义更多的是“罗列数据,摆事实”,并不能完全反映App的个人信息保护水平。其积极意义在于提高用户的透明度,同时促使企业与同行业进行对比、反思和整改。“虽然这种举报的形式与之前的通报相比强制力有限,但对于企业来说是一种更灵活的通报方式。由于这些头部互联网公司近年来非常重视个人信息保护和数据安全,企业也会非常重视报告的结果。”
彭根指出,如果公布了问题的细节,大家就会知道App的软肋,所以在公开通报的时候不能透露太多的细节。此外,虽然通报中只披露了粗略的违规行为,但在通报每个App开发者时都会有具体的细节,从而督促其实现整改。
南都记者范文洋采写
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。