不良APP哪最多？ 百度手機助手、應用酷等上榜

昨日,由南方都市報社和中國人民大學未來法治研究院等聯合主辦的“2017年個人信息安全大會”在北京舉行。圖為南都記者李玲在發布報告。

 

百度手機助手、應用酷、安卓網、蘇寧易購應用商店被檢測發現的不良APP較多。由此說明，即便是大型的應用商店，也可能存在審核不嚴的問題，從而讓問題APP上架。

 

無人機、兒童智能玩具、掃地機器人……這些時下流行的新設備，都可能成為監視你的“間諜”。

12月28日，由南方都市報社和中國人民大學未來法治研究院等聯合主辦的“2017年個人信息安全大會”在北京舉行。會上，近百名來自政府部門、科研機構和知名企業的代表，共同探討個人信息保護的相關話題。

當天，南都個人信息保護研究中心還發布了《2017個人信息保護年度報告》（下簡稱《報告》）。《報告》包括1550家網站和APP的隱私政策測評結果、南都在系列隱私調查中發現的問題、年度熱點隱私事件盤點，以及2018年可能出現的問題。據悉，這是國內首份由媒體發布的個人信息保護報告。

南方都市報編委虞偉表示，“從2016年開始，南都通過多篇調查報道，逐漸深入個人信息安全領域的話題。我們正在嘗試以新聞報道與第三方評測監督的方式促進業界對個人信息安全形成共識。”

平臺“任何事概不負責”條款遭詬病

從今年3月開始，南都個人信息保護研究中心就持續關注互聯網產品的隱私政策透明度問題，至今已經完成了十多個行業共1550個網站和APP的隱私政策測評。當天發布的《2017個人信息保護年度報告》顯示，在歷次測評中，平臺隱私政策透明度的分布都是陡峭的金字塔型，即透明度高的極少，透明度低則占到絕大多數，超過總數的80%，互聯網金融類和購物類的占比甚至高于90%。

值得注意的是，透明度高的10個平臺中，大部分都是大型互聯網企業旗下產品，并且也是2017年7月中央網信辦等四部委組織隱私政策評審的首批參評對象。在評審期間，這些企業均修改了自身的隱私政策，因此才達到評分高的層級。

不過，綜觀1550個平臺，其知名度和隱私政策透明度并不一定成正比。報告指出，在招聘類平臺測評中，知名平臺如智聯招聘、獵聘網、趕集網的隱私政策透明度就排在倒數；購物類平臺里更有多個成立多年、口碑尚可的知名平臺分數墊底，典型如當當網、樂蜂網、聚美優品、小紅書、洋碼頭。反而有些相對較小的平臺對隱私政策更為重視，比如美騎論壇就在旅游類平臺測評中躋身透明度高的層級。

南都個人信息保護研究中心還對這1500多家平臺中的隱私政策進行了回顧測評。結果發現，包括麥包包、美囤媽媽、馬上游、愛飛網等17家互聯網平臺，在被南都首次測評曝光后，仍然沒有任何保護個人信息相關的隱私政策。

據了解，報告發現有些重要條款是平臺所普遍缺失的，這些條款無一例外的削減了企業責任，侵害了用戶利益。比如用戶對平臺提供的附加功能應有選擇權，即使用戶拒絕也不能影響核心功能使用；若平臺將用戶信息用于此前聲明以外的新的目的，必須獲得用戶的再次同意，例如使用“彈窗”提醒用戶。

報告發布者介紹，參評平臺的隱私政策普遍存在用戶權利條款缺失、文本雷同、更新緩慢、暗藏格式條款等弊病，甚至一款名為“果庫”的互聯網平臺直言“基本上任何事情都可能發生，我們是不會負責的”，令人啼笑皆非。

對此，報告提出三點建議，相關部委或監管機構、以及第三方社會組織對更多行業的更多網絡產品和服務進行測評，督促企業加強行業自律；出臺隱私政策相關標準和規范，對企業制定隱私政策時的隨意性進行限制。應用商店可以要求在A?PP上架的同時提供隱私政策，供用戶了解；拓展測評范圍至實際操作層面，監測企業是否落實了隱私政策文本中對用戶的承諾。

近2000人支持APP不再讀取短信

《2017個人信息保護年度報告》還提出，互聯網時代，個人信息隨時可能被泄露，包括現在最時興的無人機、兒童智能玩具、掃地機器人等，都可能成為監視你的“間諜”。甚至是一款你從未使用過的A?PP也能掌握你的信息，給你發來指名道姓的短信，稱有好友標記了你的生日，贊你有兩把刷子，給你發送一段視頻，還稱有人暗戀你。

當前，APP過度獲取用戶信息的現象嚴重。一款手機壁紙能讀取你的通訊錄，一個瀏覽器應用可能隨時給你錄音。報告提及，選取了6款安卓應用市場，以“王者榮耀”關鍵詞排名前后的順序，選取了50款王者榮耀周邊應用作為研究樣本。結果發現，50個APP覆蓋了28個隱私相關權限。僅有兩個APP列出的權限都是“核心”權限，卻有5款APP列出的所有權限均“越界”。其中還有23個APP的“越界”權限占比超過50%。

而作為用戶，想要具體知道一款APP獲取了哪些權限十分困難。比如，王者榮耀視頻網在簡介中稱，只會讀取用戶6項權限，但安裝時彈出的提示中則列出了20項權限。經技術檢測，在安裝包中，它又至少向安卓系統申請了21項權限的許可。

這意味著，一個APP代碼中寫入的隱私獲取命令與申請讀取的權限不同，申請讀取的權限與通知用戶的不同，通知用戶的與簡介中的也不相同。

此外，報告還統計了近三年工信部公布的466款不良APP發現，超過八成以上的APP存在強制捆綁推廣其他應用軟件的問題，惡意“吸費”和違規收集用戶信息合計占比16%，還有不良APP甚至惡意操控用戶手機的情況。

這些不良APP涉及93個應用商店。百度手機助手、應用酷、安卓網、蘇寧易購應用商店被檢測發現的不良APP較多，在20款以上。由此可以說明，即便是大型的應用商店，也可能存在審核不嚴的問題，從而讓問題APP上架。值得一提的是，報告發現要制作這樣一個惡意APP并非難事，所需要花費的成本更是低廉。

當天，主辦方還發起了APP不再讀取短信內容的倡議。據悉，甚少有APP的服務功能必須通過讀取用戶短信實現，而用戶的這個授權，卻可以讓應用開發方知道你短信里寫有的銀行卡余額，知道你的消費習慣。這則倡議獲得了線上線下接近2000人支持，其中包括業界的核心專家數十人。

保護隱私首先要改變“平臺免責”態度

2017年，在中國網絡空間治理和個人信息保護發展史上都是值得紀念的一年。5月，“兩高”發布辦理侵犯公民個人信息刑事案件司法解釋。6月，網絡安全法正式實施。7月，四部委啟動個人信息保護專項行動……這些今年隱私領域的熱點事件在會上被一一盤點。

除了分析個人信息保護發展的現狀問題，《報告》還指出了2018年可能出現的新形勢與新問題。

首先是物聯網發展對公眾隱私的潛在威脅。據統計，2018年全球物聯網市場規模有望超過千億美元。如此龐大的市場規模，意味著智能終端將從電腦與手機轉變為各種嵌入計算機系統的傳感設備，人們的衣食住行，甚至是家庭、臥室等傳統意義上最為私密的生活場所也會被覆蓋。

《報告》認為，中國的互聯網行業正在以領導者的姿態逐漸走向世界舞臺中央，這意味著中國物聯網也將先行體驗這一新興行業的風險。然而，隨著物聯網的迅猛發展，越發多樣的個人信息將被收集，這可能會使公眾對于個人隱私的保護更為敏感。如果個人信息得到很好保護，那么在物聯網尚未普及的情況下，公眾就有可能對物聯網企業形成一種不可逆的不信任。

與此同時，《報告》特別指出，互聯網巨頭生態圈建設帶來用戶數據共享安全問題，也非常值得關注。隨著互聯網巨頭不斷并購和布局上下游周邊業務，勢必涉及到與第三方或者關聯公司進行數據共享。而這個過程中，企業是否征得用戶同意？用戶是否充分知情？數據是否去標識化？目前網安法在這些方面僅僅作出了原則性規定，企業尚未明確細化的做法。2018年，新出臺的網安法配套法規或將對敏感個人信息及有關的收集與使用行為作出明確規定，數據的去標識化相關標準也可能出臺。屆時，企業需直面合規風險，及時作出調整。

《報告》提醒，隨著大眾隱私保護意識的逐漸覺醒，“技術中立，平臺無責”的說法對于用戶將不再有說服力。企業不應該把用戶的隱私保護意識視作數據收集的障礙，而應重新審視安全防御機制的設計，以人的需求與數據流向為核心構建新的安全機制。

特別要指出的是，在互聯網的創業大潮中，一些新興企業迅速崛起又迅速衰亡。大量用戶數據就此成為企業“遺產”。這些用戶數據該如何處理，目前行業還沒有達成共識，政府的監管也仍然處于模糊地帶。

但是，這些已無人看守和維護的數據就像埋藏在互聯網中的定時炸彈，隨時有被惡意濫用的可能，留下了極大的安全隱患。因此，除了數據共享安全，數據的留存、清理問題，也亟待政府和企業共同解決。

專家

個人信息安全規范

有望明年初發布

12月28日，由南方都市報社和中國人民大學未來法治研究院等聯合主辦的“2017年個人信息安全大會”在北京舉行。

在當日下午的論壇上，中國電子技術標準化研究院信息安全研究中心審查部技術總監何延哲表示，近期部分省市區的政府部門和高校把信息公開變成“隱私公開”，有的APP尚未有隱私政策，這些都是隱私保護意識不足造成的。

如何更好地解決個人信息安全的問題？何延哲認為可以從法律、技術和管理層面著手。在法律相關細則不清晰的情況下，技術可以發揮作用，為數據保護提供支撐。但技術并非萬能，所以也需要國家監管，行業聯盟和社會監督。

在何延哲看來，技術標準是法律的緩沖地帶，可以更靈活地解決實踐層面的問題。他透露，2018年年初，由中國電子技術標準化研究院制定的個人信息安全規范報批稿即將發布。這份技術標準的制定，有來自政府部門的指導，企業和專家學者的多方參與，在個人信息保護方面具有較大的參考價值和可操作性。

與此同時，何延哲表示，對個人信息保護意識的培養也值得關注。比如很多用戶根本不關心企業的隱私條款是否合理，也基本不會查看，而且不少人存在企業的隱私政策就是“霸王條款”的誤解，殊不知這是企業在收集用戶信息時對用戶作出的一種承諾。

技術界看個人信息保護：

用戶隱私意識不足

為企業消極應對提供空間

網絡流通中的個人信息能否應當事人的合理要求刪除或更改？這對網絡個人信息保護而言意義重大，或可成為個人隱私信息被泄露后的重要救濟方式。而當前，用戶刪除個人隱私信息的要求并不容易實現。

在南方都市報社、中國人民大學未來法治研究院等共同主辦的2017個人信息安全大會上，北京師范大學法學院教授劉德良表示，用戶信息是企業資源，是用戶享受免費網絡服務的對等條件，“它的價值不是個人的，(使用)也不需要你同意”。同時，劉德良也表示，刪除網絡用戶信息是個技術難關，無法被徹底刪除，仍可通過技術恢復，“不具有可操作性”。

對此，全知科技CEO方興表示，個人信息是否能被刪除應該由“技術界來定義”。他表示，“遺忘權和更正(在技術上)是一個東西”，意即如果企業能更正用戶信息，那么就能刪除信息。即使不能實現預期，技術也可以“用轉化的手段”解決問題，“A問題不行，可不可以轉成B問題，可以解決70%到80%”。

方興認為，個人信息數據是企業的核心資產，在強調企業權利的同時，也應切實擔負起保護用戶隱私安全的責任。如果企業行為可能給用戶造成危害，“這時候企業有責任和義務”保護用戶數據，但也要“法律先行”。“確實需要法律的推動力”，方興表示，“早前的法律沒有規定，可能技術界不會研究這個問題，當有這樣的法律提供出來的時候，并不是技術不能解決問題”。

據悉，目前相關法律規定的缺席和用戶個人隱私保護意識不足或為一些企業消極保護用戶信息提供了空間。方興指出，當數據可以當作生產資料使用，數據流動帶來的風險是不可避免的，重要的是對整個數據安全提供風險控制體系，感知并及時應對數據泄露的潛在風險。

沈陽App定制開發，請信賴唯思科技！