2018年11月27日,上海市消费者权益保护委员会通报手机APP涉及个人信息权限申请情况评测情况,18款手机APP过度获取用户敏感权限,目前15家手机APP企业将推出全新修正版,剩余猎豹浏览器、触宝输入法、芒果TV仍存在部分用途不明的敏感权限申请行为。
今年7月18日,上海市消保委发布《地图类手机APP涉及个人信息权限评测结果》引起社会广泛关注。上海消保委称,评测结果反映出的申请敏感权限与实际功能不完全对应,缺少让消费者“一次性授权”的选项等问题得到相关企业重视。企业通过紧急下线、取消获取、功能优化、版本更新等形式进行改进,相关问题已得到解决。
有消费者提议,希望上海市消保委在地图APP的基础上,扩大范围,进一步规范和推动行业发展。为此,2018年8月-10月,上海市消保委联合《中国消费者报》上海记者站委托北京捷兴信源信息技术有限公司,对消费者反映集中及目前用户使用频度较高的 “输入法、浏览器、综合视频”三类18款应用进行了评测。
18款应用涉及的手机APP包括:输入法;浏览器);综合视频。
上海市消保委此次测评内容涉及应用敏感权限的授权请求方式、申请的敏感权限是否存在与之对的服务功能两方面。评测结果显示,18款手机APP的问题主要集中在部分应用所申请的敏感权限存在无实际对应功能,以及部分应用所采用的Android目标API版本过低方面。
其中,167项与用户个人信息密切相关的“敏感权限”中,评测发现存在25项无实际功能对照的权限申请,主要集中在:电话权限、短信权限、定位权限、日历权限,读取附件,均与终端用户的个人信息密切相关。
此外,有4款应用的Android目标API版本设定过低。API的全称是“Application Programming Interface”,中文释义为“应用程序编程接口”。在手机或者电脑等的系统中,API是一些预先定义的函数,通过调用这些函数,能够让程序得以使用设备自身的硬件或软件。
API等级的更新是谷歌公司针对系统安全以及易用性方面的改进。过低的API目标版本,一是在权限管理方面存在用户可知而不可控的问题,二是存在可规避系统安全机制的漏洞,容易造成用户个人信息泄漏,引发大量终端安全和个人信息保护风险。
为此,上海市消保委经过3个多月300多次多维度测试,法律团队和技术团队与企业进行50多次沟通,就企业提供的数十份报告进行了审评。为推动相关问题的解决,2018年10月,上海消保委与手机APP企业进行技术沟通,相关企业也在排查后对存在的问题作出解释和优化意见。据统计,在一个月时间内,各相关应用厂商剔除无用权限达到23个,3款APP提升API目标版本,并均将全新修正版本向社会发布。
11月,上海消保委再次针对这18款应用的最新版本进行技术验证——15款应用在敏感权限的申请、使用方面做到了合理申请、自主授权,充分保证了用户的知情权、选择权。
其余3款手机应用企业,由于未到座谈会进行沟通,在新版本中,仍存有部分用途不明的敏感权限申请行为。其中,猎豹浏览器 存在Android 目标API版本过低、申请了与电话相关的权限、与短信相关权限,具体用途不明等问题;触宝输入法存在申请了与短信和定位相关的和权限,具体用途不明等问题;芒果TV 存在申请了与短信相关的权限,具体用途不明等问题。
上海市消保委称,个人信息保护的关键是规范收集和使用,重视个人信息保护是APP开发者诚信度的体现,“我们对相关企业的改进措施表示赞赏,同时敦促未参加沟通的猎豹浏览器、触宝输入法、芒果TV作出切实的改进,以落实企业的诚信责任。”
