对于很多人来说,手机权限是一个不知道该不该给、给了可能会后悔、不给又有些功能用不了的东西。其实,App获取权限通常都是为了更好地提供服务,但究竟什么时候该给,给的频率多少才合理呢?
12月17日,由南方都市报个人信息保护研究中心主办的“2021啄木鸟数据治理论坛”在北京召开。会上,南都个人信息保护课题组发布《个人信息安全年度报告(2021)》(下称“报告”),披露了150款App的权限获取合规情况。
结果发现,89款都在用户首次使用时申请了非必要权限,30款在用户明确拒绝后仍频繁弹窗申请,最夸张的弹窗11次。还有九成被测App调用敏感权限超出实现其业务功能所必需的最低频率,有的App五分钟内调用定位权限超过2000次。
1
有App需拒绝11次权限申请才可使用
报告分析今年监管部门关于App违法违规收集使用个人信息的通报发现,国家网信办通报的问题中,“违反必要原则”占比高达53.3%;工信部也通报“App强制、频繁、过度索取权限”问题228次,占比21.6%。可见,App超范围收集个人信息、获取权限的情况十分严重。
今年3月印发的《常见类型移动互联网应用程序必要个人信息范围规定》(下称《规定》)为39类App划定了满足基本功能服务所需的必要个人信息范围。报告以《规定》为标准,对十大行业的150款App进行了权限获取合规度测评。
测评结果显示,只有“新氧医美”“360借条”“学而思网校”三款App得分高于90分,整体平均分仅有57.9分。其中近半App得分集中在60-70分,不及格的App则有60款,占比40%。
150款App权限获取合规度得分分布
从具体问题看,150款被测App中有89款都在用户首次使用App时弹窗申请了非必要权限,涉及电话、定位、存储、通讯录、相机、麦克风等,其中不乏“钉钉”“美柚”等头部App。
比如首次使用“钉钉”时,其向用户弹窗申请了存储和电话权限。但根据《规定》,即时通信类App的必要个人信息仅包括手机号、账号信息和联系人列表。女性健康类App“美柚”则无须个人信息即可使用基本功能服务。
钉钉App截图
此外,强制获取非必要权限的情况仍然存在。根据《规定》,教育文化类App仅需手机号即可实现基本服务,但一款名为“学舍”的App强制获取电话、定位、存储权限,拒绝则无法使用。
值得注意的是,当换成其他安卓系统时,多次拒绝权限弹窗后,可以正常使用“学舍”——这意味着同一款App在不同的手机系统下,合规度有所差异。
像“学舍”一样,需要多次拒绝权限申请才能正常使用的App还有不少。报告指出,“优健康”“高途课堂”等30款App在用户明确拒绝某权限后,仍然频繁弹窗申请,其中存储权限被重复申请的次数最多。
如首次打开“粉象生活”,用户需连续拒绝11次存储权限弹窗,其中有两次是选择了“拒绝且不再询问”后仍再次弹窗。“闲鱼”则在五分钟内连续弹窗4次申请获取定位权限,最后一次才给出“拒绝且不再询问”的选项。
粉象生活App截图
闲鱼App截图
报告认为,App连续多次弹窗申请同一权限的做法是一种“变相强制”——用户通常在几次连续弹窗后,便以为若不授权该权限则无法使用App,于是迫于无奈选择同意。也就是说,不属于法律要求的“明示同意”。
2
过半App未告知权限获取目的
App超范围收集个人信息、获取权限除了表现在强制获取、频繁弹窗上,还表现在申请获取的权限和隐私政策中告知的权限、App的实际功能不能一一对应上。公安部今年的通报中,近半成都存在“未向用户明示申请的全部隐私权限”的问题。
报告针对日历、相机、联系人、定位、麦克风、电话、存储等敏感权限测评发现,150款App中,有57款未在隐私政策中告知所申请的敏感权限,如“华尔街见闻”“莉景天气”;还有63款App申请的敏感权限无法在App内找到对应功能,如“百度新闻”申请了相机、电话、联系人、日历四项权限,但App内未能找到相应功能。
报告还发现,存在上述问题的App数量呈现从头部到尾部逐渐递增的趋势。这意味着,头部App的表现好于中尾部。报告认为,中尾部App应主动积极合规,监管部门也可适当加大对中尾部App的监管力度。
除了需要获取哪些权限,告知获取这些权限的目的同样重要。
报告发现,150款被测App中,仅有68款在申请获取权限的弹窗中详细告知了目的。告知方式主要分为两种:先弹窗告知目的,再弹窗申请,以及弹窗申请的同时在屏幕顶部展示申请目的。相比之下,后者的用户体验可能更好。
如“58同城”App还在第一个弹窗中增加了拒绝选项——如果用户选择“取消”则意味着直接拒绝授权,如果选择“去授权”,才会出现权限申请弹窗。“今日头条”App则在申请“电话”权限时,屏幕上方弹出了“设备权限使用说明”的“蒙层”,用户只需一次点击,即可了解权限获取目的并做出是否授权的选择。
成功获取权限后,App就有了读取用户信息的权利。很多情况下,App需要将用户产生的信息从设备传输到服务器进行处理。在这个过程中,可能涉及到身份证号、银行账户、人脸信息等敏感个人信息,因此对数据加密至关重要。
技术测评结果显示,“学而思网校”“爱彼迎”等29款App未对传输的数据内容加密,占比近两成,用户的电话号码、身份证号、昵称、账号密码、验证码、手机型号以及地理位置均明文可见,存在数据泄露的高度风险。
学而思网校App数据传输内容
爱彼迎App数据传输内容
3
莉景天气五分钟内调取定位超两千次
近年来,小米、华为、苹果手机陆续上线记录App活动的功能——App何时访问了什么数据,一目了然。借助这一功能,微信、美团被曝出在后台频繁访问相册、地理位置;经南都记者实测,支付宝、中国农业银行、王者荣耀、大众点评等App也存在类似行为。
在汉华飞天信安科技有限公司的技术支持下,报告对150款App在一段时间内调用敏感权限的频率进行测评,包括前台和后台两种场景。
报告参考《信息安全技术 移动互联网应用程序(App)个人信息安全测评规范》(征求意见稿),将标准定为:对于定位权限,在地图导航、位置追踪等实时定位场景中,合理调取频率为每秒1次;展示周边可用服务等场景下,每30秒1次;识别当前地址等场景下,只应一次性读取。至于其他敏感权限,均只能在用户主动触发时读取或经用户明确授权后读取。
测评结果显示,App处于前台时,有多达135款频繁调用权限,且集中于定位、IMEI号(设备识别码)以及剪切板三类,分别对应的App数量为134款、128款和58款。
频繁获取敏感权限的App数量分布
其中情况较为严重的如“莉景天气”,平均每分钟调用定位权限约153次;“网易新闻”平均每分钟内调用定位权限近17次。此外,“腾讯视频”平均每分钟读取IMEI号约202次,“网易新闻”平均每分钟读取约48次。
此外,“高德地图”“微信”“抖音”等58款App在用户未主动触发相关功能时读取剪切板,其中“DJ音乐库”每分钟读取约8次。“钉钉”“柚卡”等App则在测评期间多次调用了日历权限。
上述实测情况是App处于前台的情况下。当处于后台时,调用权限的频率整体上有所下降,只有“莉景天气”五分钟内读取了2286次位置信息,频率甚至超过处于前台时。
除了15款仍频繁调用定位权限的App,处于后台的“腾讯视频”平均一分钟读取IMEI号46次。同样在后台且没有发生需要读取剪切板的操作的情况下,“新浪新闻”仍访问了1次剪切板。
2019年,南都个人信息保护研究中心曾在《2019个人信息安全年度报告》中提到,100款移动金融类App中,59款App每分钟调用设备识别码超过100次。其中“招联金融”一分钟内调用了6109次,“融360”调用了2586次,“51信用卡管家”“51人品贷”“还呗”“国美易卡”“360借条”调用超过1000次。
相比之下,尽管今年频繁获取权限的认定标准更加严格,情况依然大幅改善。超范围获权方面,2021年只有“学舍”一款App强制获权,远远低于2019年的22款,默认获取非必要权限的App占比也比2019年少了近9个百分点。
出品:南都个人信息保护课题组
采写:南都见习记者樊文扬