一款地图app,却要获取用户手机相册权限;拒绝给予某款app某项权限,该app就“罢工”不干了……移动互联网时代,手机app存在的违规收集个人信息、过度索权、频繁骚扰等问题,让用户不胜其烦。工信部从去年10月底开始的app侵害用户权益行为专项整治工作,迄今已经进行了两轮通报和一次下架,共有56款app被点名,3款因未完成整改被下架。
中国信通院泰尔终端实验室信息安全部主任宁华告诉新京报记者,整治行动在社会上引起了很大的反响,头部企业基本上都做了整改,中尾部的企业也都跟进实施了整改行动。
56款app被点名,未完成整改者被下架
今年1月8日,工信部通报了第二批被发现存在侵害用户权益问题且未完成整改的app名单,luckin coffee(瑞幸)、拉勾招聘等15款app被点名。这些app存在的问题,包括私自收集个人信息,过度索取权限,不给权限不让用,账号注销难等。工信部要求,上述15款app应在2020年1月17日前完成整改落实工作,逾期不整改的,工信部将依法依规组织开展相关处置工作。
宁华说,在用户投诉中,不给权限不让用依然是投诉的热点,加上账号注销难、个性化推荐强制推送,这三类问题表现比较突出。
去年12月,工信部公布了首批41款app名单,其中不乏qq、新浪体育、金融等知名app。1月3日,人人视频、春雨计步器、微唱-原创音乐三款app因未按要求完成整改,被责令下架。
app侵权的危害,要比用户能够感知的更加严重。去年8月,新京报记者联合国家计算机病毒应急处理中心,对109款app的安装包apk进行引擎检测后发现,超过半数的app安装包里含有索取用户通讯录的代码,并且83.6%的app安装包中均含有超出其原本尊龙凯时官方旗舰店的业务范围的权限代码。
工信部内部人士向新京报记者透露,针对存在问题的app,工信部能够采取的具体措施包括责令整改、向社会公告、组织app下架、停止app接入服务,以及将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单等。而对于问题突出、严重违法违规、拒不整改的app主体,更将会从严处置。
8000多款app完成自查,监督将常态化
下架的处置,对于一款app来说,可谓是一记重拳。这意味着app将失去新增用户的入口。而在重拳落下之前,app的服务提供者本有机会及时改正,躲开被下架的命运。
去年工信部开展app侵害用户权益行为专项整治工作。按照计划,专项整治分三个阶段实施:企业自查自纠阶段、监督抽查阶段、结果处置阶段。工信部在通报中表示,在自查自纠阶段,共有8000多款app完成整改。在监督检查阶段,工信部组织第三方检测机构对各大应用商店app进行检查,对发现存在问题的百余家企业进行了督促整改。
在1月8日的通报中,工信部表示,下一步,工信部将持续加强app监督检查,形成常态化监管机制,切实维护用户权益。宁华表示,接下来,信通院也会一如既往地配合工信部做好技术检查、检测和取证;后续还会配合做好相应的监督检查,通过“回头看”监督企业有没有如实地将要求贯彻到版本中,防止出现版本回退的现象。宁华告诉新京报记者,“后续也会扩大抽查的范围,把用户关注度高的、投诉多的应用都纳入进来。”
工信部重点整治的app问题
(一)“私自收集个人信息”
即app未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前收集用户个人信息。
典型场景1:app运行时,缺乏向用户明示且征求用户同意的环节,收集imei、设备mac地址、软件安装列表、通讯录、短信等个人信息。
典型场景2:app运行时,虽然有向用户明示并经用户同意环节,但个人信息收集发生在用户同意前。
(二)“私自共享给第三方”
即app未经用户同意与其他应用共享、使用用户个人信息,如设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等。
典型场景1:app未向用户告知且未经用户同意前,将设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等个人信息直接发送给第三方sdk或第三方服务器。
典型场景2:app未向用户告知且未经用户同意,将设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等共享给第三方,用户的商品浏览记录、搜索使用习惯等出现在第三方app。
(三)“不给权限不让用”
即app安装和运行时,向用户索取与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭。
典型场景1:app首次启动时,向用户索取电话、通讯录、定位、短信、录音、相机、存储、日历等权限,用户拒绝授权后,应用退出或关闭。
典型场景2:app运行时,向用户索取与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭。
(四)“过度索取权限”
即app在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限,或超出其业务功能或服务外,申请通讯录、定位、短信、录音、相机等权限。
典型场景1:app在用户未使用权限对应的相关功能或服务时,提前向用户弹窗申请开启通讯录、定位、短信、录音、相机等权限。
典型场景2:app未提供相关业务功能或服务,仍申请通讯录、定位、短信、录音、相机等权限。
(五)“账号注销难”
即app未向用户提供账号注销服务,或为注销服务设置不合理的障碍。
典型场景1:app未向用户提供账号注销服务。
典型场景2:app为账号注销服务设置不合理的障碍。
试用申请