有些App存在無(wú)隱私政策等違法行為

　　△無(wú)隱私政策App

　　進(jìn)一步采訪中，記者還發(fā)現(xiàn)，有些App還存在無(wú)隱私政策等違法行為。

　　App專項(xiàng)治理工作組 何延哲：我們現(xiàn)在在應(yīng)用商店找到一款掛號(hào)的App，我們?cè)谠u(píng)估過(guò)程中發(fā)現(xiàn)這款A(yù)pp存在沒(méi)有隱私政策。這個(gè)比較典型和嚴(yán)重的問(wèn)題，登錄過(guò)程中有一個(gè)默認(rèn)勾選用戶協(xié)議，我們打開(kāi)這個(gè)用戶協(xié)議之后發(fā)現(xiàn)這個(gè)用戶協(xié)議里面沒(méi)有任何隱私政策的內(nèi)容，也就是說(shuō)沒(méi)有把收集使用個(gè)人信息的規(guī)則講出來(lái)，我們既然都不知道它收了哪些個(gè)人信息，為什么要收？收了之后怎么去使用？又把這些信息給誰(shuí)了？那這樣一個(gè)App我們認(rèn)為在個(gè)人信息保護(hù)方面是個(gè)黑洞，就是用戶完全不知道它處理個(gè)人信息的規(guī)則是什么，是非常危險(xiǎn)的。

　　據(jù)了解，按照《網(wǎng)絡(luò)安全法》第四十一條規(guī)定：網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開(kāi)收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。

　　App專項(xiàng)治理工作組 何延哲：沒(méi)有隱私政策就意味著沒(méi)有公開(kāi)收集使用個(gè)人隱私信息的規(guī)則，這是屬于法律法規(guī)的規(guī)定，只有公開(kāi)透明之后，用戶也好，可以去讀它、監(jiān)督它、質(zhì)疑它?？茨汶[私政策里描述的一些內(nèi)容到底是不是能夠達(dá)到要求，形成一個(gè)有效的監(jiān)督力量，如果不寫（隱私政策）誰(shuí)也不知道到底做得怎么樣，這樣的違法違規(guī)的行為就比較典型，可能會(huì)受到嚴(yán)重處罰。

　　App過(guò)度獲取敏感權(quán)限非首次發(fā)現(xiàn)

　　進(jìn)一步調(diào)查中，記者了解到，除了App專項(xiàng)治理工作組，上海市消費(fèi)者權(quán)益保護(hù)委員會(huì)日前對(duì)網(wǎng)購(gòu)、旅游出行和生活服務(wù)三類手機(jī)App也進(jìn)行了評(píng)測(cè)，結(jié)果發(fā)現(xiàn)選取的39款熱門手機(jī)App中有25款存在過(guò)度獲取用戶敏感權(quán)限等問(wèn)題。

　　上海市消保委秘書長(zhǎng) 陶愛(ài)蓮：從這次的評(píng)測(cè)結(jié)果看，我們覺(jué)得依然情況是不樂(lè)觀的，我們測(cè)了39個(gè)項(xiàng)目，那么其中發(fā)現(xiàn)超過(guò)6成有25個(gè)敏感權(quán)限的收集是找不到相對(duì)應(yīng)的功能的。比如說(shuō)去訪問(wèn)短信，也有訪問(wèn)通訊錄，包括還有定位等等這樣一些問(wèn)題普遍存在。

　　這次評(píng)測(cè)涉及網(wǎng)購(gòu)、旅游出行和生活服務(wù)三類消費(fèi)者使用最頻繁的手機(jī)App。

　　經(jīng)過(guò)評(píng)測(cè)，結(jié)果發(fā)現(xiàn)，15款網(wǎng)購(gòu)類手機(jī)App中，有7款A(yù)pp獲取了11個(gè)敏感權(quán)限無(wú)對(duì)應(yīng)功能，占比為46%；11款生活服務(wù)類手機(jī)App中，有8款A(yù)pp獲取了17個(gè)敏感權(quán)限無(wú)對(duì)應(yīng)功能，占比61%，13款旅游出行類手機(jī)App中，有7款獲取了10個(gè)敏感權(quán)限沒(méi)有實(shí)際對(duì)應(yīng)功能，占比為63%。

　　存在的主要問(wèn)題在于這些App獲取了諸如讀取短信、發(fā)送短信、日歷信息、撥打電話等與消費(fèi)者個(gè)人隱私信息密切相關(guān)的敏感權(quán)限，卻未在應(yīng)用中進(jìn)行使用。

　　采訪中記者了解到，本次測(cè)試的13款旅游出行類手機(jī)應(yīng)用軟件中，有6款A(yù)pp向用戶申請(qǐng)了短信和電話兩大類敏感權(quán)限，卻找不到實(shí)際對(duì)應(yīng)功能。

　　評(píng)測(cè)工程師 陽(yáng)雄：像很多App在注冊(cè)過(guò)程中可能用戶是需要輸入一些驗(yàn)證碼的。很多的應(yīng)用就以這個(gè)為理由說(shuō)我可以提供給用戶一些便利，可以把驗(yàn)證碼直接拷過(guò)來(lái)，免去用戶拷貝粘貼的過(guò)程。以此為理由申請(qǐng)了“讀取短信”這樣一個(gè)敏感權(quán)限。但是我們認(rèn)為在一個(gè)App使用過(guò)程當(dāng)中，注冊(cè)只是非常小的、或者是一次性的這樣一個(gè)環(huán)節(jié)，我們認(rèn)為為了一個(gè)單一的一個(gè)功能點(diǎn)去要這么一個(gè)（敏感）權(quán)限，沒(méi)有必要，因?yàn)閷?duì)于用戶來(lái)講這個(gè)給他帶來(lái)的便利遠(yuǎn)遠(yuǎn)比不過(guò)給他帶來(lái)的風(fēng)險(xiǎn)。

　　過(guò)度獲取敏感權(quán)限風(fēng)險(xiǎn)不可預(yù)知

　　工程師告訴記者，旅游出行類App，作為消費(fèi)者日常使用最頻繁的一類手機(jī)應(yīng)用軟件，如果沒(méi)有實(shí)際對(duì)應(yīng)功能，卻向用戶申請(qǐng)了短信和電話等多項(xiàng)敏感權(quán)限，可能會(huì)給用戶的個(gè)人信息安全帶來(lái)不可預(yù)知的風(fēng)險(xiǎn)。

　　評(píng)測(cè)工程師 陽(yáng)雄：如果一個(gè)應(yīng)用被授予了讀取短信的權(quán)限的話，它其實(shí)是可以讀取用戶收件箱里面所有短信記錄的。那么就存在一定風(fēng)險(xiǎn) （可能）造成用戶隱私信息泄露，比如說(shuō)用戶收件箱里面很多短信可能是包含驗(yàn)證碼的，包含一些訂購(gòu)信息，或者出行信息等等，這些信息一旦被泄露給用戶就會(huì)帶來(lái)不可預(yù)測(cè)的風(fēng)險(xiǎn)。

　　工程師告訴記者，用戶手機(jī)短信箱中一般存儲(chǔ)有各種驗(yàn)證碼、訂票信息等重要內(nèi)容，一旦泄露可能會(huì)給消費(fèi)者帶來(lái)不可預(yù)測(cè)的風(fēng)險(xiǎn)。記者通過(guò)搜索發(fā)現(xiàn)，近年來(lái)發(fā)生的多起網(wǎng)絡(luò)詐騙和盜刷案件都與手機(jī)短信內(nèi)容泄露直接相關(guān)。