一小时内某平台获取位置16次读取及修改照片和文件121次
频繁调取个人数据软件后台在干啥
11月1日个人信息保护法正式实施个人隐私安全问题又重回大众视线此前就有博主晒出iPhone手机更新系统后发现很多主流软件都在后台频繁获取用户信息对用户隐私安全造成威胁北京青年报记者实测发现确实有不少软件频繁调用个人位置和图片信息甚至有社交软件一小时获取定位达到75次如此频繁调用隐私信息他们到底想干啥
现象
个人App授权后被频繁调取信息
市民刘女士向北青报记者爆料10月30日她在某App购物后因频繁被推送附近商品推荐于是便关闭了应用的位置权限但没想到系统提示需要同意该隐私权政策才能继续使用刘女士选择了仍不同意按钮没想到软件闪退且无法再继续使用当她再次尝试并在页面点击查看协议才发现上面写着基于您的明示授权我们可能会获取您的位置为您提供附近的商品店铺您有权拒绝或取消授权当她点下不同意该协议按钮时软件依旧无法使用
不过针对App过度索取手机权限的问题网上就一直诟病不断10月8日就有用户贴出截图称iOS版在后台反复读取用户相册根据用户描述新版iOS15的隐私功能有记录App活动可以存储7天内App访问位置或麦克风等数据上述用户发现某社交平台App在用户未主动激活应用的情况下在后台数次读取相册每次读取时间长达40秒至1分钟不等
该用户同时表示发现多款国产软件也存在后台频繁读取用户相册的行为如此频繁地调取隐私数据让很多网友开始担心自己的隐私安全问题
体验
一小时测试要定位75次
美团读改照片121次
针对刘女士不授权不能使用App的情况11月2日记者进行体验不过在系统权限管理一栏中允许访问位置信息权限页面发生了改变与此前刘女士的情况不同记者在选择禁止后软件依旧能正常使用
但调用隐私信息的情况却依然明显记者利用能够监测App行为记录的手机在开放权限的情况下记录了微博抖音美团钉钉淘宝高德地图共七款常用软件的用户信息调用情况
经过一小时的观察在七款软件皆处于后台状况下记者发现高德获取位置信息32次修改系统设置8次钉钉获取位置18次读取剪贴板10次美团获取位置16次读取及修改照片和文件121次抖音获取位置11次读取及修改照片24次淘宝获取位置24次微博获取位置32次读取及修改照片和文件16次获取位置75次修改系统设置9次读取及修改照片和文件22次读取剪贴板5次
而此前的5月26日记者也曾做过类似测试在拒绝定位权限的情况下曾有过6分钟索取定位信息800余次的情况
此前回应称iOS系统为App开发者提供相册更新通知标准能力相册发生内容更新时会通知到App提醒App可以提前做准备App的该准备行为会被记录成读取系统相册
当用户授权可以读取系统相册权限后为便于用户在聊天中按时可以快速发图使用了该系统能力使用户发送图片体验更快速流畅
表示上述行为均仅在手机本地完成最新版本中将取消对该系统能力的使用优化快速发图功能
揭秘
软件在后台调用权限是正常需求吗
奇安盘古隐私安全业务负责人赵帅表示在个人信息保护方面操作系统的权限设计是为了让App收集使用个人信息的行为受到限制让用户能够主动去控制App能否采集特定类型的个人信息如通讯录地理位置等后台调用权限的行为在特定场景下是合理的比如我们用手机导航的场景虽然切换到后台但我们仍在使用这个App也有一些场景是非必要的比如我们将App切换到后台暂时不用这个App提供服务那么这种情况下的后台调用权限可能就已经超出正常需求的范围
民间互联网安全组织网络尖刀创始人曲子龙认为从技术角度来讲调用次数其实并不能直接说明问题还是以它的应用场景实际做了什么才能确认是否合规
软件收集用户隐私权限的边界在哪
关于App手机用户数据赵帅表示从技术角度上看应分为几种不同的情况包括系统权限保护的个人信息如通讯录录音定位等未受用户权限保护的个人信息如用户主动录入的身份证号码病历婚姻状况等用户在使用App过程中产生的一些使用偏好信息这些可能由App主动记录产生如喜欢听的歌曲经常去的餐馆等
对于系统权限保护的个人信息软件应充分明示并征得用户同意后才能调用这些权限获取个人信息并应确保获取的范围频率方式符合最小必要的原则对于用户主动录入的信息应当充分说明录入的合理性及可能造成的影响给予用户选择是否录入的权利对于软件使用过程中收集的数据应该做到明确告知用户并说明后续的用处
用户信息被收集有哪些风险
曲子龙说隐私泄露之后被精准推送广告并不是最大的风险不良企业会通过大数据杀熟甚至不法软件装入手机后获取通讯录及相册权限经过分析提取用于实现个人身份信息盗用定向网络诈骗等用途建议用户不要轻易让第三方软件获取通讯录及相册权限相册中也尽量不要存放身份证银行卡等包含敏感信息的照片内容
曲子龙认为必要权限按照行业区分法律上国家已经规定得很明确了大部分产生争议的是一些个性化的内容比如支付宝是一个支付软件但是里面加了小程序后就变成了公众应用平台属性发生变化获取的权限也自然跟着发生变化最好的方式是应用内的第三方服务如果仅是偶尔使用的应用都采用二次授权并且即用即授权原则如果长期使用的应用则制定权限开关用户随时可以手动关闭停止授权可能会是一个较好的解决方案
说法
调权限属正常行为但平台要掌握好度
中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲表示此前权限强制滥用的问题突出用户不想用这个功能平台却强制使用个人信息保护法出台以后这个问题基本解决了用户可以自由选择他表示如果权限被开通后获取的信息是否在合理范围内使用是需要考虑的问题
App索要相机权限一般是为了拍照扫二维码要地理位置就是定位导航这些在相关隐私协议里都写得很清楚但目前仍有些细节确实存在问题比如读取的次数本来可能只需要10次最后获取了20次
此前的情况更严重读取次数能达到几百次上千次如今次数只是个位数和十位数之间这在检测过程中一般不会被判定成违规需要调权限有很多是因为安全风控的问题比如账户异地登录平台会拿这个去判断原因非常复杂只要控制在十几次内基本上都不是什么问题何延哲表示后台读取也是同样的道理也是需要看频率如果账户存在异常会通过后台读取进行探测不一定会将数据读走这要看是单纯验证位置还是上传数据后台的事情不合理因素更多需要具体问题具体分析记者董振杰宋霞
来源北京青年报