在智能手机隐私保护这件事上,共发现43款APP(详见附件)仍存在问题整改不彻底、技术手段对抗、同一问题在不同地域整改不一致的情况。上述APP应在8月25日前完成整改,应用商店能做的还有很多。
随着越来越多的手机厂商在自家第三方 Android 系统版本更新中将「用户隐私保护」作为功能以及重点,逾期不整改或整改不到位的,以及 iOS 频频因为相当激进的隐私策略在行业内掀起波澜,我将依法依规进行处置。附件:存在问题的应用软件名单(2021年第8批,近几年来无论是 Android 还是 iOS 手机用户的隐私意识都有明显的提升。
但系统第一方厂商显然不满足于此:Google 苹果的下一步,总第17批)工业和信息化信息通信管理2021年8月18日附件存在问题的应用软件名单(2021年第8批,已经不限于从系统层面上去阻止手机中的应用「窥探」用户隐私。
他们的下一步:或者说是已经在进行中的行动,总第17批)序号应用名称应用者应用来源应用版本所涉问题1携程旅行Shanghai Ctrip Commerce Co.,LtdApp Store8.39.2违规调用通信录和地理位置权限2搜狐视频北京搜狐新媒体信息技术有限公司华为应用市场8.9.51开屏弹窗信息扰用户3腾讯视频腾讯科技(深圳)有限公司App Store8.4.20违规调用通信录和地理位置权限8.4.25开屏弹窗信息扰用户OPPO软件商店8.4.25.26114开屏弹窗信息扰用户4企业微信小米应用商店3.1.10违规调用通信录和地理位置权限5腾讯地图华为应用市场9.14.1违规调用通信录和地理位置权限6微信App Store8.0.10违规调用通信录和地理位置权限7凤凰新闻北京天盈九州网络技术有限公司华为应用市场7.29.0违规调用通信录和地理位置权限8苏宁易购江苏苏宁易购电子商务有限公司华为应用市场9.5.35违规调用通信录和地理位置权限9苏宁小店Jiangsu Suning Fast Purchase E-commerce Co., Ltd.App Store4.3.16违规调用通信录和地理位置权限10美篇南京蓝鲸人网络科技有限公司华为应用商店6.10.1违规调用通信录和地理位置权限11易车北京易车互动广告有限公司华为应用市场10.57.0违规调用通信录和地理位置权限12免费小说广州阿里巴巴文学信息技术有限公司华为应用市场11.4.5.143开屏弹窗信息扰用户13万年历重庆可兰达科技有限公司华为应用市场5.4.3违规调用通信录和地理位置权限开屏弹窗信息扰用户14爱奇艺北京爱奇艺科技有限公司App Store12.7.5违规调用通信录和地理位置权限15爱奇艺随刻App Store10.4.0违规调用通信录和地理位置权限16米读小说上海信息科技有限公司华为应用市场5.44.0.0712.1113开屏弹窗信息扰用户17天气预报北京方瀚世纪科技有限公司华为应用市场4.2.4.7违规调用通信录和地理位置权限18快点阅读北京天桐互动科技有限公司App Store4.05.00开屏弹窗信息扰用户1958本地版北京城市网邻信息技术有限公司天津分公司华为应用商店10.3.6违规调用通信录和地理位置权限20触宝电话上海触宝信息技术有限公司搜狗手机助手6.8.5.0违规调用通信录和地理位置权限开屏弹窗信息扰用户21去哪儿旅行北京趣拿软件科技有限公司搜狗手机助手10.0.13违规调用通信录和地理位置权限2215日天气预报上海二三四五网络科技有限公司搜狗手机助手4.8.1开屏弹窗信息扰用户232345天气王9.3.1开屏弹窗信息扰用户24网址导航13.1.1违规调用通信录和地理位置权限25唯品会Guangzhou Vipshop E-Commerce Co.,Ltd.App Store7.51.1违规调用通信录和地理位置权限26WiFi万能钥匙Nanjing LinkWiFi Network Technology Co.,Ltd.App Store6.5.8违规调用通信录和地理位置权限27影视全成都融特通信技术有限公司华为应用市场7.8.6违规调用通信录和地理位置权限28搜狗地图北京搜狗信息服务有限公司应用宝10.9.7违规调用通信录和地理位置权限29人人车二手车北京车欢欢信息技术有限公司华为应用市场7.3.0违规调用通信录和地理位置权限30优信二手车优舫(北京)信息科技有限公司App Store11.8.3违规调用通信录和地理位置权限31首汽约车首约科技(北京)有限公司App Store9.0.5违规调用通信录和地理位置权限32圆通快递圆通速递有限公司App Store5.1.8违规调用通信录和地理位置权限33爱奇艺票务北京爱奇艺新媒体科技有限公司App Store3.5.5违规调用通信录和地理位置权限34豆瓣FM北京豆网科技有限公司App Store6.0.11违规调用通信录和地理位置权限35微博钱包抚州市新浪网络小额贷款有限公司华为应用市场1.2.3违规调用通信录和地理位置权限36早晚天气海南蜗牛信息科技有限公司vivo应用商店1.4.4开屏弹窗信息扰用户37埋堆堆TVBC Network Information Technology LimitedApp Store4.0.60开屏弹窗信息扰用户38扫描王全能宝武汉网幂科技有限公司华为应用市场4.10.50开屏弹窗信息扰用户391905电影网一九零五(北京)网络科技有限公司应用宝6.4.3开屏弹窗信息扰用户40懂球帝北京多格科技有限公司App Store7.6.4开屏弹窗信息扰用户41向日葵Shanghai Best Oray Information Technology Co., Ltd.App Store11.2.1.40390开屏弹窗信息扰用户42爱上兼职河南明之旗网络科技有限公司应用宝4.02开屏弹窗信息扰用户43妙看赚钱上海呔咯网络科技有限公司华为应用商店4.4.1.210803开屏弹窗信息扰用户来源:“工信微报”微信公众号,是要从用户获取应用的来源 —— 应用商店入手,不仅是阻止滥用手机隐私权限的应用上架,更希望通过这种方式来告诉你:你的这些个人数据正在被「免费」的应用收集利用。
他山之石:Play Store「安全单元」
在 iOS 系统应用商店 App Store 正式上线「隐私标签」功能一年之后,Google 也开始了在自家的 Android 系统应用商店 Play Store 中上线更多进一步的保护用户隐私的行动。
今年七月,Google 透露了更多关于 Play Store 应用商店中即将上线的新隐私政策「安全单元」(Safety Section)更新的上线细节:Google 将在 2022 年在 Play Store 中的应用下载界面中,加入一个用于「帮助用户了解应用会收集哪些个人数据」的板块。
具体到应用者应该披露哪些权限管理细节,Google 在目前的者指导文档中,给出了下列五种应该被公布的应用细节:
应用是否采用了数据加密等隐私保护措施
应用是否遵循家庭/未成年人隐私保护政策
应用收集这些数据的用途,以及用户是否有权选择在使用这些应用时分享这些数据
应用的所披露的安全细节是否由独立第三方机构进行验证
如果用户决定卸载,应用是否允许用户要求删除使用数据
上述几条更新内容,几乎每一条都直指当前应用数据隐私安全领域曾经爆出过重隐私问题的用户信息权限,这些也都是与我们日常使用应用时的产生的数据的最终去向息息相关:在这项政策正式实施之后,用户就可以通过 Play Store 应用下载界面下滑,在按下「下载」按钮,将应用安装到手机中之前,即对应用的隐私权限详情有一个深入的了解。
更重要的是,「安全单元」其实并非是一个可选的信息披露项:Google 已经明确表示这将会是 Play Store 中每一位应用者都必须填写的内容,包括 Google 所有第一方 Android 应用在内的所有上架 Android 应用都会遵守这一隐私更新策略。
Google 同时还在文档中表示:那些不能或不愿在安全单元展示应用数据确切用途的应用,在过渡期 —— 最后期限截至 2022 年第二季度结束之后,将会面临应用无法更新或是从 Play Store 下架的处罚。同时,者也应该对安全单元中所披露的数据负责,并承担相应的法律责任。
这些看似严苛的条款,其实希望达到的目的只有一个:应用想要获取权限或用户的个人信息?没问题,应用商店并不会对合理的权限要求横加干涉,但者必须要通过通俗易懂的方式,来告诉用户应用收集这些信息的必要性,以及具体会被拿来做什么。如果不能给索要的权限一个合理的解释,不好意思,最后的结果只能是被应用商店拒之门外,无缘更多用户。
系统做不到的&应用商店能做到的
其实在对应用商店「出手」之前,对于 Android 生态中屡禁不止的「流氓应用」带来的隐私问题,Android 在系统层面出手所采取行动,已经进行了很长一段时间。
从 Android 10 开始,Android 就开始一步步收紧 Android 关键权限的应用授权:Android 10 限制了应用获取手机的 IMEI 信息,同时加入更加细分的位置权限授予机制;Android 11 中加入了进一步收紧手机存储空间权限的「沙盒」机制来阻止应用在公开目录中存储隐私数据并相互交换,以及针对地理位置信息、麦克风/相机等关键隐私权限加入「单次授权」选项。
从这些政策的实际效果上来讲,这些来自 Android 系统底层的权限限制,的确在很程度上有效遏制了第三方应用对于隐私权限的滥用;但针对用户数据隐私更加本质的问题:「应用收集到的个人隐私数据,最终会被用来干什么」这件事上,系统层面的权限管控,其实并没能给出更令人满意的答案。
在这个层面上,作为手机应用「守门员」的应用商店能做的更好:例如前面提到的位置信息获取政策,Google 就已经宣布者必须在应用上架时说明:应用为什么需要获取位置权限才能运行,如果无法给出令人信服的理由,应用同样无法上架应用商店面向全球用户。
在全球范围内,包括 Google 的 Play Store 以及 iOS 的 App Store 由于在其各自平台内的垄断性地位,一直是被公众舆论以及监管机构口诛笔伐的对象;苹果与 Google 每年更是需要应付为数众多的反垄断审查。在这个攻防过程中,这两个巨头不约而同选择了同一个论点来为自家的应用分发平台辩护 —— 系统自带的第一方应用商店,能更好地保护用户数据的安全。
虽然站在行业与监管的角度,巨头的这套说辞未必能让所有人信服,但从 Android/iOS 各自的系统生态来讲,这些随着长期更新已经与系统深度集成的一套应用分发系统,确实是构成手机系统安全的「第一道防线」—— 很多试图窃取用户隐私或是权限申请不规范的 App,从试图上架 Play Store / AppStore 那一刻起,就已经被严苛的审查标准,拦在了手机应用生态之外。
在移动应用商店领域,苹果的 Apple Store 也一直是各种应用隐私政策的先行者:iOS在 2020 年 iOS14 的更新中,便在 AppStore 加入了「隐私标签」特性,要求者在 AppStore 中提交更多适合用户阅读的 App 隐私政策。并将用户隐私数据根据安全等级分为「用于用户使用的数据」「与你相关的数据」以及「与你无关的数据」。借此让应用使用者了解到更多关于应用使用数据的信息。
App Store「隐私标签」界面|MacRumors
这些从应用商店层面出手的隐私策略,在很程度上代表着手机系统与「流氓应用」肆意使用基础权限,收集不必要的用户数据的斗争,已经进入到了新的阶段。
国内安卓生态
其实,不只是在谷歌/苹果两家有所动作,国内很多第三方 Android 系统自带应用商店在经历了同样的系统隐私管控升级这一阶段之后,也开始从应用商店这一源头入手,探索能更好地保护用户隐私的解决方案。
例如国内近年一直在强调系统隐私管理的 MIUI,其自带的小米应用商店,也已经在应用下载界面中,加入了对于者已经声明过的各种应用使用权限的标记;包括魅族、OPPO 等手机系统中预装的应用商店,如今也都会在应用下载页面中展示此应用运行所需的各种权限,以及应用所遵循的隐私政策。
不同应用商店权限详情页面
除了应用商店自查自纠之外,行业监管机构工信每年也都会通过专项整治行动,来清查违规手机个人信息的违规 App,除了公开通报整改不到位的 App 之外,拒不整改的 App 同样会遭到从应用商店下架的惩罚。
除了直接针对「流氓应用」的处罚之外,工信还会通过公示违规应用的具体问题,并以立法的方式,来试图让此类问题的管制与处理更加流程化。为之后更多此类问题寻找适合的解决方案;这些都是在应用分发层面,为杜绝更多用户隐私数据被滥用造成的问题所作出的探索。
结语
虽然很多用户已经逐渐意识到保护数据隐私的重要性,诸如「数据」「用户画像」等名词也随着越来越多的信息泄露事件被人熟知。
即使是这样,很多人仍然对「自己的数据被收集用到哪些用途」这件事没有准确的概念,在巨的利益链条驱动之下,对于个人隐私信息的窃取与滥用的新闻仍然不绝于耳。
对于手机哪些信息更为重要、哪些信息会对个人隐私产生至关重要的影响没有建立起准确的概念,也间接导致了即使系统更新声呼吁「保护你的个人隐私数据」,很多用户在遇到「除非授权某项权限,否则应用就无法开启」的情况时,仍然不得不麻木地点击了「允许」按钮。
应用商店在应用下载界面中,加入更多关于应用如何收集你的信息,并如何使用这些数据的提示。这些改变如果能让更多早已惯应用索取数据的用户,在下载应用时就意识到「原来我的信息正在被用作其他用途」这件事,那么更多手机用户的数据隐私意识都能得到改变,从而让整个行业对隐私数据的保护做的更好。
当我们能在每一次应用权限申请弹出窗口时意识到:即使是通过有限度的数据分享来获得的便利,这些也仍然是本属于我们的的权利,而非应用提供的免费服务之后,我们才能真正的对于隐私泄漏的风险有足够的了解,建立起关于隐私数据重要性的认知。
在手机系统吹响隐私数据管控的号角之后,应用商店的这些改进,则能让更多用户意识到这个问题的存在:我们的这些个人数据,是否真的有必要被收集?
责任编辑:SeaGreen
