程序任性“越权” 用户无奈接受
在山东济南工作的张敏下载了一款手电筒软件。在下载页,这款软件被标注为“官方、安全、MTC认证”,已被下载过1856万次。
安装时张敏发现,该软件要求获得通讯录、拍摄照片和视频、录音、位置、读取/修改/删除SD卡中的内容、完全的网络访问等10多项权限。“只有手电筒照明功能,只使用摄像头即可,要通讯录这些无关的权限干嘛呢?”张敏对此表示质疑。
记者从多个手机应用市场中搜索安装了多款手电筒软件后发现,张敏遇到的情况比较普遍。如一款下载量为1998万的手电筒软件,要求获得的权限多达30项:有发送短信、创建账户并设置密码等隐私相关权限,有访问蓝牙、设置壁纸、删除所有应用缓存数据等设备相关权限。
类似要求获取各项权限的应用十分常见。腾讯社会研究中心和DCCI互联网数据中心今年1月发布的《2017年度网络隐私安全及网络欺诈行为研究分析报告》显示,2017年上半年和下半年,获取用户隐私权限的安卓应用分别为96.6%、98.5%,IOS应用为69.3%、81.9%。
腾讯手机管家安全专家杨启波说,手机应用程序获取对应权限,与手机应用程序本身的规划相关。“如一个备份联系人的软件,就需要读取用户联系人的权限;一个地图导航软件,就需要获取地理位置信息;但一个手电筒APP,要获取联系人和地理位置信息就显得不合理。”
“虽然知道这样做会泄露隐私,但为正常使用软件,不得不‘被同意’ ‘被授权’。”一位用户道出了普遍的心声。
专家表示,在用户对软件的权限请求默许的情况下,用户的通话记录、短信、通讯录、位置信息、设备信息等都可以被软件后台记录,并发送到服务器上。
江苏省消费者权益保护委员会调查发现,对于手机APP安装后获取的消费者个人信息以及非注册用户的个人信息,只有少量企业有相应保护措施。对于注册用户放弃使用相关手机APP的个人信息删除与销毁,大部分企业未有明确的措施和完善的保护制度。
庞大“黑灰”产业 巨额经济损失
“当前,手机软件‘越权’获取用户隐私权限已成个人信息泄露的重要渠道之一。”国浩律师事务所律师刘国敏说。杨启波认为,用户信息泄露可能导致垃圾短信与骚扰电话层出不穷、手机资费被消耗,甚至可能被不法分子用来进行诈骗、定向攻击。
更有甚者,一些不法分子通过从市场上购买的用户个人信息,开发、推送手机病毒,“精准”实施诈骗勒索等违法犯罪活动。
2017年2月,孟女士报警称,其农业银行卡内50余万元人民币被盗。经警方调查,犯罪嫌疑人事先在网上购买大量身份证、银行卡等信息,通过群发短信的方式将木马病毒植入受害人银行卡绑定的手机。该木马病毒可以拦截手机短信、提取手机通讯录、获取网上银行的手机验证码。骗子由此盗刷受害人银行卡内资金。
以公民个人信息泄露为源头的庞大“黑灰”产业链已经形成,给各方造成重大损失。中国互联网协会发布的《中国网民权益保护调查报告2016》显示,仅在2015年下半年至2016年上半年,我国网民因为垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失达915亿元。
宝贵大数据,岂能沦为“大输具”?
“数据就是资源,一个手机应用占用数据后,就有支配资源的可能。在大数据时代,谁不想抢占这些宝贵资源呢?”长期从事物联网与信息安全相关研究的江苏第二师范学院教师赵洁说。
多位受访专家认为,要避免手机APP任性“越权”,首先必须要推动个人信息保护专门立法。
刘国敏说,目前我国涉及个人信息保护的条款散见于多部不同的法律中,这些规定对个人信息的内涵和外延都没有形成统一的标准,应该尽快推动个人信息保护专项立法。