易坊好文馆

  1. 首页 > 生活百科 >

安全 实测37款App:原来我们每天被读取几千次( 三 )


为何不同手机在获取权限方面有不同的表现?采访人员致电抖音和西瓜视频的客服,对方表示暂未接到上述问题的反馈;Keep客服并未对此进行解释,但表示如果不想App获取权限,用户找到相应权限将其关闭即可 。其余App的客服则无人接听 。
业内人士猜测,这或许与不同手机厂商对App索权的限制有关,或者是某些应用市场里的特制安装包,有后门存在 。
“同款App针对不同的分发渠道,即使是同一个版本也会有针对性不同的策略,可能从正规应用市场下载的App符合监管要求,用户授权前不会收集任何个人信息,但我从其他第三方分发平台下载的同名称应用就会存在问题 。”安天移动安全大白鹅团队说 。
碁震安全研究团队高级研究员宋宇昊认为,安卓系统原生提供了针对一部分权限的访问控制(比如通话、相机、麦克风),对于这部分访问权限的提示,在所有安卓手机上都是相同的 。
但是在这部分权限以外,例如手机识别码的权限控制,并不是安卓原生提供,而是由各家手机厂商自己定制的 。在这种情况下,需要控制哪些权限、默认允许禁止都是根据厂商自己对于敏感信息的理解来设计的 。
在获取用户权限方面,苹果就规范许多 。用户可以在设置中轻易找到App所需的定位、麦克风、相机、蓝牙、Siri权限,并将其手动关闭 。iOS系统从7.0开始就停止了IMEI相关接口开放,开发者无法直接获得相关权限 。4月7日,苹果宣布,未来几个星期内将实施全新的隐私采集用户披露和许可政策 。
04    
IMEI码也是个人信息
37款App的“个人隐私权限政策”中,基本都有类似条款:“当您使用本款应用时,我们会搜集你的设备信息,包括设备型号、唯一设备标识符、设备MAC地址、操作系统类型、屏幕分辨率、电信运营商、登录IP地址、软件版本型号、接入网络的方式、网络质量数据??”
从《规定》对39类App详细要求来看,并没有对IMEI码、IP地址等信息有明确要求,那么,设备信息是否属于本次《规定》的监管范围?
《民法典》中规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等 。
另外,《中华人民共和国个人信息保护法(草案)》规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息 。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动 。
IMEI码是国际移动设备识别码的简称,即通常所说的手机序列号,因其唯一不可变被称为手机的“身份证” 。
安全 实测37款App:原来我们每天被读取几千次
文章图片

上海大邦律师事务所合伙人游云庭认为,手机IMEI码是手机硬件的编号,通过识别此编号,可以识别出使用手机的个人,属于个人信息 。
在互联网广告联盟生态链中,IMEI码是一个核心要素 。一个IMEI码就可以在广告联盟间追踪用户的标签,互联网巨头利用庞大的生态圈收集各种类型的原始数据,为用户打上标签,最终形成一张全面精准的用户画像,帮助广告主精准匹配目标用户 。
如果IMEI码也被定义为个人信息,根据《规定》,5月1日后,39类App都不得采集该信息 。
“《规定》实施后,App在此前已经收集到的信息理应删除,但实践中不会有厂商这么做,他们还有可能拿着已经收集到的信息去匹配其他信息给用户画像 。不过,一旦这种行为被发现,将会受到相应的惩罚 。”游云庭说 。
“实际上,在《通知》出台前,手机里的App早已获取到了IMEI码,存量市场的用户画像早已被利用 。《通知》出台后,对00后、10后的用户画像会得到克制 。但《通知》并未提及此前被App收集到的用户信息应当如何处理,用户主动搜索行为产生的画像还是无法约束 。”曲子龙说 。
目前国家正在加紧制定出台《数据安全法》《个人信息保护法》,《个人信息保护法》草案已提请全国人大常委会审议,对于个人信息的定义有望更加准确界定 。
05    
小程序也在约束范围之内
另外,《通知》特别提到,“App包括移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序”,这意味着小程序也被纳入监管 。5月1日起,任何组织和个人发现违反本规定行为的,可以向相关部门举报以维护自身权益 。

推荐阅读


上一篇:视点·观察 乐视财务造假中的中介机构:3家审计机构、2家券商是否将担责?

下一篇:Huawei 华为企业BG今年收入目标200亿美元 称没有进入支付市场的计划