每天收集你個人信息的APP超過1000種

當前，智能手機已經(jīng)成為人們生活必需品，以至于人們吃飯、睡覺、上廁所都帶著手機。人們使用智能手機，并下載各類App。這些App在提供方便的同時，卻成為人們個人信息泄露的“漏斗”。從這個“漏斗”，用戶的手機號、通訊錄、通話記錄、短信記錄等隱私信息紛紛外泄。

為什么這些公司要收集你的個人信息？因為它“無價”，更貼切地說你的個人信息有價值。眾所周知，互聯(lián)網(wǎng)時代，數(shù)據(jù)的價值最大，它堪比工業(yè)時代的“石油”。在工業(yè)時代，為獲取石油，人們不斷采掘;到互聯(lián)網(wǎng)時代，為獲取數(shù)據(jù)，出現(xiàn)一些公司瘋狂收集用戶信息的事情。

如果你剛想吃什么，手機就彈出它的推薦;剛要說要買什么，就出現(xiàn)了廣告;剛在購房App上瀏覽完，信用貸款電話就打了進來……如果有這種類似遭遇，那么你的隱私信息可能已經(jīng)泄露。

近日，廣東省公安機關(guān)持續(xù)開展2019年第二季度超范圍收集用戶信息APP清理整治工作，共監(jiān)測發(fā)現(xiàn)1048款A(yù)PP存在超范圍收集用戶信息行為。

簡言之，超過1000款A(yù)pp每天都在暗地收集你的個人信息(你手機中安裝的)。從你的電話、短信、通話記錄到位置等等，這些信息均被上述App收集起來，想想都令人后背發(fā)涼。

據(jù)悉，這1048款A(yù)pp，有42款A(yù)pp存在超范圍讀取用戶通話記錄、短信或彩信、收集用戶通話錄、用戶設(shè)備上已知賬號、超權(quán)限使用用戶設(shè)備麥克風等突出安全問題。

來看看筆者比較熟悉的一些App：

1. 藝龍旅行(9.54.2版本)

超范圍收集用戶信息情況——獲取任務(wù)信息，此常量在API級別21中已棄用不再強制執(zhí)行;讀取用戶聯(lián)系人數(shù)據(jù)。

用戶協(xié)議及隱私政策——有用戶協(xié)議，有隱私政策，易于訪問，不易于閱讀。

2. 酷狗音樂(9.2.2版本)

超范圍收集用戶信息情況——讀取用戶日歷數(shù)據(jù);讀取用戶聯(lián)系人數(shù)據(jù)

用戶協(xié)議及隱私政策——有用戶協(xié)議，有隱私政策，易于訪問，不易于閱讀。

3. 中華萬年歷日歷(7.5.2版本)

超范圍收集用戶信息情況——讀取用戶的聯(lián)系人數(shù)據(jù);允許應(yīng)用程序錄制音頻

用戶協(xié)議及隱私政策——有用戶協(xié)議，有隱私政策，易于訪問，不易于閱讀。

4. 華潤信托(1.7.6版本)

超范圍收集用戶信息情況——讀取用戶設(shè)備狀態(tài)和身份;讀取用戶短信內(nèi)容;允許應(yīng)用程序錄制音頻;允許程序讀取或?qū)懭胂到y(tǒng)設(shè)置

用戶協(xié)議及隱私政策——在登錄頁面有用戶協(xié)議，但未說明業(yè)務(wù)邏輯與權(quán)限的關(guān)系。

5. 多點(4.2.1版本)

超范圍收集用戶信息情況——在用戶不知情情況下添加或修改日歷活動，并向邀請對象發(fā)送電子郵件;讀取用戶日歷活動和詳情;允許應(yīng)用隨時使用麥克風進行錄音;讀取用戶設(shè)備上短信內(nèi)容;修改用戶通訊錄。

用戶協(xié)議及隱私政策——無隱私政策和用戶協(xié)議

雖然有些App已經(jīng)申請收集個人用戶信息，但是如果某些權(quán)限，用戶不同意開啟，則App無法安裝或運行的權(quán)限數(shù)。筆者稱這種做法為“耍流氓”。

根據(jù)《百款常用App申請收集使用個人信息權(quán)限列表》顯示，手機信息權(quán)限有26個小項，分為日歷、通話記錄、相機、通訊錄、位置、麥克風、電話、傳感器、短信和存儲10個類別。

其中申請收集個人信息相關(guān)權(quán)限數(shù)，筆者統(tǒng)計申請收集13個權(quán)限及以上的手機App，分別有

平安普惠(6.0.0版本)——16個權(quán)限

平安金管家(5.03.0)——15個權(quán)限

360手機衛(wèi)士(8.1.0)——23個權(quán)限

騰訊手機管家(7.14.0)——22個權(quán)限

QQ同步助手(6.9.11)——19個權(quán)限

百度網(wǎng)盤(9.6.8)——17個權(quán)限

WiFi萬能鑰匙(4.3.59)——13個權(quán)限

釘釘(4.6.25)——13個權(quán)限

途牛旅游(10.6.0)——13個權(quán)限

中國建設(shè)銀行(4.1.5)——13個權(quán)限

中國工商銀行(4.1.0.4.0)——13個權(quán)限

聯(lián)通手機營業(yè)廳(6.1)——18個權(quán)限

中國移動(5.3.0)——17個權(quán)限

鈴聲多多(8.7.47.0)——14個權(quán)限

汽車之家(9.10.5)——14個權(quán)限

根據(jù)《網(wǎng)絡(luò)安全法》第四十一條規(guī)定：網(wǎng)絡(luò)運營者收集、使用個人信息，應(yīng)當遵循合法、正當、必要的原則，公開收集、使用規(guī)則、明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡(luò)運營者不得收集與其提供的服務(wù)無關(guān)的個人信息。

按理說，公司收集個人用戶信息應(yīng)當遵循國家標準提出的“個人信息最少夠用”原則。注意，這里已經(jīng)指出一個是最少，一個夠用。實際上，公司收集個人用戶信息不是最少，而是盡可能多地去收集。這實際上已經(jīng)與國家標準背道而馳。

比如上文提到的360手機助手、騰訊手機管家，申請收集的個人信息權(quán)限數(shù)均超過20個，差不多都想獲取你的全部手機權(quán)限。這種問題，值得大家注意。

根據(jù)全國信息安全標準化技術(shù)委員會發(fā)布的《網(wǎng)絡(luò)安全實踐指南——移動互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》指出，移動互聯(lián)網(wǎng)應(yīng)用個人信息收集活動需遵循6個基本原則：

1. 權(quán)責一致原則——個人信息收集應(yīng)遵循法律法規(guī)要求，不采用非法的方式和渠道收集個人信息，不收集法律法規(guī)禁止的個人信息，不違反與用戶的約定收集使用個人信息，并對因個人信息處理活動對個人信息主體合法權(quán)益造成的損害承擔責任。

2. 目的明確原則——向用戶明示收集使用個人信息的目的、方式和范圍，收集的個人信息及申請的權(quán)限應(yīng)具有合法、正當、必要、明確的收集使用目的和業(yè)務(wù)功能。

3. 最少夠用原則——不收集與其提供的服務(wù)無關(guān)的個人信息，不申請打開可收集無關(guān)個人信息的權(quán)限。只收集滿足業(yè)務(wù)功能所必需的最少類型和數(shù)量的個人信息，自動收集個人信息的頻率不超過業(yè)務(wù)功能實際所需的頻率。

4. 選擇同意原則——僅當用戶知悉收集使用規(guī)則并明確同意后，網(wǎng)絡(luò)運營者方可收集個人信息。不以改善服務(wù)質(zhì)量、提升用戶體驗、定向推送信息、研發(fā)新產(chǎn)品等為由，以默認授權(quán)、功能捆綁等形式強迫、誤導(dǎo)個人信息主體同意其收集個人信息。不因個人信息主體拒絕或者撤銷同意收集必要信息以外的其他信息，而拒絕提供基本業(yè)務(wù)功能服務(wù)或頻繁征求用戶同意。

5. 公開透明原則——以明確具體、簡單通俗、易于訪問的方式公開收集、使用個人信息的規(guī)則，并接受外部監(jiān)督。

6. 確保安全原則——采用足夠的安全技術(shù)和管理措施，保障個人信息收集安全，防護數(shù)據(jù)竊取、違規(guī)爬取、采集傳輸泄密等安全風險。

實際上，我們看到這些原則在現(xiàn)實中并沒有被很好的遵守，尤其是最少夠用原則和選擇同意原則。很多App是盡量多收集一些與個人信息有關(guān)的權(quán)限，并且App安裝時，一旦“拒絕或者撤銷同意收集必要信息以外的其他信息”，App就“拒絕提供基本業(yè)務(wù)功能服務(wù)或頻繁征求用戶同意”。