關(guān)于規(guī)范瀏覽器、輸入法、綜合視頻等手機(jī)APP 涉及個(gè)人信息權(quán)限的通報(bào)

隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，“手機(jī)”已經(jīng)成為我們生活中必不可少的一部分。不同的消費(fèi)需求和習(xí)慣，催生了大量手機(jī)應(yīng)用軟件。然而，“個(gè)人信息泄露，合法權(quán)益被侵犯”等問題突出，尤其因“手機(jī)應(yīng)用權(quán)限過度申請”引發(fā)各種爭議。

2018年7月18日，上海市消保委發(fā)布《地圖類手機(jī)APP涉及個(gè)人信息權(quán)限評測結(jié)果》引起社會廣泛關(guān)注。結(jié)果反映出的申請的敏感權(quán)限與實(shí)際功能不完全對應(yīng)，缺少讓消費(fèi)者“一次性授權(quán)”的選項(xiàng)等問題得到企業(yè)重視。高德地圖、百度地圖、騰訊地圖等企業(yè)積極回應(yīng)，并提交了相關(guān)情況說明及整改報(bào)告。未參加發(fā)布的搜狗地圖、圖吧導(dǎo)航也在會后積極與上海市消保委進(jìn)行溝通，并根據(jù)測評反映的問題進(jìn)行優(yōu)化升級。企業(yè)通過緊急下線、取消獲取、功能優(yōu)化、版本更新等形式進(jìn)行改進(jìn)，相關(guān)問題得到解決。

地圖類手機(jī)APP還得到全國消費(fèi)者者的支持和贊許，他們通過上海市消保委、上海新消費(fèi)等微信公眾號、微博及各大媒體平臺，以留言的形式向我們表達(dá)看法。有消費(fèi)者指出，當(dāng)前，手機(jī)APP涉及個(gè)人信息保護(hù)的問題受到各界關(guān)注，但仍存在監(jiān)管空白。上海市消保委堅(jiān)持以問題為導(dǎo)向，以地圖類手機(jī)APP測評為突破口，支持將消費(fèi)者反映強(qiáng)烈的以遮掩方式獲取個(gè)人信息的行為進(jìn)行規(guī)范。同時(shí)，有消費(fèi)者希望上海市消保委在地圖APP的基礎(chǔ)上，擴(kuò)大范圍，進(jìn)一步規(guī)范和推動(dòng)行業(yè)發(fā)展。

為此，2018年8月-10月，上海市消保委聯(lián)合《中國消費(fèi)者報(bào)》上海記者站委托北京捷興信源信息技術(shù)有限公司，對消費(fèi)者反映集中及目前用戶使用頻度較高的 “輸入法、瀏覽器、綜合視頻”三類18款應(yīng)用進(jìn)行了規(guī)范。

18款應(yīng)用涉及的手機(jī)APP有：輸入法（搜狗輸入法、百度輸入法、訊飛輸入法、QQ輸入法、觸寶輸入法）；瀏覽器（UC瀏覽器、QQ瀏覽器、360瀏覽器、搜狗瀏覽器、獵豹瀏覽器、百度瀏覽器、華為瀏覽器(2個(gè)版本））；綜合視頻（優(yōu)酷視頻、騰訊視頻、愛奇藝視頻、芒果TV、嗶哩嗶哩）。

評測內(nèi)容涉及“應(yīng)用敏感權(quán)限的授權(quán)請求方式、申請的敏感權(quán)限是否存在與之對的服務(wù)功能”兩方面。

問題主要集中在部分應(yīng)用所申請的敏感權(quán)限存在無實(shí)際對應(yīng)功能以及部分應(yīng)用所采用的Android目標(biāo) API版本過低方面。其中，167項(xiàng)與用戶個(gè)人信息密切相關(guān)的“敏感權(quán)限”中，發(fā)現(xiàn)存在25項(xiàng)無實(shí)際功能對照的權(quán)限申請，主要集中在：電話權(quán)限（5個(gè)）、短信權(quán)限（15個(gè)）、定位權(quán)限（2個(gè)）、日歷權(quán)限（2個(gè)），讀取附件（1），均與終端用戶的個(gè)人信息密切相關(guān)。有4款應(yīng)用的Android 目標(biāo) API版本設(shè)定過低。而過低的API目標(biāo)版本，一是在權(quán)限管理方面存在用戶可知而不可控的問題，二是存在可規(guī)避系統(tǒng)安全機(jī)制的漏洞，容易造成用戶個(gè)人信息泄漏，引發(fā)大量終端安全和個(gè)人信息保護(hù)風(fēng)險(xiǎn)。

為此，上海市消保委經(jīng)過三個(gè)多月300多次多維度測試，法律團(tuán)隊(duì)和技術(shù)團(tuán)隊(duì)與企業(yè)進(jìn)行五十幾次溝通，就企業(yè)提供的數(shù)十份報(bào)告進(jìn)行了審評。為推動(dòng)相關(guān)問題的解決，2018年10月，上海消保委與手機(jī)APP企業(yè)進(jìn)行技術(shù)溝通，相關(guān)企業(yè)也在排查后對存在的問題作出解釋和優(yōu)化意見。據(jù)統(tǒng)計(jì)，在短短一個(gè)月時(shí)間內(nèi)，各相關(guān)應(yīng)用廠商剔除無用權(quán)限達(dá)到23個(gè)，3款A(yù)PP提升API目標(biāo)版本，并均將全新修正版本向社會發(fā)布。

2018年11月，上海消保委再次針對這18款應(yīng)用的最新版本進(jìn)行技術(shù)驗(yàn)證，15款應(yīng)用在敏感權(quán)限的申請、使用方面做到了合理申請、自主授權(quán)，充分保證了用戶的知情權(quán)、選擇權(quán)。

其余3款應(yīng)用，由于未到座談會進(jìn)行溝通，在新版本中，仍存有部分用途不明的敏感權(quán)限申請行為。其中：獵豹瀏覽器（V4.87.4） 存在：Android 目標(biāo) API版本過低、申請了與電話相關(guān)的（PROCESS_OUTGOING_CALLS）權(quán)限、與短信相關(guān)（SEND_SMS）權(quán)限，具體用途不明；觸寶輸入法（6.8.0.5）存在：申請了與短信和定位相關(guān)的（SEND_SMS）和（ACCESS_FINE_LOCATION）權(quán)限，具體用途不明；芒果TV （6.0.2）存在：申請了與短信相關(guān)的（SEND_SMS）權(quán)限，具體用途不明。

上海市消保委始終認(rèn)為，個(gè)人信息保護(hù)的關(guān)鍵是規(guī)范收集和使用，重視個(gè)人信息保護(hù)是APP開發(fā)者誠信度的體現(xiàn)。我們對相關(guān)企業(yè)的改進(jìn)措施表示贊賞，同時(shí)敦促未參加溝通的獵豹瀏覽器、觸寶輸入法、芒果TV作出切實(shí)的改進(jìn)，以落實(shí)企業(yè)的誠信責(zé)任。