7月16日晚,因受疫情影响,在延迟四个月播出的315晚会上,央视曝光了App的第三方插件擅自获取用户隐私的乱象。据报道,这些插件会在用户不知情的情况下,读取电话号码、短信、通讯录、地理位置等信息,并上传到自己的服务器。
南都个人信息保护研究中心与中国金融认证中心(CFCA)去年联合发布的《常用第三方SDK收集使用个人信息测评报告》显示,在官方文档里提及了申请系统权限的10个受测SDK中,有三成能够通过代码收集超出其声明权限范围的个人信息。
SDK“窃取”网络交易验证码
极可能造成严重经济损失
上述插件被称为SDK(Software Development Kit,软件开发工具包)。它们可以帮助App高效率、低成本地实现地图、支付、统计、社交、广告等一系列功能,同时自身也具备获取相当一部分设备信息和用户个人信息的能力。
2019年11月,上海市消费者权益保护委员会委托第三方公司对包含上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司两家公司的SDK的50多款App进行了测试,包括国美易卡、91极速购、闪到等。
测试发现,这两款SDK未经用户许可读取手机IMEI号、电话号码、短信记录、通讯录、应用安装列表、传感器信息等隐私,读取完成后还会悄悄地将数据传送到指定的服务器存储起来。
SDK读取的用户信息类型。图自央视报道
从检测人员展示的测试记录可以看到SDK读取了极为私密的验证码短信:“验证码为903474,5分钟内有效,请勿告知他人。”央视报道强调,网络交易的验证码等信息一旦被别有用心的人获取,极有可能造成严重的经济损失。
SDK获取验证码短信。图自央视报道
此外,由于SDK对所有App具有通用性,即很多App可能都嵌入了同一个SDK,因此一旦某个SDK窃取用户个人隐私,将会涉及众多App。
据悉,在此次检测当中,除了SDK,工作人员还发现一些知名App也有收集用户隐私的现象,比如酷音铃声、手机铃声、铃声大全等。
近年公开的相关规定明确了管理SDK的必要性
公开资料显示,SDK违规获取个人信息的事例近几年时有发生。
2015年10月,一款名为“有米”的广告SDK被发现收集了用户的个人身份信息,包括Apple ID邮件地址、设备识别码,以及安装在手机上的App列表信息。最后,使用有米SDK的256款App被苹果应用商店下架。
2017年8月,同样是广告SDK的“个信”被发现内置后门,在未经用户允许的情况下收集用户隐私数据,获取用户设备中全部已经安装App列表。嵌入该SDK的500多款App的总下载量超过1亿次,最终全部被Google Play下架。
南都个人信息保护研究中心与中国金融认证中心(CFCA)去年联合发布的《常用第三方SDK收集使用个人信息测评报告》对60款常用App以及主流SDK进行了测评。结果显示,有的SDK会对环境或通话录音,有的则获取了用户的地理位置,但均未在隐私政策里告知。
此外,部分SDK能够通过代码收集超出其声明权限范围的个人信息。比如仅声明会获取地理位置信息,但其代码包括读取第三方平台账户信息、已绑定的NFC支付卡信息等内容。这些可能导致SDK隐瞒收集用户个人信息的情况。
小编梳理发现,近年来公开的不少个人信息保护、数据安全相关法规和标准已经明确了管理SDK的必要性。
《数据安全管理办法(征求意见稿)》第三十条规定,网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。
《信息安全技术 个人信息安全规范》修订草案则要求,涉及SDK等第三方嵌入或接入的自动化工具的个人信息控制者,宜开展技术检测确保第三方的个人信息收集、使用行为符合约定要求;宜对其收集个人信息的行为进行审计,发现超出约定行为的及时切断接入。
工信部:
要求严厉查处“3·15”晚会曝光的信息通信领域违规行为
据工信部官网,工业和信息化部高度重视用户权益保护工作,始终坚持以人民为中心的发展思想,严厉打击违法违规收集使用用户个人信息的行为。自去年11月工业和信息化部启动APP侵害用户权益专项整治行动以来,共检测超过8万余款APP,推动8000余款APP自查整改,对478家存在问题的企业下发整改函,治理取得初步成效,但目前仍存在部分企业主体责任落实不到位的情况。
针对7月16日央视播出“3·15”晚会报道的SDK违规收集用户个人信息的问题,工业和信息化部第一时间组织相关单位进行认真核查,依法依规严厉查处涉事企业。
一是立即组织北京市、上海市通信管理局对涉事两家SDK企业,北京招彩旺旺信息技术有限公司和上海氪信信息技术有限公司进行核查处理。
二是立即组织第三方检测机构对曝光使用上述两家SDK的50余款APP进行技术检测,对存在问题的APP第一时间启动下架程序。
三是立即启动应用商店联动处置机制,责成阿里、腾讯、百度、华为、小米、OPPO、vivo、360等国内主要应用商店,第一时间对类似问题进行“地毯式”排查,对发现问题一律第一时间予以下架,同时要求应用商店及时通知APP运营开发者自查自纠,及时发现、处理违规收集用户个人信息的SDK。
涉及的50款app中包括少数功能性APP如“最强手电”与“全能遥控器”,以及购物类APP如“91极速购”、“萝卜商城”;但更多的是一些借贷类型的APP,如栗子借款、我享借、趣花呗、美期分期、九秒贷、现金转转、够范分期、麦芽贷、取点花以及国美金融等借贷APP。
下一步,工业和信息化部将采取常态化监管措施,加强移动互联网应用程序APP综合治理。集聚产业力量,推动技术手段建设,大幅提升技术检测水平。加强监督检查,加大对各类违规行为的处置和曝光力度,对未经用户同意收集使用用户个人信息等违规行为,依法予以查处,切实维护用户合法权益。
资料:南方都市报
编辑:斯琪