国家计算机病毒中心再发布违法违规APP
针对当前APP违法违规索取或使用他人信息等数据安全的问题,9月15日,国家计算机病毒中心发布了《移动APP违法违规问题及治理举措》,其中曝光了APP(应用程序)和SDK(软件开发工具包)存在的六大类问题,包括远程控制、恶意扣费等八大类恶意行为、涉嫌侵犯公民个人隐私、涉嫌超范围采集公民个人隐私等,今日头条、陌陌、京东金融、云闪付、金山词霸等知名移动应用赫然名列其中。
根据国家计算机病毒中心公布的文件信息,这批被点名批评的违规APP共有19个,主要是社交、新闻、支付、游戏、教育、金融理财、销售、阅读、天气预报这10种类型,其中社交类APP和游戏类APP最为集中,各有4款软件出现问题。具体问题情况如下:
1.APP中没有任何与采集用户隐私相关的声明文件:金山词霸(版本10.2.2)、腾讯爱玩(版本2.5.4.827)、墨迹天气(版本7.0802.02)以及分期宝(版本1.2)等。
2.APP未按照其隐私声明申请隐私权限,存在涉嫌超范围采集用户隐私信息行为:陌陌(版本8.18.7)、今日头条(版本7.2.7)、京东金融(版本5.2.32)以及云闪付(版本6.2.6)等。
3.存在捆绑恶意广告插件行为,该插件在后台无提示私自下载推广软件,造成流量损失:《职教云学院》(版本1.0.2)、《时尚快拍》(版本3.6.72)、《水印修图》(版本4.0.91)这三款移动应用。
4.涉及赌博,通过押点数、斗牌、博彩等形式进行含有赌资往来的赌博活动,涉嫌违法并使用户存在财产风险:《萌犬回家》(版本2.0)、《guess-emoji-challenge》(版本1.1)、《仓库管家》(版本1.0.1)这三款移动应用。
5.在用户不知情或未授权的情况下,获取用户个人信息,具有隐私窃取属性:《开心消消消》(版本1.1)、《嘀咕乐》(版本1.0.1)、《蜜蜂优选》(版本2.4.2)、《杨凌旅游》(版本1.1.5)这四款移动应用。
需要指出的是,今日头条、京东金融、陌陌等APP已经不是第一次被爆涉嫌侵犯公民隐私的问题了。今年6月,今日头条就曾因为“手机通讯录是否属于个人隐私”的争议被某辽宁用户起诉其侵犯隐私。陌陌近日也曾因为旗下换脸AI应用ZAO的用户隐私协议极不规范,存在数据泄露风险等网络数据安全问题而受到广泛批评。京东金融今年3月份时则被用户投诉其APP会自动获取并上传用户敏感图片。
到目前为止,大部分被点名批评违规的APP开发商均未就此事回应,仅墨迹天气相关负责人表示,公安部采集的样本是2019年1月28日的版本,后续已根据国家标准完善了用户隐私协议(明确了获取数据的范围及用途)。同时,墨迹天气已主动进行内部整改,并且已初步通过国家APP安全认证初步审核。
中央网信办网安局一级巡视员杨春艳表示,针对当前APP强制授权、过度索权、超范围收集个人信息、违法违规使用个人信息等数据安全问题,中央网信办起草了《数据安全管理办法》《个人信息出境安全评估办法》《等系列制度文件,已公开征求意见;此外,网信办还开发了举报平台,建立专门针对APP违法违规收集使用个人信息的举报渠道,至今已收到近8000条举报信息,其中实名举报占到近1/3,并将400余款下载量大、用户常用APP纳入了评估。