3月14日,中國網絡空間安全協會、國家計算機網絡應急技術處理協調中心聯合發布《“地圖導航類”App個人信息收集情況測試報告》(下稱《“地圖導航類”報告》)和《“瀏覽器類”App個人信息收集情況測試報告》(下稱《“瀏覽器類”報告》),分別對上述兩類公眾大量使用的部分App收集個人信息情況進行測試。
南都記者梳理發現,這是2月上述兩機構首次發布《“網上購物類”App個人信息收集情況測試報告》以來再次發布類似報告,測試對象選取標準、測試方法也相似。《“地圖導航類”報告》數據顯示,App在后臺靜默時,騰訊地圖App調用位置權限高達281次,上傳數據流量平均約為7830KB。
后臺靜默時,騰訊地圖調用位置權限281次
3月14日,中國網絡空間安全協會、國家計算機網絡應急技術處理協調中心聯合發布《“地圖導航類”App個人信息收集情況測試報告》和《“瀏覽器類”App個人信息收集情況測試報告》。
《“地圖導航類”報告》選取了該類型下載量最高的高德地圖、百度地圖、騰訊地圖三款App作為測試對象,以完成一次地圖導航活動作為測試單元,包括啟動App、搜索地點、點擊導航三種用戶使用場景,以及后臺靜默應用場景。測試內容包括系統權限調用、個人信息上傳、網絡上傳流量三項。
測試結果顯示,在系統權限調用方面,三款App在上述四種場景下調用了位置、設備信息、麥克風、剪切板、應用列表五類系統權限。具體而言,在啟動App場景中,調用系統權限種類最多的為高德地圖和百度地圖,均為位置權限、設備信息權限、剪切板權限三類;而調用系統權限次數最多的是百度地圖,為127次,其中調用設備信息權限100次。
啟動App場景調用系統權限情況,圖源網空協會官網
在搜索地點場景中,通過文字輸入方式進行搜索時,騰訊地圖調取位置權限123次,百度地圖調取設備信息權限98次;通過語音交互方式進行搜索時,百度地圖調用了位置權限、設備信息權限、麥克風權限、應用列表權限四類,騰訊地圖調用位置權限216次,次數最多。
在點擊導航場景中,騰訊地圖調用位置權限62次,高于其他二者。在后臺靜默場景中,三款App均調用位置權限、應用列表權限,其中騰訊地圖調用位置權限281次。
點擊導航場景調用系統權限情況,圖源網空協會官網
2021年發布的推薦性國家標準《信息安全技術 移動互聯網應用程序(App)個人信息安全測評規范》(征求意見稿)提出,地圖導航、位置追蹤等實時定位場景,收集地理位置的合理頻率是持續讀取(每秒1次);展示周邊可用服務等場景下,應周期性讀取(每30秒1次);若是識別當前地址等場景,則只應一次性讀取。
此次測評還包括個人信息上傳情況。數據顯示,三款App上傳了五種類型個人信息,包括位置信息、唯一設備識別碼、剪切板內容信息、應用列表信息、地點信息。在啟動App場景中,高德地圖、百度地圖上傳個人信息種類最多,均包括位置信息、唯一設備識別碼和剪切板內容信息。在后臺靜默場景中,上傳個人信息種類最多的是高德地圖,包括位置信息、唯一設備識別碼和應用列表信息。
值得一提的是,測試三款App網絡上傳流量情況時發現,在用戶分別通過文字輸入、語音交互方式完成一次地圖導航活動,以及后臺靜默12小時三類場景下,上傳數據流量平均最多的均為騰訊地圖。比如,當三款App后臺靜默12小時,騰訊地圖上傳數據流量平均約為7830KB,而高德地圖約為1363KB。
后臺靜默12小時平均上傳數據流量,圖源網空協會官網
南都發布的《個人信息安全年度報告(2022)》曾對150款App自動采集個人信息的頻率進行實測,重點關注了Android ID、剪切板、精確地理位置等9項個人信息的讀取情況。結果發現,其中116款自動采集個人信息頻率超出了實現其業務功能所必需的最低頻率,占比近八成。
下載一次文件,QQ瀏覽器上傳數據流量約1994KB
《“瀏覽器類”報告》選取了華為瀏覽器、小米瀏覽器、UC瀏覽器、QQ瀏覽器等九款累計下載量最高的“瀏覽器類”App作為測試對象。以完成一次互聯網信息瀏覽活動作為測試單元,包括啟動App、搜索信息、訪問信息三種用戶使用場景,以及后臺靜默應用場景。測試內容與《“地圖導航類”報告》相同。
9款App基本情況,圖源網空協會官網
測試結果顯示,在系統權限調用方面,九款App在四種場景下調用了位置、設備信息、剪切板、應用列表、相冊五類系統權限。悟空瀏覽器在啟動App場景中調用系統權限種類最多,為五類;UC瀏覽器調用系統權限次數最多,包括位置權限68次,設備信息權限18次,相冊權限2次,共計88次。
啟動App場景調用系統權限情況,圖源網空協會官網
在搜索信息場景中,調用系統權限種類最多的為小米瀏覽器和搜狗瀏覽器極速版,均為3類;調用系統權限次數最多的為小米瀏覽器,包括位置權限4次,設備信息權限7次,相冊權限1次。另外,悟空瀏覽器分別為訪問信息場景中,通過瀏覽器打開網站、下載文件時調用系統權限次數最多的瀏覽器。
后臺靜默場景中九款App的情況如何?數據顯示,UC瀏覽器、夸克、360瀏覽器、悟空瀏覽器四款均調用2類系統權限,其中360瀏覽器調用位置權限4次,應用列表權限5次。同時,華為瀏覽器,火狐瀏覽器在該場景下未調用權限。
《“瀏覽器類”報告》顯示,9款App上傳了位置信息、唯一設備識別碼、應用列表信息、用戶在App內的截圖操作信息四類個人信息。在啟動App場景中,UC瀏覽器上傳了上述四類個人信息,火狐瀏覽器未上傳個人信息。在搜索信息場景中,悟空瀏覽器上傳了位置信息、唯一在設備識別碼兩類個人信息,夸克、火狐瀏覽器則未上傳。
經觀察發現,在網絡上傳流量情況中,小米瀏覽器分別為在用戶完成一次網站瀏覽活動和文件下載活動場景中上傳數據流量平均最少。如在用戶完成一次文件下載活動時,上傳數據流量平均最多的QQ瀏覽器約為1994KB,小米瀏覽器約為152KB。后臺靜默12小時后,UC瀏覽器上傳數據流量平均約為2506KB,華為瀏覽器約為87KB。
完成一次文件下載活動平均上傳的數據流量,圖源網空協會官網
南都記者梳理發現,此次兩份報告是今年2月中國網絡空間安全協會、國家計算機網絡應急技術處理協調中心首次聯合發布《“網上購物類”App個人信息收集情況測試報告》后再次發布類似測試結果。三份報告的測試對象選取標準、測試方法等也較為相似。
中國網絡安全審查技術與認證中心高級工程師樊華在談及“網上購物類”App測試報告時曾指出,此類報告更偏向于技術類分析,與監管部門的正式通報有區別,不涉及App是否違規的判定。報告的意義更多是“列數據、擺事實”,并不能完整折射App的個人信息保護水平,其積極意義在于提高用戶透明度,同時促使企業同行業對比、反省、整改。
“這種報告的形式雖然與之前的通報相比,強制力有限,對企業而言是更柔性的通知方式。由于近年來這些頭部互聯網企業對個人信息保護和數據安全都十分重視,企業對報告的結果也會非常重視。”
采寫:南都記者樊文揚
版權聲明:本文內容由互聯網用戶自發貢獻,該文觀點僅代表作者本人。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。如發現本站有涉嫌抄襲侵權/違法違規的內容, 請發送郵件至 舉報,一經查實,本站將立刻刪除。