APP下载

SDK涉窃隐私工信部责成“地毯式”排查

2020-11-25罗克研

中国质量万里行 2020年8期
关键词:监管局个人信息用户

罗克研

SDK是软件开发工具的英文缩写。

2019年11月,上海市消费者权益保护委员会委托第三方公司对50多款手机软件中的SDK插件进行了专门的测试,包括国美易卡、遥控器、最强手电、全能遥控器、91极速购、天天回收、闪到、萝卜商城、紫金普惠等50多款手机软件。

监测人员发现这些App中有上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司两家公司的SDK插件。这两个插件,都在用户不知情的情况下,偷偷窃取用户隐私,涉及到用户设备的IMEI、IMSI、运营商信息、电话号码、短信记录、通讯录、应用安装列表和传感器信息。

这些SDK获得用户隐私信息后,还会悄悄地将数据传送到指定的服务器存储起来。北京招彩旺旺信息技术有限公司的SDK,甚至涉嫌通过菜谱、家长帮、动态壁纸等多款软件,窃取用户更加隐私的信息。

此外,監测人员还发现一些知名手机APP也有收集用户隐私。

随着央视“3.15”晚会的曝光,7月17日,氪信科技发布公告称就这一问题的影响已经成立调查小组,内部启动调查。

工信部随后也启动应用商店联动处置机制,责成阿里、腾讯、百度、华为、小米、OPPO、VIVO、360等国内企业应用商店,第一时间对类似问题进行“地毯式”排查,对发现问题一律立即下架,同时要求各企业应用商店及时通知APP运营开发者自查自纠,及时发现、处理违规收集用户个人信息的SDK。

据悉,SDK非常的常见,现在的所有APP软件当中,基本上都会使用SDK来完成各种功能,比如,APP广告、支付、在线聊天、拍照美颜美图等都会带有SDK。

比如QQ快捷登录,那就是QQ提供sdk服务,微信登录就是微信SDK服务,微博就是微博SDK……,也就是为了简化注册流程,让大家可以不用注册就直接登录。

虽然SDK只是一个看似普通的插件,但是因为它对所有的手机APP具有通用性,很多手机软件可能都嵌入了同一个SDK,因此一旦某个SDK窃取用户个人隐私,将会涉及众多手机软件。在此次检测当中除了内嵌SDK插件以外,工作人员还发现一些知名手机APP也有收集用户隐私的现象,涉及酷音铃声、手机铃声、铃声大全等多款软件。

此外,SDK“隐蔽”收集个人信息的问题逐渐显现,它包括两种情况,一是APP知道SDK在收集信息,而用户不知道;另一方面,APP和用户都不知道SDK在收集信息。

根据《APP违法违规收集使用个人信息行为认定方法》,APP若未逐一列出有关收集使用规则,或者内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等,仍然会被认为是“私自收集信息”。

这意味着,APP若在隐私保护协议中简明扼要的写明其集成了哪些SDK,就可以增加用户对APP内置SDK的信任。

资料显示,早在2018年起,上海市消保委对消费者使用度最高的62款头部APP开展了三期评测。

2018年3月-7月,上海市消保委开展第一期地图类手机APP涉及个人信息权限评测,反映出申请的敏感权限与实际功能不完全对应的问题。5款头部应用相关企业积极回应,并提交情况说明及整改报告,通过取消获取、功能优化、版本更新等形式进行改进,相关问题得到解决。

2018年8月-11月,上海市消保委又开展第二期针对浏览器、输入法、综合视频等手机APP涉及个人信息权限评测,再次引起社会广泛关注。问题主要集中在部分应用所申请的敏感权限存在无实际对应功能以及部分应用所采用的Android目标API版本过低方面。18家头部应用相关企业积极跟进问题,在敏感权限的申请、使用方面均做到了合理申请、自主授权,充分保证了用户的知情权、选择权。

2019年,上海市消保委又推出了第三期39款手机APP的个人信息权限评测,主要涉及网购平台、旅游出行、生活服务等类别。通过与企业的技术沟通和督促,所涉应用全部整改,在敏感权限申请及使用方面实现合理申请、自主授权。

现今,收集用户隐私问题成了日益关注的普遍性问题。在历年315晚会中可以看到,不少企业都因收集用户隐私被曝光。

像去年曝光的声牙科技有限公司研发的一款探针盒子,通过无线局域网,收集手机的MAC地址,并与公司掌握的6亿个人信息配对,就可以查到手机号。萨摩耶互联网金融服务有限公司将这款探针盒子,放置在很多便利店里,偷偷收集周边用户手机号码。

今年7月初,工业和信息化部信息通信管理局公布《关于侵害用户权益行为的App通报(2020年第二批)》。

记者梳理该局今年通报的前两批31款App同样发现,其中涉及“私自收集个人信息”的App有23款,如果算上“过度索取权限”等问题,比例则更高。

此外,国家计算机病毒应急处理中心上半年通报下架的违法有害移动App达638款,其中,涉及隐私违规的有531款,占八成以上。上半年,直播、社交、外卖、医疗、在线教育等App涉嫌侵犯个人隐私占到很大比重。

互联网及大数据时代背景下,个人信息泄露的途径变得更加多样化。

专家认为,要针对互联网企业的体量加大经济处罚力度。鉴于一些重要App与网民生活息息相关,已经成为手机的“基础设施”,下架有一定难度,监管部门可以大幅提高罚款金额,既让企业有痛感,又不会影响网民生活。同时,监管机构要细化裁量基准,做出相应处罚。

针对个人信息保护,消费者自身应养成良好的习惯,对于手机上的一些APP权限要谨慎授权。

监管查处典型案件

防疫物资产品质量和市场秩序专项整治在行动整理/本刊记者李颖

记者从国家市场监管总局获悉,全国防疫物资产品质量和市场秩序专项整治行动开展以来,市场监管总局深入贯彻落实习近平总书记重要指示批示精神,按照党中央、国务院决策部署,要求各地市场监管部门全面排查防疫物资产品质量和市场秩序存在的隐患,全面整治生产、流通、消费中存在的突出问题。各地市场监管部门迅速行动,持续加大监管力度,依法从严从重从快查处了一批违法案件,切实维护了防疫物资市场秩序。现公开曝光一批相关典型案例。

1

北京市延庆区市场监管局查处未经许可从事第三类医疗器械经营活动和经营未依法注册医疗器械案。

5月18日,北京市延庆区市场监管局依法对北京美正生物科技有限公司未经许可销售冠状病毒核酸检测试剂盒行为实施行政处罚。经查,当事人未取得《医疗器械经营许可证》,销售及捐赠“冠状病毒核酸检测试剂盒”和“七种冠状病毒核酸检测试剂盒”共计95盒,货值共计93322.42元,违反了《医疗器械监督管理条例》第三十一条第一款和第四十条的规定。鑒于当事人及时召回“冠状病毒核酸检测试剂盒”65盒,召回比例较大,依法对当事人罚没合计1408476.30元。

2

浙江省台州路桥区市场监管局查处某工艺公司哄抬价格案。4月28日,台州市路桥区市场监管局根据线索,依法对台州市路桥某工艺公司进行执法检查。经查,疫情期间口罩需求量大,生产口罩用无纺布比较紧俏,当事人为获取更大利润,从今年4月份起开始提价销售不同批次购进的生产口罩用无纺布,其中4月7日以48000元/吨的价格销售给口罩生产厂家,进销差率160.97%,4月12日以80000元/吨的价格销售,进销差率189.19%,4月17日以110000元/吨的价格销售,进销差率366.47%,以上销售额共计335000元。

当事人的上述行为,违反了《价格法》第十四条第(三)项的规定,构成哄抬价格的违法行为,6月8日对当事人处以罚款250000元。

3

安徽省滁州市市场监管局查处杨某非法生产加工熔喷布案。4月30日,滁州市市场监管局联合公安机关,查处一非法生产加工熔喷布窝点。

经查,2020年4月,该窝点负责人杨某租用南谯区乌衣镇某公司生产厂房,从江苏丹阳购进二手机器设备,并购进原材料聚丙烯生产熔喷布。执法人员现场查扣熔喷布3吨,原材料聚丙烯(包装)1.3吨、聚丙烯(散装)1吨,熔喷布生产设备4台(套),案值200余万元。该生产商生产现场无厂家标识,未办理营业执照。原材料无采购凭证、检验报告,成品无产品标识,无厂名厂址、合格证。执法人员现场查封了生产机器设备,将成品熔喷布及“三无”原料予以异地扣押,并对该窝点生产的成品熔喷布进行抽样,经检测结果为不合格。目前此案正在进一步查办中。

4

广东省惠州市市场监管局查处曹某无照生产隔离衣案。4月28日,惠州市市场监管局联合公安机关对曹某无照生产隔离衣行为开展检查。经查,当事人曹某在未取得相关营业执照,未按规定向药品监督管理部门备案情况下,受惠州市新俊达塑料制品有限公司的委托代生产加工隔离衣,由惠州市新俊达塑料制品有限公司提供原材料。从4月26日开始生产到4月28日被查处为止,生产加工活动共持续3天。依据((医疗器械监督管理条例》第六十五条和《无证无照经营查处办法》第十三条,责令其改正违法行为,并对当事人处以罚款5000元。

5

四川省大竹县市场监管局查处福建双力纺织有限责任公司涉嫌销售不合格熔喷布案。4月27日,大竹县市场监管局接获辖区某口罩制造公司举报,对其采购的熔喷布进行了现场检查,发现该批熔喷布无厂名、厂址、生产日期、检验合格证等标识,数量共24件,合计706.70千克。该公司提供了该批产品的“采购订单”,产品由福建双力纺织有限责任公司供应,联系人为黄某某,质量约定BFE≥90%,单价为288.15元/千克,货值金额合计为203635.61元。

执法人员现场对该批产品进行了监督抽样,经送法定检验机构检验,结论为细菌过滤效率、颗粒过滤效率不符合YY 0461-2011标准要求,BFE达不到约定质量要求。大竹市场监管局将该案涉嫌犯罪线索移送大竹县公安局。

猜你喜欢

监管局个人信息用户
如何保护劳动者的个人信息?
个人信息保护进入“法时代”
中国证券监督管理委员会河北监管局
中国证券监督管理委员会河北监管局
中国证券监督管理委员会河北监管局
警惕个人信息泄露
关注用户
关注用户
关注用户
如何获取一亿海外用户