“SDK会读取这部设备的IMEI、IMSI、运营商信息、电话号码、短信记录、通讯录、应用安装列表和传感器信息。读取完成后,还会悄悄地将数据传送到指定的服务器存储起来。”手机App、SDK违规处理用户个人信息等侵权行为屡屡被媒体曝光,其社会危害也被广泛认知。
作为行业主管部门,工业和信息化部对侵权行为的专项整治行动正在向纵深推进。7月29日下午,工信部在京召开会议,部署开展纵深推进整治行动。会议要求,App及其背后的企业整改不彻底、仍然存在问题的,各级主管部门将采取向社会公告、组织下架、断接入、行政处罚以及将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单等措施。
最严厉的红灯亮起,App、SDK侵害用户权益之风能够被刹住吗?
专项行动此前已检测超8万款App,接下来重点整治10类问题
会上,工信部信息通信管理局对《关于开展纵深推进App侵害用户权益专项整治行动的通知》进行了宣贯。重点整治的10类问题分别是:违规收集个人信息,超范围收集个人信息,违规使用个人信息,强制用户使用定向推送功能,App强制、频繁、过度索取权限,App频繁自启动和关联启动,欺骗误导用户下载App,欺骗误导用户提供个人信息,应用分发平台上的App信息明示不到位,以及平台管理责任落实不到位。
就在不久前的7月24日,工信部官网公布了2020年第三批存在侵犯用户权益行为的App,多达58款App未按时完成整改,其中不乏世纪佳缘、快狗打车这样的知名App,背后的企业也出现了搜狐、迅雷等知名互联网企业。
工信部在通报中还指出,部分移动应用分发平台管理主体责任缺位,未严格落实工信部相关要求,对上架App审核把关不严。为此,工信部还对相关企业进行了集中约谈,后续对问题突出、有令不行、整改不彻底的企业将依法严厉处置。
工信部的专项整治行动是从去年11月开始的。中国信息通信研究院技术与标准所产业互联网研究部主任汤立波告诉贝壳财经记者,到目前为止,专项行动共检测了超过8万余款App,推动8000余款App自查整改,对五百余家存在问题的企业下发了整改函,在加强用户个人信息保护方面取得积极成效。
不过,汤立波也表示,在持续强化监管工作的同时,专项行动也面临着一定挑战。我国是互联网大国,对数百万款App实现实时监督检测难度很大。App产业还涉及到App分发服务提供者和SDK等第三方服务,侵害用户权益治理工作需要面向全产业链同步推进。此外,App服务复杂多样,违规问题的发现和处置还牵涉到服务本身的业务逻辑和管理机制,需要相关各方多角度共同推进。
违规主体或将被列入失信名单,技术手段强化自动检测能力
工信部要求,要重点针对上述10类问题进行集中排查,发现问题及时落实整改。工信部信息通信管理局及各省通信管理局将加强常态化监督检查,依法加大对各类违规行为的处置和曝光力度。对整改不彻底仍然存在问题的,将采取向社会公告、组织下架、断接入、行政处罚以及将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单等措施。
此外,工信部还将大力推进全国App技术检测平台管理系统建设,鼓励有条件的企业积极参与平台建设,提升自动化检测水平和能力。据了解,由中国信通院组织建设的全国App技术检测平台管理系统日前已经上线试运行,并将在8月底正式运行。
中国信通院泰尔终端实验室信息安全部主任宁华告诉贝壳财经记者,该系统在强化自动化检测等技术手段能力的同时,建立了线上线下、联防联控管理体系,大幅提高App监管容量和处理能力。后续,信通院将鼓励有条件的企业参与平台建设,持续完善App自动化检测水平和能力。
宁华还表示,针对当前的App侵害用户权益专项整治行动,除了监管层面外,还应加强终端厂商、分发平台、应用开发等多环节的沟通协调,在权限管理、告知同意、设备识别码防护等多方面加强协作,制定行业标准规范,研制技术方案,开发检测手段。在检测认证、监测、处置等方面协调统一行动,强化产业协作体系,提升移动互联网产业的个人信息保护能力。
对于App健康生态的建设,工信部在会议上也做了部署,表示将组织App开发运营者、应用分发平台、第三方服务提供者、电信设备生产企业、安全厂商等相关单位,推动建立App联盟,制定行业自律公约和技术检测标准,健全第三方评议机制,强化行业规范,进一步加强行业自律。
App侵权方式方法层出不穷,头部企业参与或将充实监管力量
随着技术的不断进步,App侵害用户合法权益的方式也在“与时俱进”,人们对侵权行为的认识也在逐步提高。像央视3·15晚会曝光的SDK等第三方插件,也给App侵权整治带来了新的挑战。
“近年来,App个人信息违规采集问题频现,企业往往将App个人信息安全问题聚焦在自身代码的开发层面,很容易忽视App中集成的第三方SDK安全问题,殊不知正是这些提供便利的第三方SDK正在背后插刀。”梆梆安全资深安全专家谭阳日前在接受贝壳财经记者采访时表示。
近期,还有媒体报道的最新研究成果指出,App甚至可以利用手机内置的加速度传感器,采集手机扬声器所发出的声音振动频率,进而绕开隐私协议获取语音信息以“窃听”用户。对此,宁华表示,泰尔实验室已经关注到手机传感器相关的报告,正在深入研究传感器釆集手机扬声器所发出的声音振动频率问题,后续将持续关注其带来的安全威胁,并适时启动标准研制工作。
值得注意的是,阿里巴巴、百度、字节跳动、小米、拼多多、美团、360、网易、苏宁易购等30余家大型互联网企业的代表也参加了此次会议。有业内人士指出,他们的与会既是因为其App用户广泛、影响巨大,要更加严格地督促,同时也将促使这些头部企业更好地落实平台责任,为整个App生态的整治提供更多助力。在App侵权“魔”与“道”的斗争中,监管部门也将充分借用头部企业的力量。