4月28日,中国网络空间安全协会、国家计算机网络应急技术处理协调中心联合发布《“新闻资讯类”App个人信息收集情况测试报告》(以下简称《“新闻资讯类”报告》),对公众大量使用的“新闻资讯类”App收集个人信息情况进行测试。
《“新闻资讯类”报告》数据显示,使用此类APP时,位置、设备信息、应用列表、剪切板4类系统权限是常见的调用类型,位置信息、唯一设备识别码、应用列表信息、用户在App首页的截图信息4类信息则成为了上传的个人信息。
在App 在启动时,今日头条、百度、新浪新闻调用系统权限种类最多,均为4类,百度和新浪新闻上传个人信息种类最多,为3类;在后台静默期间,网易新闻调用系统权限次数最多为5次,上传个人信息种类2类。
(资料图片)
具体地,本次测试时选取了19家应用商店累计下载量达到1亿次的“新闻资讯类”App,共计8款。分别是:今日头条、百度、腾讯新闻、新浪新闻、一点资讯、网易新闻、趣头条、搜狐新闻。
测试以完成一次新闻资讯浏览活动作为测试单元,包括启动App、刷新首页新闻、查看新闻内容、分享新闻链接4种用户使用场景,以及后台静默应用场景。共测试了系统权限调用、个人信息上传、网络上传流量3项内容。
位置、设备信息、应用列表、剪切板4类系统权限是常见的调用类型,8款App在上述5种场景下未发现调用相机、麦克风、通讯录等其他权限。
个人信息上传情况中,8款App上传了四种类型个人信息,包括位置信息、唯一设备识别码、应用列表信息、用户在App首页的截图信息。
根据测试,在启动App场景中,调用系统权限种类最多的为今日头条、百度、新浪新闻(均为4类),调用系统权限次数最多的为搜狐新闻(18次)。调用系统权限种类最少的为腾讯新闻,仅调用设备信息权限1类权限2次。
同时,启动App时,个人信息上传种类最多的为百度和新浪新闻(均为3类)今日头条和百度新闻则均上传了Android ID、OAID这1类唯一设备识别码个人信息。
可以看到,位置信息的权限调用、上传在使用中十分广泛。北京理工大学法学院助理教授、智能科技风险法律防控实验室副研究员裴轶此前在接受记者采访时解释道,位置信息不仅是个人信息、还是敏感个人信息,某些情况下还会成为重要数据。
2021年4月发布的推荐性国家标准《信息安全技术 移动互联网应用程序(App)个人信息安全测评规范》(征求意见稿)(以下简称“征求意见稿”)提出,识别当前地址等场景时,收集地理位置的参考频次是一次性读取(进入功能界面时读取1次或者用户主动刷新时读取1次)。
《“新闻资讯类”报告》还显示,在刷新首页新闻场景中,调用系统权限种类最多的为今日头条、新浪新闻、网易新闻、趣头条(均为2类),调用系统权限次数最多的为一点资讯(18次);个人信息上传种类最多的为网易新闻(3类)。
在查看新闻内容场景中,调用系统权限种类和次数最多的均为网易新闻(2类、3次);个人信息上传种类最多的为今日头条和网易新闻(均为2类)。
在分享新闻链接场景中,调用系统权限种类和次数最多的均为网易新闻(2类、3次);个人信息上传种类最多的也为网易新闻(2类)。
根据测试结果,在后台静默场景中,调用系统权限种类最多的为网易新闻和趣头条,均调用了3类;调用系统权限次数最多的为网易新闻,为5次:分别是位置权限2次、设备信息权限1次、应用列表权限2次。
同时,在后台静默场景中,今日头条、新浪新闻、网易新闻、趣头条上传的个人信息种类最多,均为2类。百度、搜狐新闻则无个人信息上传。
可以看到,App在后台静默时,除了位置权限的调用,对应用列表的权限调用、上传也很广泛。北京尚隐科技有限公司CEO张仁卓此前对提到,合理理由是为了关联应用的快速启动,譬如关联支付可以快速启动。当然可能也存在隐含理由,譬如关联启动,互相唤醒;信息流的互相交换推荐;甚至包括用户画像。
值得注意的是,上述征求意见稿中的参考频率则是,在应用管理等场景时,应用程序列表应当在用户主动触发时才能读取。
此外,网络上传流量情况也在测试之中。8款App在用户完成一次新闻资讯浏览活动(启动App、刷新首页新闻、查看新闻内容、分享新闻链接)时,上传数据流量平均最多的为新浪新闻,约为1200KB;平均最少的为一点资讯,约为195KB;后台静默12小时期间,上传数据流量平均最多的为今日头条,约为1301KB;平均最少的为百度,约为154KB。
南方财经全媒体记者梳理发现,此份报告是继今年2月2日首次发布《“网上购物类”App个人信息收集情况测试报告》和3月14日发布《“地图导航类”App个人信息收集情况测试报告》《“浏览器类”App个人信息收集情况测试报告》后,中国网络空间安全协会、国家计算机网络应急技术处理协调中心再次联合发布类似测试结果。四份报告在测试对象的选取标准、测试方法的设定上也都较为相似。
此前,在谈及《“网上购物类”App测试报告》时,张仁卓表示,App治理从仅关注采集了什么,到部分情况下采集了多少,可以看作是一个小进步。
“虽然一个客观评测,而不是行政处罚决定,但测评报告是一种督促,也是一种告知:执法机构可以获得平台的真实合规情况,请大家尽快整改、不要心存侥幸。”裴轶说道。
关键词: