>科技>>正文

定位软件成涉黑涉恶团伙工具,16类APP索取权限范围被界定

原标题:定位软件成涉黑涉恶团伙工具,16类APP索取权限范围被界定

【见习记者 谭丽平】

《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》(下称《规范》)近日在全国信息安全标准化技术委员会官网公布。

尚法新闻(ID:zgsbfzzk)发现,该《规范》界定了社交、金融借贷、网约车、短视频等16类常用移动APP收集用户必要信息的范围,要求即时通讯社交、社区社交、金融借贷APP不应强制读取用户通讯录。

(图片来源:网络)

“越界”的APP权限

随着移动互联网的快速发展,各种APP呈爆发式增长。手机APP在给人们带来便利的同时,也带来了许多困扰。部分手机APP过度收集、违规使用个人信息一直被诟病。

央视“3·15”晚会上,一款名为“社保掌上通”的APP被点名批评。经主持人测试,用户填写各种资料注册这款APP后,电脑就能够远程接收到用户的所有信息。这款APP通过隐藏的用户条款窃取用户社保信息,并且未得到官方授权。

不仅如此,据经济导报报道,一款定位为视频软件的APP“咪咕视频”,有着多达40多项权限要求,除了读取通讯录、修改通讯录、监听新安装应用、读取通话记录、写入通话记录、读取日历活动和机密信息,最关键的,这款APP还能强行重新启动手机、将系统恢复到出厂设置、清除SD卡内容,甚至还有人体传感器的权限要求。

2018年,中消协发布《100款App个人信息收集与隐私政策测评报告》,对100款App进行测评后发现,47款App隐私条款内容不达标;多达91款App列出的权限存在涉嫌“越界”,即存在过度收集用户个人信息的问题。在综合评分中,金融理财App评分最低。

“对厂商来讲,能拿到的用户信息越多越好,这有利于分析用户的使用习惯,知道了用户习惯就能更好地推送产品。”中国网络空间安全人才教育联盟秘书长鲁辉表示。

北京志霖律师事务所副主任赵占领律师曾表示,现有法律法规没有针对各个细分领域单独进行规定,比如视频APP只能收集哪些信息、电商APP只能收集哪些信息,主要原因在于行业和软件类型众多,很难逐一规定收集个人信息的范围,只能通过必要性原则来判断。

定位软件被涉黑涉恶团伙利用

读取用户信息似乎已成为手机APP的“标配”,而海量的用户信息泄露事件也在不断发生:前程无忧的195万条用户求职简历泄露;圆通快递10亿条快递数据被售卖;顺丰快递3亿用户数据被兜售;5亿条华住旗下酒店客户开房数据被出售;万豪集团5亿名客人的信息被泄露……

首例非法侵入手机App获取位置信息刑事案件,能更直观的揭露嫌疑人们的犯罪事实。

2018年3月26日,南京警方在青海省海东市抓获了“App神探”开发销售者吴强。30岁的吴强是江西上饶人,计算机专业毕业后成为一名技术员。因为喜欢黑客技术,偶然机会,他在网上看到有人卖手机聊天工具定位软件,但使用功能很一般,于是他就想自己开发定位精度更高的软件。

没多久,他破解了一款手机聊天程序的位置信息防护系统,捣鼓出一款新的定位软件,并命名为“App神探”,通过QQ群、微信群、聊天室等网上渠道销售。

“用户要先在App软件上注册成为会员,充值后才能使用定位功能。如果对方在线,定位一次只要1元;如果对方不在线,定位一次要10元。他后来还开发出针对多款主流聊天工具的定位功能,定位一次100元。”警方介绍。

据警方多次侦查实验发现:精确位置只相差20~50米。案发时,定位软件在两年间吸引了4000多名注册用户,其中充值金额在1000元以上的有近200人,涉案金额40余万元。

然而,这款定位软件不光被个人非法使用,还成为国内80余家调查公司、讨债公司实施不法行为的帮凶,帮其对目标人物实时定位。

此外,国内多个涉黑、涉恶团伙也在用这款定位软件,定位这些团伙要下手的目标人物位置信息,进而实施非法拘禁、故意伤害等违法犯罪行为。

江苏警方表示,作为一种新型犯罪案件,该案的出现对如何有效防范黑客攻击,如何有效保护每个App用户合法权益,既敲响了警钟,又提出全新挑战。

明确规范16大类APP的收集权限

尚法新闻(ID:zgsbfzzk)注意到,APP的信息安全已经引起监管部门重视。今年1月底,中央网信办联合工信部、公安部、市场监管总局等四部门表态,今年将在全国范围内发起专项治理活动。严重违法违规收集个人信息的APP运营者,将被依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。

此外,去年5月1日生效的《信息安全技术个人信息安全规范》规定,收集个人信息时需要得到用户授权,而且收集的如果是个人敏感信息,还需明示同意。

而《规范》的公布,更加详细的规范了16大类型APP,可收集的个人信息类别及使用要求。落实了《网络安全法》第四十一条相关条例。

《规范》指出,APP收集信息遵循权责一致、目的明确、最少够用、选择同意、公开透明、确保安全6个原则。依据个人信息收集“最少够用”的原则,《规范》给出了16类APP实现基本业务功能可收集的必要信息范围。

比如,即时通讯社交类APP要实现基本业务功能,可收集的必要信息包括手机号码、账号信息、好友列表、好友信息、群列表。

但对收集的信息做出了相应要求:手机号码仅可用于用户注册、实名认证;账号信息仅用于标识即时通讯用户、保护账号信息安全和用户聊天交流;好友列表,仅用于建立和管理用户在即时通讯社交应用的联系人关系,应允许用户在即时通讯社交应用中手动添加好友,而不应强制读取用户的通讯录;好友信息仅用于向用户好友展示基本信息,或经本人同意后授权第三方平台登录使用;群列表则仅用于实现群组聊天功能。

资料来源:经济导报、每日经济新闻、北京晨报、中国青年网返回搜狐,查看更多

责任编辑:

声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。
谭丽平 尚法新闻 sd卡 人才教育联盟 鲁辉
阅读 ()
投诉
免费获取
今日搜狐热点
今日推荐