3月14日,中国网络空间安全协会、国家计算机网络应急技术处理协调中心联合发布《“地图导航类”App个人信息收集情况测试报告》(下称《“地图导航类”报告》)和《“浏览器类”App个人信息收集情况测试报告》(下称《“浏览器类”报告》),分别对上述两类公众大量使用的部分App收集个人信息情况进行测试。
南都记者梳理发现,这是2月上述两机构首次发布《“网上购物类”App个人信息收集情况测试报告》以来再次发布类似报告,测试对象选取标准、测试方法也相似。《“地图导航类”报告》数据显示,App在后台静默时,腾讯地图App调用位置权限高达281次,上传数据流量平均约为7830KB。
后台静默时,腾讯地图调用位置权限281次
3月14日,中国网络空间安全协会、国家计算机网络应急技术处理协调中心联合发布《“地图导航类”App个人信息收集情况测试报告》和《“浏览器类”App个人信息收集情况测试报告》。
《“地图导航类”报告》选取了该类型下载量最高的高德地图、百度地图、腾讯地图三款App作为测试对象,以完成一次地图导航活动作为测试单元,包括启动App、搜索地点、点击导航三种用户使用场景,以及后台静默应用场景。测试内容包括系统权限调用、个人信息上传、网络上传流量三项。
测试结果显示,在系统权限调用方面,三款App在上述四种场景下调用了位置、设备信息、麦克风、剪切板、应用列表五类系统权限。具体而言,在启动App场景中,调用系统权限种类最多的为高德地图和百度地图,均为位置权限、设备信息权限、剪切板权限三类;而调用系统权限次数最多的是百度地图,为127次,其中调用设备信息权限100次。
启动App场景调用系统权限情况,图源网空协会官网
在搜索地点场景中,通过文字输入方式进行搜索时,腾讯地图调取位置权限123次,百度地图调取设备信息权限98次;通过语音交互方式进行搜索时,百度地图调用了位置权限、设备信息权限、麦克风权限、应用列表权限四类,腾讯地图调用位置权限216次,次数最多。
在点击导航场景中,腾讯地图调用位置权限62次,高于其他二者。在后台静默场景中,三款App均调用位置权限、应用列表权限,其中腾讯地图调用位置权限281次。
点击导航场景调用系统权限情况,图源网空协会官网
2021年发布的推荐性国家标准《信息安全技术 移动互联网应用程序(App)个人信息安全测评规范》(征求意见稿)提出,地图导航、位置追踪等实时定位场景,收集地理位置的合理频率是持续读取(每秒1次);展示周边可用服务等场景下,应周期性读取(每30秒1次);若是识别当前地址等场景,则只应一次性读取。
此次测评还包括个人信息上传情况。数据显示,三款App上传了五种类型个人信息,包括位置信息、唯一设备识别码、剪切板内容信息、应用列表信息、地点信息。在启动App场景中,高德地图、百度地图上传个人信息种类最多,均包括位置信息、唯一设备识别码和剪切板内容信息。在后台静默场景中,上传个人信息种类最多的是高德地图,包括位置信息、唯一设备识别码和应用列表信息。
值得一提的是,测试三款App网络上传流量情况时发现,在用户分别通过文字输入、语音交互方式完成一次地图导航活动,以及后台静默12小时三类场景下,上传数据流量平均最多的均为腾讯地图。比如,当三款App后台静默12小时,腾讯地图上传数据流量平均约为7830KB,而高德地图约为1363KB。
展开全文
后台静默12小时平均上传数据流量,图源网空协会官网
南都发布的《个人信息安全年度报告(2022)》曾对150款App自动采集个人信息的频率进行实测,重点关注了Android ID、剪切板、精确地理位置等9项个人信息的读取情况。结果发现,其中116款自动采集个人信息频率超出了实现其业务功能所必需的最低频率,占比近八成。
下载一次文件,QQ浏览器上传数据流量约1994KB
《“浏览器类”报告》选取了华为浏览器、小米浏览器、UC浏览器、QQ浏览器等九款累计下载量最高的“浏览器类”App作为测试对象。以完成一次互联网信息浏览活动作为测试单元,包括启动App、搜索信息、访问信息三种用户使用场景,以及后台静默应用场景。测试内容与《“地图导航类”报告》相同。
9款App基本情况,图源网空协会官网
测试结果显示,在系统权限调用方面,九款App在四种场景下调用了位置、设备信息、剪切板、应用列表、相册五类系统权限。悟空浏览器在启动App场景中调用系统权限种类最多,为五类;UC浏览器调用系统权限次数最多,包括位置权限68次,设备信息权限18次,相册权限2次,共计88次。
启动App场景调用系统权限情况,图源网空协会官网
在搜索信息场景中,调用系统权限种类最多的为小米浏览器和搜狗浏览器极速版,均为3类;调用系统权限次数最多的为小米浏览器,包括位置权限4次,设备信息权限7次,相册权限1次。另外,悟空浏览器分别为访问信息场景中,通过浏览器打开网站、下载文件时调用系统权限次数最多的浏览器。
后台静默场景中九款App的情况如何?数据显示,UC浏览器、夸克、360浏览器、悟空浏览器四款均调用2类系统权限,其中360浏览器调用位置权限4次,应用列表权限5次。同时,华为浏览器,火狐浏览器在该场景下未调用权限。
《“浏览器类”报告》显示,9款App上传了位置信息、唯一设备识别码、应用列表信息、用户在App内的截图操作信息四类个人信息。在启动App场景中,UC浏览器上传了上述四类个人信息,火狐浏览器未上传个人信息。在搜索信息场景中,悟空浏览器上传了位置信息、唯一在设备识别码两类个人信息,夸克、火狐浏览器则未上传。
经观察发现,在网络上传流量情况中,小米浏览器分别为在用户完成一次网站浏览活动和文件下载活动场景中上传数据流量平均最少。如在用户完成一次文件下载活动时,上传数据流量平均最多的QQ浏览器约为1994KB,小米浏览器约为152KB。后台静默12小时后,UC浏览器上传数据流量平均约为2506KB,华为浏览器约为87KB。
完成一次文件下载活动平均上传的数据流量,图源网空协会官网
南都记者梳理发现,此次两份报告是今年2月中国网络空间安全协会、国家计算机网络应急技术处理协调中心首次联合发布《“网上购物类”App个人信息收集情况测试报告》后再次发布类似测试结果。三份报告的测试对象选取标准、测试方法等也较为相似。
中国网络安全审查技术与认证中心高级工程师樊华在谈及“网上购物类”App测试报告时曾指出,此类报告更偏向于技术类分析,与监管部门的正式通报有区别,不涉及App是否违规的判定。报告的意义更多是“列数据、摆事实”,并不能完整折射App的个人信息保护水平,其积极意义在于提高用户透明度,同时促使企业同行业对比、反省、整改。
“这种报告的形式虽然与之前的通报相比,强制力有限,对企业而言是更柔性的通知方式。由于近年来这些头部互联网企业对个人信息保护和数据安全都十分重视,企业对报告的结果也会非常重视。”
采写:南都记者樊文扬