3月14日,中国网络空间安全商会、国家计算机网络应急技术协调中心联合发布了《“地图导航”App个人信息采集检测报告(以下简称“地图导航”报告》) 《浏览器》App个人信息收集测试报告(以下简称《浏览器》报告)对上述两类被公众广泛使用的部分应用程序的个人信息收集情况进行了测试。
南都记者梳理发现,这是自2月首次发布《“网购”App个人信息收集检测报告》以来,上述两家机构发布的第二份同类报告。 测试对象和测试方法的选择标准也类似。 据《地图导航》报道,当App在后台安静时,腾讯地图App调用位置权限高达281次360软件管理器官方下载,平均上传数据流量约为7830KB。
后台安静时,腾讯地图调用位置权限281次
3月14日,中国网络空间安全商会、国家计算机网络应急响应技术处理协调中心联合发布了《“地图导航”类APP个人信息采集检测报告》、《“地图导航”APP个人信息采集检测报告》。浏览器“应用程序”。 报告”。
《地图导航》报告选取该类型下载量最大的三个App高德地图、百度地图、腾讯地图作为测试对象,以完成一次地图导航活动为测试单元,包括启动App、搜索位置、点击导航三种用户使用场景,以及后台安静的应用场景。 测试内容包括系统权限调用、个人信息上传、网络上传流量三项。
测试结果显示,在调用系统权限方面,三款App在上述四种场景中分别调用了位置、设备信息、麦克风、剪贴板、应用列表五类系统权限。 具体来说,在App启动场景中,高德地图和百度地图是调用系统权限最多的,都是位置权限、设备信息权限、剪贴板权限; 而百度地图是调用系统权限次数最多的,127次,其中调用设备信息权限100次。
启动App场景调用系统权限,图片来源网商会官网
在位置搜索场景中,通过文本输入搜索时,腾讯地图访问位置权限123次,百度地图访问设备信息权限98次; 通过语音交互搜索时,百度地图调用位置权限、设备信息权限、麦克风权限、应用列表权限四类。 腾讯地图调用位置权限216次,最多。
在点击导航场景下,腾讯地图调用了62次位置权限,低于其他两个。 在后台安静的场景中,三款App均调用了位置权限和应用列表权限,其中腾讯地图调用位置权限281次。
点击导航场景调用系统权限,图片来源网商会官网
2021年发布的推荐性国家标准《信息安全技术联通互联网应用(App)个人信息安全评价规范》(征求意见稿)提出地图导航、位置追踪等实时定位场景中地理位置采集的合理频率连续读取(每秒一次); 周期性(每30秒一次)在展示周边可用服务等场景下; 在识别当前地址等场景下只读一次。
评估还包括上传个人信息。 数据显示,三款APP上传了五类个人信息,包括位置信息、唯一设备识别码、剪贴板内容信息、应用列表信息、位置信息。 App启动场景中,高德地图和百度地图上传的个人信息种类最多,包括位置信息、设备唯一识别码、剪贴板内容信息等。 在安静的后台场景中,高德地图上传了最多种类的个人信息360软件管理器官方下载,包括位置信息、唯一设备识别码、应用列表信息。
值得一提的是,在测试三款App的网络上传流量时发现,当用户分别通过文字输入和语音交互完成一次地图导航活动,且后台安静12小时后,平均上传数据流量是最大的。 都是腾讯地图。 例如,三款App后台静默12小时后,腾讯地图平均上传数据流量约为7830KB,高德地图约为1363KB。
后台安静12小时平均上传数据流量,图片来源网商会官网
南都发布的《个人信息安全年度报告(2022)》统计了150款APP手动收集个人信息的频次,重点对Android ID、剪贴板、精准地理位置等9项个人信息进行读取。 调查发现,其中116家人工收集个人信息的频率超过实现业务功能所需的最低频率,占比接近80%。
下载一次文件,QQ浏览器上传数据流量约1994KB
《浏览器》报告选取了华为浏览器、小米浏览器、UC浏览器、QQ浏览器等九款累计下载量最高的“浏览器”应用作为测试对象。 以完成一次互联网信息浏览活动为测试单元,包括启动App、搜索信息、访问信息三种用户使用场景,以及后台安静的应用场景。 测试内容与《地图导航类》报告相同。
9款APP基本情况,图片来源网商会官网
测试结果显示,在调用系统权限方面,9个App分别在四种场景下调用位置、设备信息、剪贴板、应用列表、相册五类系统权限。 悟空浏览器在app场景调用最多的系统权限类型,包括五种; UC浏览器调用了最多的系统权限,其中位置权限68次,设备信息权限18次,相册权限2次,共88次。
启动App场景调用系统权限,图片来源网商会官网
在搜索信息场景中,魅族浏览器和搜狗浏览器快捷版调用系统权限的类型最多,均为3种; 魅族浏览器调用系统权限最多,其中位置权限4次,设备信息权限7次,相册权限1次。 此外,悟空浏览器是信息访问场景中通过浏览器打开网站和下载文件时调用系统权限最多的浏览器。
后台安静场景中的九个应用程序呢? 数据显示,UC浏览器、夸克浏览器、360浏览器、悟空浏览器均调用了2种系统权限,其中360浏览器调用位置权限4次,应用列表权限5次。 同时,华为浏览器和傲游浏览器在该场景下并未调用权限。
《浏览器分类》报告显示,9款App在App中上传了位置信息、唯一设备识别码、应用列表信息、用户截屏操作信息四类个人信息。 在App启动场景中,UC浏览器上传了以上四类个人信息,而傲游浏览器则没有上传个人信息。 在信息搜索场景,悟空浏览器上传了位置信息和唯一设备识别码两类个人信息,而夸克和火狐浏览器则没有。
经过观察发现,在网络上传流量情况下,魅族浏览器在用户分别完成一次网站浏览活动和一次文件下载活动时的平均上传数据流量最少。 例如,当用户完成一次文件下载活动时,平均上传数据流量最大的QQ浏览器约为1994KB,魅族浏览器约为152KB。 后台静默12小时后,UC浏览器平均上传数据流量约为2506KB,华为浏览器约为87KB。
一次文件下载活动的平均上传数据流量,图片来源网信商会官网
南都记者梳理发现,两份报告是继中国网络空间安全商会、国家计算机网络应急技术协调中心首次联合发布“网购”App个人信息采集检测报告后再次发布的。去年二月份。 相似的测试结果。 三份报告的测试对象选择标准和测试方法也比较相似。
在谈到“网购”App测试报告时,中国互联网安全审查技术与认证中心中级工程师范华强调,这种报告更偏向于技术分析,这与即将发布的通知不同。监管部门,不涉及应用程序。 判断是否违法。 报告的意义更多是“列举数据、呈现事实”,不能全面反映APP的个人信息保护水平。 其积极意义在于提高用户透明度,同时使企业能够与同行业进行比较、反思和整改。
“与以往的通报相比,这种通报方式的强制力有限,对企业来说是一种更为灵活的通报形式。因为近年来,这类有大脑的互联网企业非常重视个人信息保护和数据安全,企业将还要特别注意报告的结果。”
撰文:南都记者 范文洋
