手机应用的不服从被对“日常生活”的追求引入歧途
2020-06-16 11:29:00来源:科技日报
“点击手机网页,然后跳转到应用程序”,“不要调用应用程序,而是自己启动后台运行。”调用某个应用程序后,请自行调用并激活许多其他应用程序.一些手机应用程序继续“任性和不听话”,这不仅让用户束手无策,还损害了用户的权益,造成了安全隐患。
为什么手机应用如此“反复无常”?它会增加什么风险?如何堵住漏洞?
App很“任性”,完全管不住
“现在用QQ浏览器打开腾讯。点击一个链接,腾讯新闻应用就会自动弹出。”习惯于用手机浏览器浏览网页的深圳居民小张说,这导致了更复杂的操作和被迫使用网页的感觉。
记者尝试了其他几种浏览器,发现存在这样的情况。如果你尝试通过浏览器搜索百度,有时你会自动启动百度应用;通过UC浏览器打开淘宝,有时在手机上跳转到淘宝应用。
一家知名互联网公司的首席执行官曾公开表示,他选择卸载百度应用是因为对强制跳转不满。
除了“强制跳转启动”,记者发现安卓手机上的许多应用都有频繁的自启动、关联启动、访问和阅读手机用户的信息。
如网易电子邮件、QQ等常用工具,应用程序自开通以来几乎每天的次数都在100次左右;滴滴出行应用将在启动后一分钟内尝试启动9个其他应用。头牛旅行应用程序试图在启动后一分钟内启动另外15个在后台运行的应用程序。一些办公、社交和娱乐应用程序会在启动后的短时间内频繁访问手机照片和文件,其中许多会超过一万次,而另一些会经常阅读用户的地址簿和其他信息。
此外,记者还发现,在格式化的隐私政策或相关规则中,应用程序“隐藏”了授权“跳转开始”和“关联开始”的条款,以诱使或迫使用户同意。
无利不起早,“馋”的是利益
钱新科技集团有限公司的一名工程师向记者透露,在安卓系统中,通过给应用程序添加特定的代码,可以强制从网页跳转到本地应用程序。“有些人点击链接自动跳转,有些人点击并多次使用它调用后端应用程序,让它接管用户在网页上操作的原始功能。”
工程师说“自启动”和“关联启动”的原理与此类似。开发人员向系统中添加特定的代码,以使应用程序尽可能“被使用”和“活跃”。"如果用户不使用应用程序,他们会让应用程序互相使用."
为何如此?记者从一些互联网商业领袖那里了解到,应用产品最重要的评估指标是“活跃的日常用户”。应用越多,“日常生活”数据越好,商业价值越高,盈利能力也越强。“为了抢占市场,没有人会放弃任何可以提高应用日常生活的方法。”一位企业负责人说。
此外,一名软件工程师向记者透露,在首次安装、打开或使用该应用程序的过程中,授予的大部分权限是“一次性授权和长期使用”,这意味着一旦该应用程序启用,相关的用户信息,如位置、地址簿、安装应用程序等。可以随时收集。目前,这些信息被广泛用于制作用户肖像、行为标签等方面,具有很大的商业价值。“一些开发人员让应用变得如此“勤奋”和“贪婪”是手机中的用户信息。”
中国社会科学院法律研究所副所长周汉华认为,这种行为导致收集和使用超出用户预期的个人信息的明显技术风险,也大大增加了法律风险。
专家表示,《中华人民共和国网络安全法》第41条规定,网络运营商不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规和双方约定收集或使用个人信息。工业和信息化部《移动智能终端应用软件预置和分发管理暂行规定》第5条要求“未经用户明确同意,不得实施用户个人信息的收集、使用和应用软件的开放”;《App违法违规收集使用个人信息行为认定方法》和相关国家技术标准也要求个人信息的收集应满足最低必要原则。自动收集个人信息的频率应是实现产品或服务业务功能所必需的最低频率,收集范围不应随意扩大。
堵技术漏洞,强法律保障
针对手机应用过度采集用户信息和用户隐私泄露隐患等问题,今年5月中旬,工业和信息化部公布了一批违反用户行为的应用,并责令整改。
北京师范大学国际网络法治中心高级研究员臧磊表示,允许通过自启动和关联启动的方式在操作系统中唤醒应用。其初衷是增强诸如移动电话和售票机等电子设备覆盖和适应各种应用环境的能力,并方便用户在各种应用之间切换。但是,如果存在通过授权等机制收集个人信息的行为,并且隐私政策等规则中没有规定具体目的,则收集个人信息的频率被怀疑超出了业务职能的实际需求。要解决这些问题,我们不仅要堵塞技术漏洞,还要加强法律保护
钱新集团的工程师认为安卓系统有太多的权限,不同的开发者可以修改安卓系统的底层代码。这是用户无法控制“多变”应用的一个重要原因。然而,一些应用市场没有严格审查应用的安全性,从而损害了用户的利益。
暨南大学网络安全学院院长翁健等专家建议,“是否存在获取超出范围的用户信息的风险”应被列为应用安全审查的核心标准之一,那些达不到安全标准的不应进入市场。
北京史静律师事务所律师孟博表示,应用提供的格式化用户协议或隐私政策是否具有法律效力,取决于网络运营商是否履行了法律要求的合理提示义务。如果存在加重用户责任和通过格式条款排除用户主要权利等情况,这些条款无效。
此外,臧磊等专家还提醒,目前很多手机操作系统都可以监控应用的运行。用户应提高信息安全意识,并定期检查应用程序的运行情况。