滬消保委評測39款App：神州租車監聽外撥電話，窮游讀取聯繫人

神州租車App可監控外撥電話，窮游App可讀取聯繫人，餓了么App可讀取通話記錄，百度糯米App安裝即獲取用戶12項個人信息授權……2019年3月27日，上海市消費者權益保護委員會通報網購平台、旅遊出行、生活服務等手機App涉及個人信息許可權評測結果。首次評測中，39款手機App僅14款敏感許可權與實際功能能夠相對應，剩餘25款均存在過度索取用戶個人信息許可權行為。

上海市消保委當天發布的一項調查顯示，僅有0.4%的消費者關注日曆許可權。對此，上海市消保委發出消費警示：日曆許可權給消費者帶來的可能性風險大於給消費者帶來的便利。

37家相關企業出席了此次新聞發布會，窮游及百度糯米缺席。

App信息安全問題受到越來越多關注。

2018年12月，中消協對100款App開展隱私政策情況開展調查。2019年1月25日，網信辦、工信部、公安部、市場監管總局四部門聯合發布《關於開展App違法違規收集使用個人信息專項治理的公告》，將針對App強制授權、過度索權、超範圍收集個人信息問題進行專項檢查。

網購類、社交類、旅遊類、生活類等手機App涉及用戶日常生活的各個方面，需獲取用戶較多個人信息完成相應功能。為此，上海市消保委聯合《中國消費者報》上海記者站委託北京捷興信源信息技術有限公司，於2019年1月對網購平台、旅遊出行、生活服務等39款手機用開展第三期手機App涉及個人信息許可權評測。

上海市消保委測試了39款手機應用。

本次評測主要從四個維度進行：一是App所使用的目標API級別，當目標API級別低於23時，安卓對於許可權會採用一攬子授權的模式，存在可規避系統安全機制的漏洞；二是App敏感許可權的數量，重點關注安卓系統中與個人信息密切相關的有29許可權的申請和使用；三是注敏感許可權的授權方式，是否存在一攬子授權的模式，如何向用戶提出授權請求；四是查看是否存在無實際功能對應用的許可權申請。

評測發現，有14款App敏感許可權與實際功能均能對應，剩餘25款手機App均存在過度索取用戶個人信息許可權行為。為推動相關問題的解決，上海市消保委與手機App企業進行技術溝通，相關企業也在排查後對存在的問題作出解釋和優化意見。

上海市消保委透露，在前期溝通確認中，有8款應用第一時間進行溝通，並通過刪除敏感許可權、升級版本等方式快速對存在的問題作出解釋和優化。

手機天貓、蘇寧易購等8款App第一時間完成優化。

3月23日之前，上海市消保委再次進行了測試，又有8款應用完成了改進。

1號店、噹噹等8款App在3月23日之前完成優化。

截至3月23日，仍有9款應用未能就其許可權和功能無法對應的問題進行改進，包括聚美（v7.951）、貝貝（v8.2.01）、窮游（v9.2.0）、TripAdvisor貓途鷹（v29.4.1神州租車（v6.4.4）、一嗨租車（v6.2.1）、餓了么（v8.13.1）、百度糯米（v8.4.7）、格瓦拉生活（v9.5.0），問題涉及發送簡訊、錄音、撥打電話、讀取聯繫人、「監控外撥電話，重新設置外撥電話的路徑」、接收訊息（簡訊）、讀取通話記錄等敏感許可權未找到對應功能及目標API級別低等。

截至3月23日，尚有聚美、貝貝等9款App未進行優化。

界面新聞記者注意到，窮游App可撥打用戶電話並讀取聯繫人，這兩項授權均無對應功能。神州租車可撥打電話、錄音以及監控外撥電話，重新設置外撥電話的路徑。

評測發現神州租車App存在3個過度索取授權問題。

餓了么App在第一次評測中涉及撥打電話以及添加或修改日曆活動，並在所有者不知情的情況下向邀請對象發送電子郵件，讀取日曆活動和詳情。在第二次測評中，餓了么App刪除了前述授權，但新增了讀取通話記錄授權。餓了么相關負責人在發布會上表示，已於3月22日推出新版App，移除了第二次測評中新發現的許可權問題。

在上海市消保委第一次評測中，百度糯米App由於目標API級別低，存在一攬子授權問題，安裝即獲取用戶12項個人信息，其中4項授權無對應功能。百度糯米相關負責人在發布會上回應稱，已於3月6日上線新版本App，移除了評測中發現的過度授權。「針對API級別過低的問題，我們將在4月推出新版本。」

本次評測發現，不少網購類App獲取了日曆許可權，而調查也表明，超過半數的消費者在使用日曆功能記錄工作和個人日常安排等信息。這些信息涉及個人信息、商業機密等，而消費者對日曆許可權的重視度非常低。

為此，上海市消保委通過上海市消保委、上海新消費微信公眾號、騰訊大申網開展了網路調查。

手機App獲取個人許可權問題得到關注。網路調查數據顯示，69.9%的消費者關注手機App獲取個人許可權問題。其中，通訊錄許可權最為關注，佔43.5%；26%的消費者關注電話、簡訊許可權。值得關注的是，僅有0.4%的消費者關注日曆許可權。

上海市消保委調查發現，僅0.4%的消費者關注日曆許可權。

手機日曆具有時間提醒、行程記錄等功能。網路調查顯示，52.5%的消費者用手機日曆功能記錄個人行程。其中，24.7%的消費者選擇記錄日常生活行程；18.5%的消費者記錄日常生活及工作等行程。

上海市消保委認為，日曆許可權給消費者帶來的可能性風險大於給消費者帶來的便利。

近五成消費者重視手機App涉及個人許可權問題。個人信息保護成為消費者關注的焦點。網路調查顯示，49.9%的消費者重視手機App涉及個人許可權問題。其中，33.7%的消費者「關注過，並越來越重視」；還有19.9%的消費者表示「不關注」。

上海市消保委認為，日曆許可權給消費者帶來的可能性風險大於給消費者帶來的便利，網購類平台使用日曆許可權給消費者帶來的場景可以用其他技術手段加以替代。據此，上海市消保委希望消費者和App開發者都能對日曆許可權加以重視。上海市消保委建議，如果消費者經常使用日曆記錄敏感事項，對App的日曆許可權應謹慎授權；App開發者如無十分必要，建議儘可能不使用手機日曆許可權。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！