7 月 27 日,國家互聯網信息辦公室發布 " 拍攝美化類 "App 個人信息收集情況測試報告。報告顯示,在測試的 4 種場景下,美圖秀秀等 5 款 App 上傳了 3 種類型個人信息,未發現 5 款 App 調用麥克風、通訊錄等其他權限。
有關分析認為,用戶在使用拍攝美化類 App 時,可能會向 App 暴露位置、通訊錄等個人信息,如果 App 對上述信息保管不當,可能被用於用戶行為監控、廣告推送等目的,甚至可能威脅人身安全。此外,收集用戶信息並非拍攝美化類 App 獨有,用戶可在手機係統設置中對 App 的權限進行管理,限製 App 對個人信息的訪問和獲取,以降低信息泄露的風險。
5 款 App 被測試
報告顯示,近期,中國網絡空間安全協會、國家計算機網絡應急技術處理協調中心對 " 拍攝美化類 " 公眾大量使用的部分 App 收集個人信息情況進行了測試。本次測試選取了 19 家應用商店累計下載量達到 1 億次的 " 拍攝美化類 "App,共計 5 款,包括美圖秀秀、Faceu 激萌、快影、無他相機、天天 P 圖。
在測試方法上,本次測試選取相同品牌、型號的手機終端,安裝相同版本安卓操作係統,分別部署 5 款 App,在相同網絡環境下進行同步操作。以完成一次拍攝及美化照片活動作為測試單元,包括啟動 App、拍攝照片、美化照片 3 種用戶使用場景,以及後台靜默應用場景。本次測試包括係統權限調用、個人信息上傳、網絡上傳流量 3 項內容。
測試發現,5 款 App 在 4 種場景下調用了位置、設備信息、應用列表、剪切板、相機 5 類係統權限,未發現調用麥克風、通訊錄等其他權限。同時,5 款 App 上傳了 3 種類型個人信息:①位置信息,包括經緯度;②唯一設備識別碼,包括 Android ID(安卓 ID)、OAID(開放匿名設備標識符)、手機 MAC 地址;③應用列表信息,包括手機上已安裝、新安裝和新卸載的應用信息。
其中,在啟動 App 場景中,個人信息上傳種類最多的為美圖秀秀(3 類),在拍攝照片場景中,個人信息上傳種類最多的為美圖秀秀(2 類),在美化照片場景中,個人信息上傳種類最多的為美圖秀秀和 Faceu 激萌(均為 1 類)。在後台靜默場景中,個人信息上傳種類最多的為美圖秀秀和 Faceu 激萌(均為 2 類)。
此外,5 款 App 在用戶完成一次拍攝及美化照片活動(啟動 App、拍攝照片、美化照片)時,上傳數據流量平均最多的為快影,約為 1462KB;平均最少的為無他相機,約為 188KB。
信息泄露隱憂
累計下載量過億的前述 5 款 App 或可稱作 " 拍攝美化類 "APP 中的主流,但測試並未涵蓋所有相關 App,涉及個人信息的風險仍然存在。例如,近日爆紅的妙鴨相機便因用戶隱私和數據安全引發過爭議。
此前,妙鴨相機的用戶協議內容顯示:" 您特此授權我方在全世界(包括元宇宙等虛擬空間)範圍內享有永久的、不可撤銷的、可轉讓的、可轉授權的、免費的和非獨家的許可,使得我方可以任何形式、任何媒體或技術(無論現在已知或以後開發)使用您的內容。"
不過,妙鴨相機在受到質疑後於 7 月 20 日發布《妙鴨相機用戶協議》更新說明,稱原協議內容有誤,已第一時間根據妙鴨的實際情況進行了修改。現用戶協議更正為 " 您所上傳的照片將僅用於本服務使用,我們僅提供圖像處理服務,不會提取識別信息,不會用於識別用途,服務完成後,係統將自動刪除上述信息,不予留存 "。另外,其官方微博在回複網友評論時提到,妙鴨相機即將上線注銷功能,用戶可以自主選定是否要清除自己在妙鴨的所有數據信息。
妙鴨相機事件反映出公眾在使用 " 拍攝美化類 "App 時存在的信息泄露隱憂。河南澤槿律師事務所主任付建向北京商報記者指出,用戶在使用拍攝美化類 App 時,用戶可能會為其敞開相機、相冊、位置、通訊錄等個人信息。這些信息可能會被 App 收集、存儲、使用和傳輸,從而可能會給用戶帶來信息泄露、隱私侵犯、詐騙等風險。深度科技研究院院長張孝榮也向北京商報記者指出,如果 App 對上述信息保管不當,那麽涉及到的位置信息被泄露可能導致用戶被定位到具體位置,個人安全受到威脅,設備信息和應用列表信息被泄露則可能被用於用戶行為監控、廣告推送等目的。
未來如何防範
App 會收集個人信息已非罕事。7 月 13 日,北京市委網信辦便會同國家互聯網應急中心北京分中心組織召開整改指導會,向 " 黃油相機 "" 今日水印相機 "" 閃送 "" 順豐同城急送 "" 大麥 "" 趕集直招 "" 億通行 "" 綠洲 "" 寶寶樹孕育 "" 齊魯人才 "10 家企業集中通報專項治理行動中檢查發現的 App 違規收集個人信息問題,逐一下達《整改通知書》,指導企業開展產品合規改造,要求限期整改。
" 收集用戶信息可說是個普遍現象,並非拍攝美化類 App 獨有,也無論其是免費還是收費的。" 張孝榮認為,所有的 App 都有類似問題,超級 App 收集隱私信息的問題更大。
事實上,我國各類文件對於相關行為也進行了規定和限製。例如,國家互聯網信息辦公室等四部門早在 2019 年便聯合印發了《App 違法違規收集使用個人信息行為認定方法》。付建也指出,APP 在收集信息時未經用戶同意、未明示收集個人信息的目的、未告知用戶個人信息的使用範圍、未采取必要的安全措施保護個人信息等,都可能涉及違法違規的情況,可能違反《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》等相關法律法規。
不過,回到用戶自身,張孝榮認為,用戶麵對信息泄露的隱憂,在自身方麵有一些措施可以采取。例如,仔細閱讀隱私政策和用戶協議,了解 APP 要收集哪些個人信息、在哪些情況下使用,在手機係統設置中對 App 的權限進行管理,限製 App 對個人信息的訪問和獲取,注意其他用戶的評價和反饋,了解是否存在個人信息泄露或濫用的情況,並定期檢查手機應用權限和個人信息的使用情況,對不必要的 App 或權限進行刪除和調整等。此外,聯係網信辦此次發布的測試結果,張孝榮建議,用戶也可使用知名、可信的 App,減少使用未知或者來源可疑的 App,盡量避免下載未經審核的 App。