苏宁易购后台调用位置权限上千次！报告实测十款头部购物应用

　　2月2日，中国网络空间安全协会、国家计算机网络应急技术处理协调中心联合发布《网上购物类App个人信息收集情况测试报告》，对累计下载量最高的10款网上购物类App收集个人信息情况进行测试。
　　图源自中国网络空间安全协会官网
　　报告显示，App在后台静默时，苏宁易购App（9。5。62）调用位置权限高达1199次。而在上传个人信息方面，拼多多App（6。20。0）在启动、搜索、后台静默三中场景下都上传了最多类型的个人信息，包括唯一识别码、位置信息、剪切板信息、应用列表信息等。
　　南都记者梳理发现，此前监管部门通报App违法违规收集使用个人信息行为时仅披露大概类型，而此次报告披露得较为具体。有专家表示，报告是更柔性的通知方式，其意义更多是列数据、摆事实，并不能完整折射App的个人信息保护水平。不过，企业对报告的结果也会非常重视。
　　后台静默时，苏宁易购调用位置权限上千次
　　2月2日，中国网络空间安全协会、国家计算机网络应急技术处理协调中心联合发布《网上购物类App个人信息收集情况测试报告》（下称《报告》）。
　　《报告》选取了淘宝、京东、拼多多等累计下载量最高的10款网上购物类App作为测试对象，以完成一次网上购物活动作为测试单元，包括启动App、搜索商品、购物下单三种用户使用场景，以及后台静默应用场景。测试内容为系统权限调用、个人信息上传、网络上传流量三项。
　　测试结果显示，在系统权限调用方面，10款App在四种场景下调用了位置、设备信息、剪切板、应用列表四类系统权限。具体而言，在启动App场景中，拼多多App调用系统权限种类最多，包括位置、设备信息、剪切板、应用列表四项。苏宁易购App在启动App、搜索商品、购物下单场景中均为调用系统权限次数最多的App。在后台静默场景中，苏宁易购App调用位置权限1199次。
　　图源自中国网络空间安全协会官网
　　2021年发布的推荐性国家标准《信息安全技术移动互联网应用程序（App）个人信息安全测评规范》（征求意见稿）提出，地图导航、位置追踪等实时定位场景，收集地理位置的合理频率是持续读取（每秒1次）；展示周边可用服务等场景下，应周期性读取（每30秒1次）；若是识别当前地址等场景，则只应一次性读取。
　　南都发布的《个人信息安全年度报告（2022）》曾对150款App自动采集个人信息的频率进行实测，重点关注了AndroidID、剪切板、精确地理位置等9项个人信息的读取情况。结果发现，其中116款自动采集个人信息频率超出了实现其业务功能所必需的最低频率，占比近八成。
　　南都实测：超频率采集个人信息的App数量分布
　　具体而言，有106款App在一定时限内读取AndroidID超出了实现业务功能所必需的最低频率，74款App超频率读取了MAC地址，如乐视视频App（10。5。3）平均每分钟读取约38次。频繁读取设备IP的App也有65款。
　　针对部分App被测出调用系统权限上千次的情况，北京汉华飞天信安科技有限公司总经理彭根推测，可能是由于代码在某个模块形成了循环，或使用第三方代码不规范等原因。本来只需收集一次就可以了，但那个模块收集了很多次，形成了一个循环。
　　不同App收集个人信息情况差异较大
　　在个人信息上传情况方面，10款App上传了六类个人信息，包括位置、唯一设备识别码、剪切板内容、应用列表、购物和登录信息。在购物下单场景中，个人信息上传种类最多的为淘宝、京东、苏宁易购App，其分别在完成一次购物下单过程中上传了四类个人信息。
　　值得注意的是，在后台静默场景中，不同App上传的个人信息种类差别较大，如拼多多App上传了唯一设备识别码、剪切板内容、应用列表信息三类，手机天猫App仅上传了位置信息。
　　图源自中国网络空间安全协会官网
　　根据测试结果，不同App的个人信息收集情况可能存在较大差异。为何同一类型且同为头部的App会出现这种情况？
　　中国网络安全审查技术与认证中心高级工程师樊华认为，这与App的规模大小、涉及业务范围以及风险控制维度等因素有关。比如淘宝是购物类App中最早进入大众视野的，但现在其业务范围不仅包括购物，还能提供旅行民宿、二手交易等生活服务；而唯品会等购物类App暂时未开拓这些功能。如果二者的个人信息收集情况存在差异是正常的。
　　彭根也有类似看法。他指出，不同App调用哪些系统权限，上传哪些个人信息可能受到多方面影响，出现这种情况并不奇怪。比如，此次被测的头部App大多各自由多个开发小组共同研发，而不同小组研发的模块之间都是低耦合的情况，还可能引入第三方模块，他们都有可能在某使用场景或静默状态下收集和发送个人信息，App有意识地频繁收集或传输个人信息的可能性不大。
　　该测评还包括10款App的网络上传流量情况。结果显示，在完成一次网上购物活动时，平均上传数据流量最多的苏宁易购App比最少的荣耀亲选App高出近五倍。在App后台静默12小时的情况下，平均上传数据流量最多的是手机天猫，约为92KB，最少的是唯品会，约为1。4KB。
　　后台静默12小时平均上传数据流量图源自中国网络空间安全协会官网
　　网络上传流量的多少意味着什么？樊华表示，由于当下大部分App采用加密的方式传输数据，测试员很难解析传输的具体内容，因此只能通过测试统计静默状态等特殊场景下的上传数据流量，分析App从用户终端中获取的数据体量，进而从侧面反映其收集个人信息的情况。
　　以报告形式通知提高企业接受度
　　事实上，监管部门对不合规App进行通报已持续数年，该手段一直是整治App、监督互联网企业的有效办法。南都去年发布的《个人信息安全年度报告（2022）》显示，去年共有635款违法违规App（包含SDK）因个人信息相关问题被工信部、国家网信办、公安部通报。
　　南都记者注意到，监管部门通报时，披露App存在的问题时通常使用较为笼统的概括性语言，如违规收集个人信息超范围收集个人信息等。此次《报告》针对App行为给出了详细数据，为通报具体违规问题提供了可能。结合报告发布方的官方背景，是否意味着监管模式有所改变？
　　樊华直言，《报告》更偏向于技术类分析，与监管部门的正式通报是有区别的，不涉及App是否违规的判定。随着测试的深入，我们发现由于实现某些App功能的技术方法和开发方案不同，个人信息收集行为无法按照一个固定标准来判断，很难仅以一种技术检测结果来判断App是否违规。
　　她表示，《报告》的意义更多是列数据、摆事实，并不能完整折射App的个人信息保护水平，其积极意义在于提高用户透明度，同时促使企业同行业对比、反省、整改。这种报告的形式虽然与之前的通报相比，强制力有限，对企业而言是更柔性的通知方式。由于近年来这些头部互联网企业对个人信息保护和数据安全都十分重视，企业对报告的结果也会非常重视。
　　彭根则指出，如果将问题细节都公布出来，所有人都会知道该App的弱点，因此公开通报时不能将问题披露得太细。此外，尽管通报中只披露了粗略的违规情况，但通知每个App开发商时会有具体细节，从而督促其实现整改。
　　采写：南都记者樊文扬