金鸡坡财经网:有着最新最全的财经新闻,股票资讯。
当前位置:首页 > 产经 > 正文

APP索要权限不能任性越界

07-26 产经

  APP索要权限不能任性越界(调查)  

  近日,有网友发现,大众点评、航旅纵横等手机应用,在没有明确提示的情况下加入社交属性,令用户的各类信息暴露在好友甚至陌生人面前。此外,还有网友在使用某款手机时发现,打开部分APP会导致手机的摄像头升降,以及被提示正在录音。

  两个事件,将APP随意公开用户隐私和过度索取手机权限的问题再度推上舆论风口。如何管好越了界的APP,保护用户的隐私信息安全,是亟待解决的一道现实考题。

  用户变成“透明人”

  点评收藏信息未经提示随意公开

  觉得这个餐厅很好吃,去大众点评给个五星;被推荐了一个不错的酒店,在大众点评里点个收藏打算下月休假去体验……近日,通过微信登录大众点评的用户发现,自己的点评、收藏信息,在没有明确提示的情况下,被推送给了自己的微信好友。

  “当时使用微信登录大众点评,主要是为了获得5元奖励,也没有认真看相应的隐私协议。但没想到却是以自己变成‘透明人’为代价,真是不值得。”一名网友发帖抱怨。

  无独有偶。今年6月,航旅纵横的“虚拟客舱”功能,也被质疑泄露用户隐私信息。用户在值机选座后,点击其他已选座位,可查看到该座位乘客选择航空公司的偏好、常去的目的地等信息。此外,用户还可以给其他用户添加个性化标签,比如某用户就被贴上了“天秤座”“偏爱深航”“广东”“座位靠窗派”的标签。

  虽然大众点评与航旅纵横两款APP在被质疑后,均及时道歉并改进相关功能,但仍引发了手机网民对各类APP不经明确提示,随意公开用户个人信息的不满。“如果是分享给熟悉的好友也就罢了,万一这些敏感信息落在不法分子手里,后果不堪设想。”经常使用航旅纵横办理值机手续的陈先生说。

  今年5月1日,《信息安全技术个人信息安全规范》正式实施,对个人信息和个人敏感信息、个人信息的授权同意及明示同意做出明确规定,要求收集个人敏感信息时,应取得个人信息主体的明示同意。当个人信息主体拒绝时,可不提供相应的附加功能,但不应以此为理由停止提供核心业务功能,并应保障相应的服务质量。

  中国政法大学传播法研究中心副主任朱巍认为,个人信息的权利属于用户自己,任何手机应用收集和使用个人信息应先取得用户本人同意。同时,APP的隐私协议不可要求用户一概性授权使用个人信息,必须明确向用户告知收集个人信息的具体范围,如何使用收集到的信息,以及在保护用户信息方面采取的相应措施等。

  强索权限存疑点

  3家手机地图取消无关隐私获取

  近日,一款新型手机火了。用户发现在该款手机上打开QQ浏览器APP,手机的摄像头会有升降的动作。此外,在未对手机进行任何操作时,会被提示百度输入法正在录音。随后,腾讯和百度分别发出声明,表示摄像头的升降是为了获取镜头参数,正在录音的提示是预热麦克风导致的,并未通过拍摄和录音来采集用户隐私。

  虽然是虚惊一场,但用户对APP索取手机摄像头、麦克风、定位、通讯录等权限的使用目的依然持怀疑态度。“如果说外卖APP要求获得用户的位置权限是为了推荐周边餐厅和送餐方便,那么它同时要求获得摄像头和通讯录权限又是为了什么呢?”一位网友在微博上这样写道。也有网友在尝试关闭某视频APP读取手机通讯录、短信等功能后发现,该APP依然能够正常打开使用,因此说明这些默认获取的权限并非必需。

  智能手机时代,APP要正常使用,确实需要用到手机里的一些权限,但据DCCI互联网数据中心与腾讯社会研究中心联合发布的《网络隐私安全及网络欺诈行为研究分析报告(2017年一季度)》显示,基于对800多个安卓手机应用隐私权限检测,发现获取用户手机隐私权限的现象较为普遍,占比高达96.6%,其中25.3%存在越界获取用户手机隐私权限的情况,目前已成为网络诈骗的重要源头。

  《移动互联网应用程序信息服务管理规定》指出,依法保障用户在安装或使用过程中的知情权和选择权,未向用户明示并经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能,不得开启与服务无关的功能。

  今年7月,上海市消保委发布5款地图类手机APP涉及个人信息权限评测结果,多款地图类APP存在申请的敏感权限与实际功能不完全对应、缺少让消费者“一次性授权”等问题。随后,百度、高德、腾讯3家手机地图类APP,决定取消手机联系人、发送短信、获取通讯录等与地图应用无关的个人隐私信息获取。

  朱巍建议,用户在下载APP时,应选择正规渠道。此外,还应了解所下载APP的权限行为,及时关闭不必要的授权。(本报记者 董丝雨)
相关拓展:权限管理场景举例

企业IT管理员一般都能为系统定义角色,给用户分配角色。这就是最常见的基于角色访问控制。场景举例:

1,给张三赋予“人力资源经理”角色,“人力资源经理”具有“查询员工”、“添加员工”、“修改员工”和“删除员工”权限。此时张三能够进入系统,则可以进行这些操作;

2,去掉李四的“人力资源经理”角色,此时李四就不能够进入系统进行这些操作了。

以上举例,局限于功能访问权限。还有一些更加丰富、更加细腻的权限管理。比如:

1,因为张三是北京分公司的“人力资源经理”,所以他能够也只能够管理北京分公司员工和北京分公司下属的子公司(海淀子公司、朝阳子公司、西城子公司、东城子公司等)的员工;

2,因为王五是海淀子公司的“人力资源经理”,所以他能够也只能够管理海淀子公司的员工;

3,普通审查员审查财务数据的权限是:在零售行业审核最高限额是¥50万,在钢铁行业最高限额是¥1000万;高级审查员不受该限额限制;

4,ATM取款每次取款额不能超过¥5000元,每天取款总额不能超过¥20000元。

这些权限管理和数据(可以统称为资源)直接相关,又称为数据级权限管理、细粒度权限管理或者内容权限管理。

版权保护: 本文由 首页 原创,转载请保留链接: http://www.jinjipo.com/chanjing/2018/0726/22507.html

友情推荐:股票配资 上海期货配资 股票配资门户 技术