跨政府组织——环球隐私执行网络(GPEN)的一项针对1211个流行应用的调查显示,大多数的移动应用拥有太多的权限,而这些应用开发商却从不公开他们是如何收集用户个人信息的。
从全球26个隐私执法机构在19个国家中做的调查发现,大部分应用开发商不会透漏他们是如何收集和使用用户信息的。此外,三分之一的被测应用所要求的权限过多,并超出了它们提供的功能范围。
在此之前,提倡隐私保护者和安全专家提倡隐私保护者和安全专家就提到过移动应用拥有过多权限的问题,权限过多通常是移动应用使用基于广告收入模式(其中包括代码中捆绑广告框架)造成的结果。
为了准确地发送广告到目标客户,自动发送广告的广告库通常需要能够访问大量的用户数据和设备功能,其数量一般比主机应用访问的还要多。
然而,应用平台又加剧了这一问题。例如,iOS可以允许用户在升级之后取消应用对其个人数据的访问权限,但是安卓却并没有这种机制。安卓平台只为用户提供了两种选择,要么允许应用访问其个人数据,要么就完全不使用这个应用。
根据GPEN发表的研究结果,一些研究人员发现仅有不到三分之一的被测应用除了权限要求之外没有涉及更多的用户私人信息,而24%以上的应用则提供了一些私人信息,但并没有说明如何收集、使用和发布这些信息的。
加拿大隐私署(OPC)表示:“许多应用会向用户提供一个关于隐私协议的网页,但是该网页并不是专门为掌上设备设计的。同时,有些应用还可以连接到社交媒体页面,用户需要登录才能看到隐私协议。”
英国信息安全办公室(ICO)也做过相关的调查,并发表一份指导文件供移动应用开发者参考(+本站微信networkworldweixin),即开发者如何使用用户的私人信息,并征得用户的同意。
ICO指出,假设一个应用是以广告为主要来源,那么广告网络就是一个数据控制器,但是应用开发者有责任告知用户其个人数据将如何被收集、如何使用、被谁收集等。
ICO表示,即时通知是在数据处理之前提供给用户的重要信息,而且对于应用收集敏感的个人数据,如GPS定位非常有用。不过,用户可以通过选择特定发送时间段来避免过度通知。(王旋编译)