美颜背后的信息隐忧 “拍摄美化类”App安全吗

2023-07-28 27014阅读

7月27日,国家互联网信息办公室发布“拍摄美化类”App个人信息收集情况测试报告。报告显示,在测试的4种场景下,美图秀秀等5款App上传了3种类型个人信息,未发现5款App调用麦克风、通讯录等其他权限。

有关分析认为,用户在使用拍摄美化类App时,可能会向App暴露位置、通讯录等个人信息,如果App对上述信息保管不当,可能被用于用户行为监控、广告推送等目的,甚至可能威胁人身安全。此外,收集用户信息并非拍摄美化类App独有,用户可在手机系统设置中对App的权限进行管理,限制App对个人信息的访问和获取,以降低信息泄露的风险。

5款App被测试

报告显示,近期,中国网络空间安全协会、国家计算机网络应急技术处理协调中心对“拍摄美化类”公众大量使用的部分App收集个人信息情况进行了测试。本次测试选取了19家应用商店累计下载量达到1亿次的“拍摄美化类”App,共计5款,包括美图秀秀、Faceu激萌、快影、无他相机、天天P图。

在测试方法上,本次测试选取相同品牌、型号的手机终端,安装相同版本安卓操作系统,分别部署5款App,在相同网络环境下进行同步操作。以完成一次拍摄及美化照片活动作为测试单元,包括启动App、拍摄照片、美化照片3种用户使用场景,以及后台静默应用场景。本次测试包括系统权限调用、个人信息上传、网络上传流量3项内容。

测试发现,5款App在4种场景下调用了位置、设备信息、应用列表、剪切板、相机5类系统权限,未发现调用麦克风、通讯录等其他权限。同时,5款App上传了3种类型个人信息:①位置信息,包括经纬度;②唯一设备识别码,包括Android ID(安卓ID)、OAID(开放匿名设备标识符)、手机MAC地址;③应用列表信息,包括手机上已安装、新安装和新卸载的应用信息。

其中,在启动App场景中,个人信息上传种类最多的为美图秀秀(3类),在拍摄照片场景中,个人信息上传种类最多的为美图秀秀(2类),在美化照片场景中,个人信息上传种类最多的为美图秀秀和Faceu激萌(均为1类)。在后台静默场景中,个人信息上传种类最多的为美图秀秀和Faceu激萌(均为2类)。

此外,5款App在用户完成一次拍摄及美化照片活动(启动App、拍摄照片、美化照片)时,上传数据流量平均最多的为快影,约为1462KB;平均最少的为无他相机,约为188KB。

信息泄露隐忧

累计下载量过亿的前述5款App或可称作“拍摄美化类”APP中的主流,但测试并未涵盖所有相关App,涉及个人信息的风险仍然存在。例如,近日爆红的妙鸭相机便因用户隐私和数据安全引发过争议。

此前,妙鸭相机的用户协议内容显示:“您特此授权我方在全世界(包括元宇宙等虚拟空间)范围内享有永久的、不可撤销的、可转让的、可转授权的、免费的和非独家的许可,使得我方可以任何形式、任何媒体或技术(无论现在已知或以后开发)使用您的内容。”

不过,妙鸭相机在受到质疑后于7月20日发布《妙鸭相机用户协议》更新说明,称原协议内容有误,已第一时间根据妙鸭的实际情况进行了修改。现用户协议更正为“您所上传的照片将仅用于本服务使用,我们仅提供图像处理服务,不会提取识别信息,不会用于识别用途,服务完成后,系统将自动删除上述信息,不予留存”。另外,其官方微博在回复网友评论时提到,妙鸭相机即将上线注销功能,用户可以自主选定是否要清除自己在妙鸭的所有数据信息。

妙鸭相机事件反映出公众在使用“拍摄美化类”App时存在的信息泄露隐忧。河南泽槿律师事务所主任付建向北京商报记者指出,用户在使用拍摄美化类App时,用户可能会为其敞开相机、相册、位置、通讯录等个人信息。这些信息可能会被App收集、存储、使用和传输,从而可能会给用户带来信息泄露、隐私侵犯、诈骗等风险。深度科技研究院院长张孝荣也向北京商报记者指出,如果App对上述信息保管不当,那么涉及到的位置信息被泄露可能导致用户被定位到具体位置,个人安全受到威胁,设备信息和应用列表信息被泄露则可能被用于用户行为监控、广告推送等目的。

未来如何防范

App会收集个人信息已非罕事。7月13日,北京市委网信办便会同国家互联网应急中心北京分中心组织召开整改指导会,向“黄油相机”“今日水印相机”“闪送”“顺丰同城急送”“大麦”“赶集直招”“亿通行”“绿洲”“宝宝树孕育”“齐鲁人才”10家企业集中通报专项治理行动中检查发现的App违规收集个人信息问题,逐一下达《整改通知书》,指导企业开展产品合规改造,要求限期整改。

美颜背后的信息隐忧 “拍摄美化类”App安全吗

“收集用户信息可说是个普遍现象,并非拍摄美化类App独有,也无论其是免费还是收费的。”张孝荣认为,所有的App都有类似问题,超级App收集隐私信息的问题更大。

事实上,我国各类文件对于相关行为也进行了规定和限制。例如,国家互联网信息办公室等四部门早在2019年便联合印发了《App违法违规收集使用个人信息行为认定方法》。付建也指出,APP在收集信息时未经用户同意、未明示收集个人信息的目的、未告知用户个人信息的使用范围、未采取必要的安全措施保护个人信息等,都可能涉及违法违规的情况,可能违反《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等相关法律法规。

不过,回到用户自身,张孝荣认为,用户面对信息泄露的隐忧,在自身方面有一些措施可以采取。例如,仔细阅读隐私政策和用户协议,了解APP要收集哪些个人信息、在哪些情况下使用,在手机系统设置中对App的权限进行管理,限制App对个人信息的访问和获取,注意其他用户的评价和反馈,了解是否存在个人信息泄露或滥用的情况,并定期检查手机应用权限和个人信息的使用情况,对不必要的App或权限进行删除和调整等。此外,联系网信办此次发布的测试结果,张孝荣建议,用户也可使用知名、可信的App,减少使用未知或者来源可疑的App,尽量避免下载未经审核的App。

北京商报记者 金朝力 冉黎黎