导语
近期,北京市教育局在官方公众号发文指出“整改教育类APP安全威胁刻不容缓”。通知要求教育移动应用提供者要及时登录备案管理平台,查看安全威胁通报,并按期进行整改。
然而,根据工信部每月公开通报的侵害用户权益APP名单显示,仍有不少教育类APP视相关规定于不顾,频繁侵害用户数据权益。
例如7月中旬工信部公开通报2021年第5批侵害用户权益APP名单中,包含作业精灵、恒企网校、悦读家园、格灵同步培优、七巧国、天天背单词等APP被通报下架。同月末,工信部公开通报2021年第6批名单中,包含学习通、叫叫识字宝宝认字早教版等APP被通报。
在国家大力查处违规APP的现状下,仍有企业选择铤而走险,这背后所牵扯的利益逻辑是怎样的?其获取用户信息的边界到底在哪?
1
教育类APP 每月都有不少
近年来,教育类APP侵犯用户信息安全的案例屡见不鲜。例如,2020年11月,微言教育曾发布公告指出,APP违法违规收集使用个人信息治理工作组评估发现,35款APP存在个人信息收集使用问题,其中涉及多款教育类APP。包括课后网、七彩熊绘本、贝聊家长版、好分数、一起中学学生、大白U帮、超级课程表、今日校园、晓黑板等。
其中,频繁征求用户权限授权以及未逐一列出嵌入的第三方SDK手机使用个人信息的目的、类型成为最为高发的问题。
另外,七彩熊绘本以不正当方式误导用户同意收集儿童的头像和姓名等个人信息;课后网既未经用户同意,也未做匿名化处理,向第三方提供用户课后网的账号信息。
最为突出的是大白U帮,其收集用户信息甚至包括用户身份证号,且并未告知用户其目的。
2021年6月,网信办披露《关于Keep等129款APP违法违规收集使用个人信息情况的通报》,其中,伴鱼绘本被点名批评。
7月,国家计算机病毒应急处理中心发现18款移动应用存在隐私不合规行为,其中5款涉学习类APP,包括好爸妈点读、开心学汉字、迈斯通英语、一只船教育、麦田思维。
同月,浙江省互联网信息办公室发布消息,通报小熊猫识字、溢米辅导、Memory Helper艾宾浩斯记忆助手、成语大学堂等APP,存在引起个人信息泄露的安全漏洞。
值得关注的是,自2019年12月起,工信部披露《关于侵害用户权益行为的APP通报》。其首次披露的41款APP存在违规收集、使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等问题。其中学霸君1对1因私自共享信息给第三方成为*个被点名的教育类APP。
此后,自2020年5月起,工信部每个月都会披露一批违规APP名单。几乎每一期的名单中都会涉及到部分违规的教育APP。
据统计,截至2021年7月,被工信部点名通报的教育类APP涉及100个,其中不乏知名企业推出的产品,例如智慧树、TutorABC、纳米盒等产品。
相对而言,被披露的APP中,更多来自一些不知名厂商,其在侵犯用户权益方面更加明目张胆。例如,成都学知府教育科技有限公司推出的“作业答案大全APP”不仅违规收集个人信息,且强制用户使用定向推送功能、欺骗误导用户下载APP等。
对于APP违规等行为,首都教育梳理后指出,主要包括未公开收集使用规则,未明示收集使用个人信息的目的、方式和范围;未经用户同意收集使用个人信息;违反必要原则,收集与其提供的服务无关的个人信息;未按法律规定提供删除或更正个人信息功能;未公布投诉、举报方式等信息。
对于违规收集个人信息等行为,从事数据安全方面的相关专家指出,因监管力度缺乏,技术难度低,违规成本低等原因,许多企业在用户数据安全方面的重视程度严重不足。
2
只要是数据 就有价值
从商业的角度上,每一种数据都是有价值的,区别只在于企业如何挖掘。
某互联网产品经理表示,用户的数据分析,可以用于联盟广告,以通用用户标识收集用户的浏览记录,购物记录等,经过数据分析后,可以对用户的喜好加以分析,从而推导给用户推荐更加精准的内容。电商场景上,也可以给用户提供更加精准的产品推荐。
该产品经理表示,在理想化的状态下,企业是根据业务场景选择获取用户权限。例如在线辅导场景中,摄像头、语音交互的权限获取是必需的。但诸如调用存储功能、拍照功能、追踪定位信息是否是业务的必要,则需要具体商榷。
而在真实的商业世界中,许多企业是通过收集用户数据分析之后,才能找到准确定位甚至盈利模式。而且,软件的更新迭代也好、新功能的开发也好,都需要数据的不停喂养。
对用户数据的分析,到底需要哪些具体数据?企业往往也是迷茫的,在这样的情况下,许多企业是抱着大而全的态度,全面地收集所有用户信息,至于后续会不会有用,先不去考虑。
行业人士指出,目前,企业数据收集的自由度比较大,如何保护用户的数据安全,更多是靠企业的责任感和使命感进行自我约束。而且,安卓生态缺乏好的回收机制,也给企业偷偷作恶打开了方便之门。许多获取了权限的APP都可以在后台继续运行,以获得更多的用户数据。
另外,即便是收集到的数据不能为企业所有,也可以通过倒卖用户数据,为企业带来一定的收益。而且一批数据可以反复出售给不同的人,其边际成本会被无限降低。对于买数据的企业来讲,一个对应到用户手机号精准数据,其性价比远比从推广渠道获得的联系方式要高。
3
数据安全 我们还能做什么?
作为个人用户来说,需要认清的现状是,在移动互联网时代,用户所能做的只是在有限的范围内做到保证自己的数据不被肆意的乱用。
某数据安全工程师表示,用户对自身数据安全的防护主要还是在提升防范意识方面。例如,不要轻易打开不明链接;软件需要在正规的应用商店下载;在给予软件权限时,要小心谨慎,非使用必要不提供授权;当软件使用完毕后,要及时关闭软件,谨防数据被从后台获取。
其表示,行业需要一些第三方工具来辅助用户做监管,但这样的软件往往需要最高的用户权限,所以*的方式是由官方背书的产品为宜。
另外,对于教育类产品的数据安全保护工作,国家也在加大监管力度。此前不久,北京市教委、北京市委网信办和北京市公安局三部门联合发布《关于规范教育类APP安全威胁整改工作的公告》。
公告披露了教育移动互联网应用程序备案管理平台,同时要求各单位定期登陆备案管理平台,查看安全微信通报,并按期整改。若未按期完成整改,市教委将向社会通报。若通报后仍未按要求整改,市教委将联合市网信、公安等部门进行约谈,依法依规对相关APP采取暂停更新、关闭下架等措施。