警惕 | 众多商用APP存信息安全隐患
金蝶云社区-天冥异
天冥异
10人赞赏了该文章 217次浏览 未经作者许可,禁止转载编辑于2018年11月02日 16:52:15


吴凡 中国信息安全 


image.png

漫画:颜庆雄

“请神容易送神难”,这句古老的民间谚语在当今移动互联网上被变调重演。

社交、购物、餐饮、出行、旅游……越来越多的生活需求可通过手机APP应用软件来实现,但大量商用APP让人遭遇“注册一分钟,注销一星期”的尴尬。拼多多和饿了么不能注销,百度地图、摩拜、花椒要刷脸验证,微博注销则需满足7个条件……记者连日调查37款热门商用APP发现,这些软件在注销账号时门槛高、难度大、花样多。有的要求用户证明“我是我”;有的注销功能层层隐藏,找起来非常费劲;有的干脆不提供注销功能。用户的信息安全、隐私权和自主权无法保障。同时,大量商用APP在用户注销后,并不承诺删除用户信息,仍有被骚扰或被盗用信息的风险。

调查显示,约2000名受访者中有75.9%的人遭遇过商用APP账号难注销,72%的受访者认为此举侵犯了用户权利。


1. 注销花样百出“门槛”高

网友蔡杰此前实名举报APP“注销难”问题。他说,不少商用APP用过之后想注销,却发现不能注销或非常难注销,担心个人信息泄露,尤其是那些需要手机验证、实名制或邮箱验证的商用APP。

商用APP注销难,到底难在哪里?记者调查发现,部分热门商用APP没有注销功能,而提供注销功能的APP操作起来也很费劲耗时,有的商用APP注销条件过多,甚至要求用户证明“我是我”。有的商用APP需提交信息后被动等待审核,并不承诺审核时限。也有商用APP操作繁琐,点击6层页面才能找到“如何注销账号”的提示。还有一些商用APP的注销条件涉及提供个人隐私信息,却没有安全保障承诺。

记者测试发现,一些商用APP的注销功能层层隐藏,如京东商城APP点击5次才能找到相关条文,然后再滑屏才能出现注销提示,按照提示联系客服后,须向客服提供个人身份证号等详细信息,还要等待72小时才知道审核结果。

注册时不用身份证,注销时却要求用户证明“我是我”,这种情况也不鲜见。摩拜单车的客服人员在审核用户注册时的手机号码、姓名后,要求提供“清晰的身份证人像页照片”和“手持身份证人像页与人脸的合照”。如果想注销快手APP,除身份证正反面照片、用户手持身份证照片外,用户还被要求录一段短视频,视频中清晰展示身份证正反面信息,并发到指定邮箱,注明“本人自愿申请注销账号,明确知晓账号一旦注销无法找回”。

记者针对37款热门商用APP尝试注销,仅有微信一款APP可轻松注销。淘宝、天猫等较易找到注销窗口进行操作。支付宝、美团、携程、贴吧、易到用车需要在注销前解绑其他账号、清空账户余额或输入手机验证码等一系列操作。微博需要上述操作的同时,使用常用微博的手机来提交申请,并在最近三个月内没有修改微博密码和换绑手机操作,注销难度显然更高。

而京东、滴滴出行、抖音、今日头条、摩拜、ofo、百度地图、美团外卖、58同城、京东金融、前程无忧等商用APP账户的注销操作相当困难,往往要涉及与人工客服的沟通,并不能在APP内自主操作,还需要等待一段时间才知道注销结果。去哪儿则需要账户注册时长满6个月才能申请注销。

此外,拼多多、饿了么、快手、网易邮箱、QQ、智联招聘、一嗨租车、曹操专车、妈妈帮、家乐福等商用APP目前并未提供注销功能。

多家商用APP的客服人员均表示,用户注销账号的规定,是企业的规定,必须按此操作,同时注销没有明确的处理时限,只能等用户再次查询。值得注意的是,商用APP注销时普遍不提供个人数据导出的功能,但欧美Facebook、Twitter、Evernote等主流APP均提供个人数据导出功能。


2. 前置性条件达成耗时费劲

记者调查发现,常见热门商用APP大多对注销设置了前置性条件,部分条件看起来不难,实际操作时却涉及APP所属公司旗下其他产品,或是合作公司、关联公司的产品,完成相关条件无一例外需要耗费大量的时间精力。

注销APP常见的前置性条件分为三大类:一是账号处于安全状态,不少商用APP运营方要求用户近期没有进行过修改密码等操作;二是账户里没有余额,若有未完成的交易也不行;三是与关联网站解除绑定,比如用微信或微博登录过某个第三方APP,那么必须先去第三方APP解除与微信或微博账号的登录绑定。

以百度地图为例,通过手机号注册的账号一直正常使用,注销时需要先通过短信验证码验证手机号,再填写姓名和身份证号,接下来还得刷脸认证。不仅如此,用户注销前,必须清空百度网盘内的所有资料。百度钱包等产品不能有余额,而且不能是会员,且注册不满一年的账号不可注销。

上海通信管理部门日前抽查当地80余家互联网企业,检查互联网业务用户账号可注销情况,结果约1/4的企业存在APP账号无法注销或注销困难等情况。

问卷网等机构近日联合抽样调查2002名网友,75.9%的受访者遭遇过APP账号注销难,62.9%的受访者担心APP账号注销难导致账号被盗用。72%的受访者认为APP注销难侵犯了用户自主选择和注销应用的权利,73.8%的受访者建议加大对限制用户注销账号行为的处罚力度。


3. 注销了并不意味着安全

注销账号不等于你的个人信息被删除,如果你希望注销后能删除在该APP中的所有记录,也不一定能实现。记者试操作的商用APP中,仅有约一半的APP在用户协议内列出删除数据的相关条款。京东商城APP的提示表明,用户注销后,只会在前台系统去除用户的个人信息,但“相关交易记录可能须在京东的后台保存5年甚至更长”。支付宝在服务协议中声称,支付宝仍可保存用户注销前的相关信息。百度提示注销后“您在平台贡献的内容,将由平台自行处理”,当网友注销百度账号后,曾在百度贴吧、百度知道等渠道发表的内容仍会存在。

中国消费者协会刚发布的《APP个人信息泄露情况调查报告》显示,上半年电商平台、社交平台软件等非法搜集消费者个人信息现象成投诉新热点,有85.2%的被访者个人信息曾被泄露。约1/3的被访者遭遇信息泄露后会“自认倒霉”。调查显示,个人信息泄露的最主要途径是经营者未经本人同意收集个人信息。

不少市民反映,注册过购物、金融、网贷类APP后,即使注销账号,也会频繁遭遇短信或电话骚扰,短信多为1069、1065等开头的号码。中消协提醒,若换手机号码,切记注销相关APP账号,今年就已发生多起更换手机号码时未注销APP账号导致财物损失的事件。使用旧号码的新用户,虽然无法完成新用户的注册,但可通过短信找回部分账号的密码,从而登录前任用户的账号。


4. APP服务监管亟待加强

《电信和互联网用户个人信息保护规定》第九条第四款规定:“电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或账号的服务。”

对应上述规定需承担的法律责任为:“由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以上三万元以下的罚款,向社会公告;构成犯罪的,依法追究刑事责任。”多位专家认为,违规成本低,难以起到震慑作用。中国互联网协会研究中心秘书长吴沈括认为,目前针对APP服务商的相关法律规范仍存在指向性、针对性不足等问题,对消费者权益保护不够,对企业违法行为惩处乏力。

北京邮电大学教授曾剑秋分析,账号注销在技术上并不难,但由于当前市场多是以用户数据量对企业进行估值,所以企业普遍不愿意减少用户数量。

今年5月起,推荐性国家标准《信息安全技术个人信息安全规范》正式实施,要求个人信息控制者应向个人信息主体提供能够访问、更正、删除其个人信息,以及撤回同意、注销账户等方法,并强调该方法应“简便易操作”,且注销账户后,应删除其个人信息或做匿名化处理。但这一规范是推荐性标准而非强制性标准,不具备法律强制力。



图标赞 10
10人点赞
还没有人点赞,快来当第一个点赞的人吧!
图标打赏
0人打赏
还没有人打赏,快来当第一个打赏的人吧!