顶风作案 多款共享充电宝因违规收集用户个人信息被点名

首页 / 业界 / 资讯 /  正文
作者:藏青
来源:安全419
发布于:2021-11-17
近年来信息泄露事件屡屡发生,而App过度索要授权就是个人信息泄露的导火索之一。近日,据上海市消保委调查,多家充电宝品牌涉嫌过度收集用户信息,违反了《民法典》《个人信息保护法》等法律法规。

据上海市消保委日前发布的相关消息显示,其针对目前消费者在使用共享充电宝过程中可能遇到的个人信息安全问题,委托国家网络与信息系统安全产品质量监督检验中心,对相关APP及微信公众号和小程序、支付宝小程序等进行了测试。


 
在针对5家共享充电宝(美团、街电、倍电、搜电、小电)企业的APP测试中,较为普遍的现象有APP首次运行时,在用户授权同意隐私政策前,就收集个人信息;未经用户同意,在其点击时或每五分钟内多次收集非必要的个人信息,频率超出实际需要;未经用户同意或未做匿名化处理直接向第三方提供个人信息;未在隐私政策中说明APP收集使用个人信息的目的、方式、范围;在申请打开用户权限时未同步告知收集目的。
 
而在10家共享充电宝(美团、街电、倍电、搜电、小电、来电、怪兽充电、云充吧、咻电、V电)的公众号和小程序测试中,上述品牌在使用微信/支付宝作为平台时,均有收集用户个人信息的行为。
 
“搜电”等APP首次运行时,在用户授权同意隐私政策前,就收集个人信息;“倍电”等未经同意,在用户点击时或每五分钟多次收集非必要的个人信息,频率超出实际需要;“街电”等未经用户同意或未做匿名化处理直接向第三方提供个人信息;“美团”等未在隐私政策中说明APP收集使用个人信息的目的、方式、范围;“小电”等在申请打开用户权限时未同步告知收集目的。
 
 
此外,咻电”等3家的微信公众号、“V电”等4家的微信小程序、“倍电”等5家的支付宝小程序还额外收集了用户的性别或姓名信息,但姓名、性别等个人信息与租借充电宝并无直接联系,属于非必要收集的信息。
 
并且尽管这些品牌的共享充电宝采用了通道加密,但仍然存在对传输的结构化数据未进行加密直接传输的问题,容易被中间人攻击施以窃取和恶意利用。
 

依据我国2021年11月1日起施行的《个人信息保护法》规定,“处理个人信息应当遵循合法、正当、必要和诚信原则”;“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息”;“处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围”。
 
据悉,上海市消保委就个人信息保护相关问题与企业进行了反馈,督促企业对各自存在的问题进行整改,目前街电、小电、美团等品牌已经提交整改报告。其中街电表示,已移除APP“拨打电话”权限,新增针对个性化推送的停止、推出、关闭选项;小电明确表示经与微信和支付宝沟通后,现已取消公众号和小程序上性别信息的共享和收集;而美团则已进行APP版本升级,更新隐私政策,并将建设更直观明了的修改系统权限弹窗说明等。
 
但也有部分品牌,如“倍电”、“来电”、“怪兽充电”、“云充吧”、“咻电”、“V电”仍尚未有任何反馈。
 
上海市消保委建议,消费者在使用共享充电宝前,应该仔细阅读相关的隐私政策,留意给出的权限提示,不盲目赋予相关应用过高的权限,不允许其收集不合理的个人信息隐私,规避个人信息泄露风险。