流氓APP!谷歌应用商店摊事 超3000个应用大肆采集儿童隐私信息违反COPPA
2018-04-18行业报告 编辑:安安
继Facebook数据泄密丑闻后,谷歌也迎来了一波数据“偷窃”的指责。这回“受害者”指向了——玩手机的儿童。
日前,谷歌被指其Android官方应用商店Google Play上有3000个应用正违规收集儿童数据,占该平台应用的57%左右。国际计算机科学研究所(ICSI)撰写了相关报告,并指出其中有256个应用程序在未经父母许可的情况下,收集了儿童的位置数据。
之后,英国《独立报》(The Independent)等应用ICSI数据报道了这一事件。
ICSI研究人员表示,自己使用新的自动化系统来确定这些应用是否符合儿童在线隐私保护法案(COPPA)。
“该研究最令人不安的发现之一是,有256个应用程序在未经父母许可的情况下收集了儿童的位置数据,其他收集的数据包括个人详细信息,如姓名、电子邮件地址和电话号码等。”《独立报》报道称。
研究人员表示,研究结果具有代表性,因为所研究的应用代表了Google Play上最受欢迎的免费应用。报告还表示,那些不正当收集和分享数据的应用程序都包含在Google的“Designed for Families”平台中。
消息披露后,谷歌表示正在认真研究相关报告,如果确定应用违反隐私保护政策,谷歌将采取行动。
这项研究发布之际,有20多家消费者维权组织声称,YouTube故意从儿童数据收集中获利,违反了COPPA规则。不久前迪士尼、教育品牌LeapForg也因侵犯了儿童的隐私被起诉和罚款。
儿童在线隐私保护规则(COPPA)规定,应用程序不能存储或追踪13岁以下儿童的任何不必要信息,例如广告商的位置数据或简介信息。
研究人员认为,最大的违规行为通常不是来自应用开发者本身,而是第三方分析公司利用漏洞,且没有通过适当的渠道报告他们正在收集的数据。
举例来说,应用开发商BabyBus为6岁以下的孩子制作了无数手机游戏,其中包括“熊猫宝宝护理”(Baby Panda Care)、“小熊猫餐厅”(Little Panda Restaurant)和“厕所培训-婴儿便盆”(Toilet Training–Baby’s Potty)等。然而,该公司一直在向TalkingData发送已保存的WiFi网络和接入点列表,这是BabyBus不再与之合作的一家分析公司。研究人员指出,有些开发者甚至可能在不知情的情况下共享信息,因为有时候他们根本不知道有多少人(开发者依然负有法律责任)。
对于违反COPPA的处罚已有比较典型的先例。2014年,美国联邦贸易委员会(FTC)一次对商家点评网站Yelp开出450,000美元的巨额罚单。
但监管机构要判定一家“规则破坏者”的难度令人惊讶。其中关键的一点是——要判断一个非法存储数据的应用程序是否只是简单地扫描其源代码并寻找目标。光这一点就很难作出有证据的判断。
为了理解问题的范围,计算机科学家团队创建了一个软件,该软件运行5,855个受欢迎的儿童应用程序,每个应用程序持续10分钟,以普通用户的身份与每个应用程序进行交互,并跟踪这一过程中所有传输的数据或存储。
该团队很快发现了令人不安的结果:他们测试的应用程序超过一半以某种方式侵犯了COPPA,大约2,200个使用了永久标识符,可能导致定向广告。
研究发现,在违规采集少儿信息的手机软件中,只有四成采取了一定的安全措施。另外1920款和社交网络Facebook有联系的手机软件,在分享少儿用户信息方面并未遵守Facebook的规定。
研究人员目前还没有确定苹果应用商店——在iPhone和iPad上运行的应用程序,因为他们无法访问Apple的iOS数据。
“我们发现,App明显在没有获的同意的情况下,违规分享地点或联络信息 (4.8%)、分享个人资料却没有合理的安全措施 (40%)、以被禁止之目的与第三方共享持久标识符(18.8%)、无视或无视旨在保护儿童隐私的契约义务(39.0%)。总体而言,5855个儿童导向的App中,我们认为,约有 57%的App潜在违反了COPPA规则。”
就安卓系统而言,虽然它由谷歌开发,但是谷歌采取了开源免费的方式“赠送”给全球手机厂商(某种意义上是“放任不管”),手机厂商可以自由修改定制。市面上绝大多数安卓手机的隐私管理规定,实际上掌握在大量的手机厂商手中,而不是美国谷歌或是各国政府。
与日前YouTube非法收集儿童数据而面临的指控不同的是——对于谁应该承担法律责任、以及是否存在明显的违法行为一事,仍然存在着一些不确定性。
这些发现或许会是一个好消息,因为同样的工具可以为监管机构提供便利,帮助他们努力识别和惩罚违法企业。
虽然研究人员在他们的论文中指出,他们不是律师,只能找到可能的违规行为,但目前他们也发布了他们的工具和数据集,以便谷歌和其他监管机构可以开展工作。
