流氓APP!谷歌應用商店攤事 超3000個應用大肆採集兒童隱私資訊違反COPPA
繼Facebook數據洩密醜聞後,穀歌也迎來了一波數據“偷竊”的指責。這回“受害者”指向了——玩手機的兒童。
日前,穀歌被指其Android官方應用商店Google Play上有3000個應用正違規收集兒童資料,占該平臺應用的57%左右。國際電腦科學研究所(ICSI)撰寫了相關報告,並指出其中有256個應用程式在未經父母許可的情況下,收集了兒童的位置資料。
之後,英國《獨立報》(The Independent)等應用ICSI資料包道了這一事件。
ICSI研究人員表示,自己使用新的自動化系統來確定這些應用是否符合兒童線上隱私保護法案(COPPA)。
“該研究最令人不安的發現之一是,有256個應用程式在未經父母許可的情況下收集了兒童的位置資料,其他收集的資料包括個人詳細資訊,如姓名、電子郵寄地址和電話號碼等。”《獨立報》報導稱。
研究人員表示,研究結果具有代表性,
消息披露後,穀歌表示正在認真研究相關報告,如果確定應用違反隱私保護政策,穀歌將採取行動。
這項研究發佈之際,有20多家消費者維權組織聲稱,YouTube故意從兒童資料收集中獲利,違反了COPPA規則。不久前迪士尼、教育品牌LeapForg也因侵犯了兒童的隱私被起訴和罰款。
兒童線上隱私保護規則(COPPA)規定,應用程式不能存儲或追蹤13歲以下兒童的任何不必要資訊,例如廣告商的位置資料或簡介資訊。
研究人員認為,最大的違規行為通常不是來自應用開發者本身,而是協力廠商分析公司利用漏洞,且沒有通過適當的管道報告他們正在收集的資料。
舉例來說,應用開發商BabyBus為6歲以下的孩子製作了無數手機遊戲,其中包括“熊貓寶寶護理”(Baby Panda Care)、“小熊貓餐廳”(Little Panda Restaurant)和“廁所培訓-嬰兒便盆”(Toilet Training–Baby’s Potty)等。然而,該公司一直在向TalkingData發送已保存的WiFi網路和接入點清單,這是BabyBus不再與之合作的一家分析公司。研究人員指出,有些開發者甚至可能在不知情的情況下共用資訊,因為有時候他們根本不知道有多少人(開發者依然負有法律責任)。
對於違反COPPA的處罰已有比較典型的先例。2014年,美國聯邦貿易委員會(FTC)一次對商家點評網站Yelp開出450,000美元的巨額罰單。
但監管機構要判定一家“規則破壞者”的難度令人驚訝。其中關鍵的一點是——要判斷一個非法存儲資料的應用程式是否只是簡單地掃描其原始程式碼並尋找目標。光這一點就很難作出有證據的判斷。
為了理解問題的範圍,電腦科學家團隊創建了一個軟體,該軟體運行5,855個受歡迎的兒童應用程式,每個應用程式持續10分鐘,以普通用戶的身份與每個應用程式進行交互,並跟蹤這一過程中所有傳輸的資料或存儲。
該團隊很快發現了令人不安的結果:他們測試的應用程式超過一半以某種方式侵犯了COPPA,大約2,200個使用了永久識別字,可能導致定向廣告。
研究發現,在違規採集少兒資訊的手機軟體中,只有四成採取了一定的安全措施。另外1920款和社交網路Facebook有聯繫的手機軟體,在分享少兒使用者資訊方面並未遵守Facebook的規定。
研究人員目前還沒有確定蘋果應用商店——在iPhone和iPad上運行的應用程式,因為他們無法訪問Apple的iOS資料。
“我們發現,App明顯在沒有獲的同意的情況下,違規分享地點或聯絡資訊 (4.8%)、分享個人資料卻沒有合理的安全措施 (40%)、以被禁止之目的與協力廠商共用持久識別字(18.8%)、無視或無視旨在保護兒童隱私的契約義務(39.0%)。總體而言,5855個兒童導向的App中,我們認為,約有 57%的App潛在違反了COPPA規則。”
就安卓系統而言,雖然它由谷歌開發,但是穀歌採取了開源免費的方式“贈送”給全球手機廠商(某種意義上是“放任不管”),手機廠商可以自由修改定制。市面上絕大多數安卓手機的隱私管理規定,實際上掌握在大量的手機廠商手中,而不是美國穀歌或是各國政府。
與日前YouTube非法收集兒童資料而面臨的指控不同的是——對於誰應該承擔法律責任、以及是否存在明顯的違法行為一事,仍然存在著一些不確定性。
這些發現或許會是一個好消息,因為同樣的工具可以為監管機構提供便利,幫助他們努力識別和懲罰違法企業。
雖然研究人員在他們的論文中指出,他們不是律師,只能找到可能的違規行為,但目前他們也發佈了他們的工具和資料集,以便穀歌和其他監管機構可以開展工作。
光這一點就很難作出有證據的判斷。為了理解問題的範圍,電腦科學家團隊創建了一個軟體,該軟體運行5,855個受歡迎的兒童應用程式,每個應用程式持續10分鐘,以普通用戶的身份與每個應用程式進行交互,並跟蹤這一過程中所有傳輸的資料或存儲。
該團隊很快發現了令人不安的結果:他們測試的應用程式超過一半以某種方式侵犯了COPPA,大約2,200個使用了永久識別字,可能導致定向廣告。
研究發現,在違規採集少兒資訊的手機軟體中,只有四成採取了一定的安全措施。另外1920款和社交網路Facebook有聯繫的手機軟體,在分享少兒使用者資訊方面並未遵守Facebook的規定。
研究人員目前還沒有確定蘋果應用商店——在iPhone和iPad上運行的應用程式,因為他們無法訪問Apple的iOS資料。
“我們發現,App明顯在沒有獲的同意的情況下,違規分享地點或聯絡資訊 (4.8%)、分享個人資料卻沒有合理的安全措施 (40%)、以被禁止之目的與協力廠商共用持久識別字(18.8%)、無視或無視旨在保護兒童隱私的契約義務(39.0%)。總體而言,5855個兒童導向的App中,我們認為,約有 57%的App潛在違反了COPPA規則。”
就安卓系統而言,雖然它由谷歌開發,但是穀歌採取了開源免費的方式“贈送”給全球手機廠商(某種意義上是“放任不管”),手機廠商可以自由修改定制。市面上絕大多數安卓手機的隱私管理規定,實際上掌握在大量的手機廠商手中,而不是美國穀歌或是各國政府。
與日前YouTube非法收集兒童資料而面臨的指控不同的是——對於誰應該承擔法律責任、以及是否存在明顯的違法行為一事,仍然存在著一些不確定性。
這些發現或許會是一個好消息,因為同樣的工具可以為監管機構提供便利,幫助他們努力識別和懲罰違法企業。
雖然研究人員在他們的論文中指出,他們不是律師,只能找到可能的違規行為,但目前他們也發佈了他們的工具和資料集,以便穀歌和其他監管機構可以開展工作。