谷歌下架数十款秘密收集数据应用 信息安全保护应该得到重视

近日，谷歌从Google Play商店下架了Speed Camera Radar、QR & Barcode Scanner和Simple weather & clock widget等数十款应用程序，原因是这些应用程序内置一个秘密获取数据的软件代码，能够收集包含剪贴板内容、电话号码、电子邮件地址在内的数据，其中多个应用程序的下载量已超千万。

事实上，这已经不是谷歌第一次遇上应用程序信息安全问题。2022年3月3日，老牌代码安全审计机构NCC Group发布了一份报告，对一个远程访问银行的木马SharkBot的工作原理及其如何绕过Google Play商店的安全措施进行了分析。SharkBot于2021年10月末被威胁情报团队Cleafy发现，它通过自动转账系统（ATS）技术在被植入的设备中发起资金转账。该木马一旦检测到运行的银行应用程序，能够以特定顺序进行一系列事件的模拟，使汇款程序与银行的交互一致，从而使欺诈行为更加难以被欺诈检测系统发现。

为防止有害的应用程序进入Play商店，4月6日，Google Play商店对开发政策进行了更新。其中，为了避免用户安装可能不具备最新隐私和安全功能的应用程序，谷歌拓展了其目标级别API要求。自2022年11月1日起，对于商店内未更新的现有程序，若其目标API级别未能达到最新的主要安卓版本发布后两年内推出的 API 级别，则无法提供给设备运行较新版安卓操作系统的新用户。谷歌还曾于2月16日宣布了一项在安卓上构建隐私沙盒的计划，对与第三方共享用户数据的行为加以限制。同时，谷歌还在探索相关技术以限制秘密收集数据的情况，其中包含能让应用程序与广告SDK整合更安全的方式。

在新浪财经ESG评级中心可查询到谷歌的ESG评分，路孚特ESG评分为67.9（B+），富时罗素ESG评分为3.2分。虽然ESG总体评分不是特别高，但是可以看到在产品责任方面，谷歌表现非常亮眼，其中路孚特产品责任评分高达93（A+）。

谷歌路孚特ESG评分

国内应用程序的信息安全和隐私泄漏问题一直以来饱受诟病。今年2月，工信部通报了第一批侵害用户权益的应用程序，共120款App涉及超范围收集个人信息、违规使用个人信息以及强制、频繁、过度索取权限等问题，其中不乏网易七鱼SDK、百度定位SDK等互联网大厂内嵌第三方软件开发工具包。

对此，国家出台了一系列法律法规为个人信息安全提供法律保障。2021年9月，《中华人民共和国数据安全法》正式实施，明确数据安全主管机构的监管职责，建立健全数据安全协同治理体系，从而提高数据安全保障能力。2021年11月，《中华人民共和国个人信息保护法》正式生效，其中第六条明确规定处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。对于违法行为，第六十六条规定：违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。今年1月，工信部还发布了《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》，为企业规范App个人信息处理活动提供了明确的指导意见。

《中华人民共和国个人信息保护法》第六条

《中华人民共和国个人信息保护法》第六十六条

在信息安全实践上，一些公司也已经开始采取行动。针对隐私泄露问题，手机厂商OPPO凭借多年的努力，在系统中加入诸多的隐私保护措施和功能。在处理流氓APP方面，OPPO的软件商城会严格管控上架的APP，以及该应用的权限，为用户提供详尽的APP报告；系统会监测所有APP读取手机信息的动作，让用户更方便的管理隐私；对于在后台调用麦克风、摄像头的应用，系统会通过状态栏提示用户，避免隐私被偷窥；还会对疑似窃取用户信息的APP返回空白信息，保障用户隐私安全。一直在强调系统隐私管理的小米手机操作系统MIUI也已经在小米应用商店应用下载界面中加入了对于开发者已经声明过的各种应用使用权限的标记。

在法律规定、手机厂商以及应用商店的共同努力之下，信息安全问题已经越来越得到重视和保障，应用程序开发商也更应遵纪守法，尊重用户隐私，避免秘密收集、过度收集用户个人信息。

为及时准确地追踪企业ESG履行状况，评定ESG舆情的潜在影响，新浪财经ESG评级中心提出“ESG影响等级”，并制定规范的定性标准，对正面ESG舆情给出优秀、良好、中等、轻微四个等级，对负面ESG舆情给出恶劣、严重、中等、轻微四个等级。