国安局表示,近年来国际社会持续关注中国开发的“移动应用程序”(APP)所带来的信息安全问题。国安局会同调查局及刑事局,对5款大陆开发的 APP 进行了检测,结果显示这些应用普遍存在信息安全风险。提醒广大民众提高移动设备的安全意识,避免下载存在安全隐患的大陆应用,以保护个人隐私和企业商业机密等相关信息。
国安局指出,此次抽查的大陆APP包括“小红书”“微博”“抖音”“微信”以及“百度网盘”等5款民众日常使用率较高的应用程序。其中,“小红书”和“微博”由调查局检测,“抖音”“微信”和“百度网盘”由刑事局负责检测。
调查局与警政署刑事局依据数发部发布的《移动应用APP基本资安检测基准v4.0》所列标准,针对“收集个人信息”“超范围权限使用”“数据回传与共享”“读取系统信息”以及“采集生物特征”等五大类违规行为中的15项评估指标,逐项进行检测与分析。
整体检测结果显示,这5款大陆应用均严重违反多项检测指标。其中,“小红书”在全部 15 项指标中均被检出违规;“微博”和“抖音”各有 13 项违规,“微信”有10项,“百度网盘”则有9项违规。该结果表明,这些应用普遍存在高风险的信息安全隐患,超出了正常软件对信息收集的合理范围。
国安局进一步说明,这些APP普遍存在“过度收集用户信息”及“权限滥用”的问题,例如大范围采集用户的“面部信息”“截屏内容”“剪贴板数据”“通讯录”以及“位置信息”等,行为明显异常并违反规范。
在“读取系统信息”方面,5款APP均有获取用户应用列表、设备参数等行为,存在资安疑虑;而在“采集生物特征”方面,用户的面部信息也可能被应用程序有目的地采集并建档。
此外,在“数据回传与共享”方面,这些大陆开发的APP均将数据包传回设在中国大陆的服务器,可能导致用户个人信息被第三方滥用。尤其根据中国大陆的《网络安全法》与《国家情报法》等规定,企业有义务向国家安全机关、公安机关及情报机构提供用户资料与数据,这也加剧了用户信息被特定单位掌握和运用的风险。
国安局提醒,目前包括美国、加拿大、英国、印度等多个国家政府,已对特定大陆APP发布禁用令或安全警示。欧盟也已开展相关窃取数据的调查,并对涉事企业开出巨额罚款。建议广大民众提高移动设备的使用安全意识,尽量避免下载具备资安疑虑的大陆应用程序。
