权威测试报告出炉,10 款网购类 App 上传了 6 种类型个人信息

 2 月 5 日消息,国家互联网信息办公室 2 日转发了中国网络空间安全协会、国家计算机网络应急技术处理协调中心发布的“网上购物类”App 个人信息收集情况测试报告。报告选取了 19 家应用商店累计下载量排名前 10 位的“网上购物类”App 进行测试,包括淘宝、京东、拼多多、华为商城、唯品会、淘特、手机天猫、苏宁易购、荣耀亲选、当当。

IT之家了解到,测试场景以完成一次网上购物活动作为单元,包括启动 App、搜索商品、购物下单 3 种用户使用场景,以及后台静默应用场景。

测试情况及结果如下:

一、测试对象

本次测试选取了 19 家应用商店累计下载量排名前 10 位的“网上购物类”App。10 款 App 基本情况如下表。

二、测试方法

(一)测试环境

本次测试选取相同品牌、型号的手机终端,安装相同版本安卓操作系统,分别部署 10 款 App,在相同网络环境下进行同步操作。

(二)测试场景

以完成一次网上购物活动作为测试单元,包括启动 App、搜索商品、购物下单 3 种用户使用场景,以及后台静默应用场景。

(三)测试内容

本次测试包括系统权限调用、个人信息上传、网络上传流量 3 项内容。

三、测试结果

(一)系统权限调用情况

测试发现,10 款 App 在 4 种场景下调用了位置、设备信息、剪切板、应用列表 4 类系统权限,未发现调用相机、麦克风、通讯录等其他权限。

在启动 App 场景中,调用系统权限种类最多的为拼多多(4 类),调用系统权限次数最多的为苏宁易购(357 次)。具体情况如下表。

在搜索商品场景中,调用系统权限种类最多的为淘宝(3 类),调用系统权限次数最多的为苏宁易购(152 次)。具体情况如下表。

在购物下单场景中,调用系统权限种类最多的为手机天猫(3 类),调用系统权限次数最多的为苏宁易购(255 次)。具体情况如下表。

在后台静默场景中,调用系统权限种类最多的为拼多多(4 类),调用系统权限次数最多的为苏宁易购(1199 次)。具体情况如下表。

(二)个人信息上传情况

测试发现,10 款 App 上传了 6 种类型个人信息:①位置信息,包括经纬度、街道地址、当前连接 WiFi MAC 地址、当前连接基站信息、周边可用 WiFi MAC 地址等;②唯一设备识别码,包括 IMEI(国际移动设备识别码)、IMSI(SIM 卡国际移动用户识别码)、Android ID(安卓 ID)、OAID(开放匿名设备标识符)、手机 MAC 地址等;③剪切板内容信息,包括商品分享链接、最近复制的文本等;④应用列表信息,包括手机上已安装、正在运行、新安装和新卸载的应用信息等;⑤购物信息,包括商品搜索词、订单信息等;⑥登录信息,包括用户 ID、登录状态等。

在启动 App 场景中,个人信息上传种类最多的为拼多多(4 类)。具体情况如下表。

在搜索商品场景中,个人信息上传种类最多的为拼多多和手机天猫(均为 4 类)。具体情况如下表。

在购物下单场景中,个人信息上传种类最多的为淘宝、京东、苏宁易购(均为 4 类)。具体情况如下表。

在后台静默场景中,个人信息上传种类最多的为拼多多(3 类)。具体情况如下表。

(三)网络上传流量情况

测试发现,10 款 App 在用户完成一次网上购物活动(启动 App、搜索商品、购物下单)时,上传数据流量平均最多的为苏宁易购,约为 653KB;平均最少的为荣耀亲选,约为 115KB。具体情况如图 1。

图 1 完成一次网上购物活动平均上传数据流量(单位:KB)

测试发现,10 款 App 后台静默 12 小时,上传数据流量平均⁽⁴⁾最多的为手机天猫,约为 92KB;平均最少的为唯品会,约为 1.4KB。具体情况如图 2。

图 2 后台静默 12 小时平均上传数据流量(单位:KB)