449万款App下载超万亿次专家解惑如何应对个人信息安全风险
9月17日,在2019年国家网络安全宣传周的个人信息保护分论坛上,中国信息通信研究院安全研究所所长魏亮向记者介绍了如何应对App个人信息安全风险。
图为2019年网络安全博览会上App个人信息保护展台“共创安全”展板
现状如何?10月底之前对主流App进行安全检查
目前,在群众的生活中,App已经成为生活的必需品。只要是智能手机上,都会下载一些社交的、生活类的、地图导航类等各种App。魏亮列举了一连串的数字,在移动互联网时代,中国手机网民有8.47亿,截至2018年约有449万款App,第三方应用下载1.8万亿次。
随着互联网技术的开发和App应用,强制授权、过度授权、超范围收集个人信息导致一些个人信息被滥用或者恶意使用,给人们的生活带来一些不便,甚至给财产带来损失。魏亮说,“现在不单个人用户注意到了这个问题,相关的部门也注意到了。”今年1月,中央网信办、工信部、公安部、市场监管总局联合开展综合治理,指导成立了App专项治理工作组,开发举报平台,进行App违法违规收集个人信息的专项治理行动。
“工信部在电信和互联网行业保护安全提升工作方案中也要求,10月底之前要对全部的基础电信企业,50家重点互联网企业,200款主流App进行安全检查。App安全已经受到了关注,已经付诸行动。”
问题来了!关掉GPS真的就不会被收集位置信息吗
魏亮罗列了一些App应用获取个人信息的典型问题。
第一种,隐蔽地收集个人信息。魏亮介绍,“我们在媒体和测评中看到,部分App存在未经个人同意的情况就开始收集、上传个人信息。比如说手机号、MAC地址、账号、密码等个人信息,有些可能不在意,但是账户密码涉及到个人资产。很典型的是获取系统的高危权限等,隐蔽地收集个人信息。”
第二种,超出用户心理预期。把GPS关了,那它不收集手机的位置信息了吧?魏亮直接指出这种想法是错误的,“实际上它还能通过wifi知道我的位置,这就超出预期了。”
第三种,误导用户同意后收集个人信息。几乎每个智能手机用户都会遇到的这样的情况,安装某些软件或者充值时,收到提示信息显示“允许开启手机通讯录权限,以便读取联系人电话号码,进行充值”。魏亮说:“这就是一个误导,它要获取你的通讯录信息。”
第四种,第三方SDK存在安全风险。魏亮坦言,“第三方SDK自身存在安全漏洞,第三方SDK成为恶意代码传播途径,SDK隐蔽收集个人信息……App也不清楚,这是使用了第三方SDK存在的风险。大量的App都嵌入SDK,存在一些风险,比如说Facebook。”
图片为魏亮在论坛上发表演讲
如何解决?各方努力共建良好生态
魏亮举例,在App使用过程中,即使用户不喜欢广告,也不能很简单粗暴的禁止广告,“因为广告是一个很大的产业,有了这些广告可以给你提供更便利的服务和信息,简单粗暴的禁止是不现实的,可能最后是一个平衡”。
他表示“一刀切”的做法不可取,“一刀切很简单,但对产业的伤害是非常严重的。App个人信息安全复杂多样,涉及多个主体,解决好个人信息的问题,要构建一个生态,需要政府部门、相关企业、App企业、SDK企业、手机企业、应用商店企业、行业组织、研究机构共同处理。”
“要加快立法,细化个人信息收集使用规范,现在的法律规范虽然有相关内容,但不能满足需求。”魏亮认为,推动个人信息保护法的出台,明确个人信息保护的义务、权利,加强对违法违规行为的追究,同时也是对数据的所有权,数据资产保护等问题的分析研判,厘清法律边界,梳理相关立法线条。
在App个人信息保护过程中,做好安全升级,贯彻隐私保护的设计理念必不可少。“不管是App厂家也好、SDK厂家也好,研发的过程中,编码的过程中就要关注到隐私保护的理念,贯彻到代码和设计思路和整体架构中,这样才能够保护到一些个人信息,提高个人信息保护的水平。”
除此之外,魏亮认为,应该加快技术革新,加强数据安全技术研发。“比如说防窃密、防篡改、防泄漏、数据脱敏、关键数据审计、流动追溯和数据备份等安全技术的研发和商业部署,更好的保护个人信息,此外还要运用大数据、人工智能,提升安全防护的能力。”