隐私收集方式日益隐蔽网民个人信息何时不再“裸奔”
近日,“ZAO”AI换脸App出现隐私风险一事,引发各界持续关注。有数据显示,中国在架移动互联网应用程序(App)达400多万款,第三方应用商店分发App数量超1.8万亿次。伴随App繁荣发展,用户对个人信息安全担忧也越来越深。
在2019年国家网络安全宣传周期间,中央网信办网络安全协调局一级巡视员兼副局长杨春艳介绍,针对当前App强制授权、过度索权,超范围收集个人信息,违法违规使用个人信息等数据安全问题,中央网信办起草了《数据安全管理办法》《个人信息出境安全评估办法》《App违法违规收集使用个人信息行为认定方法》《移动互联网应用(App)收集个人信息基本规范》等系列制度文件,已公开征求意见。
App与应用商店、SDK关系不容忽视
“App是用户数据的集中点。其中,应用商店是App分发的重要渠道,很多设备厂商也会预装了App,还有第三方SDK也是App研发重要环节。”在宣传周期间举办的“个人信息保护论坛”上,中国信息通信研究院安全研究所所长魏亮说。
他提到,从经营者角度来说,App收集个人信息越多,就能为用户提供更有价值的服务。所以,便捷服务与个人信息保护之间存在天然矛盾。“提供服务过程中也削弱了个人信息的自主权、决定权,通过大数据分析这些信息都可能还原成个人信息甚至敏感信息,因此,要平衡好个人信息保护与便捷服务之间的关系”。
如今,多数App包含着SDK(软件开发工具包)。对此,魏亮表示,使用SDK可以提高效率、降低成本,很多时候厂家不想用SDK都不行。比如,做一款餐饮App,但没有地图和支付的相关牌照,就必须使用第三方SDK;但后续收集信息过程中的权利、责任等,都需要进一步研究。
另外,不容忽视的是,App与应用商店之间的关系。魏亮介绍,应用商店对App有管理责任,但管理责任的范围、界限在哪是一个重要问题。“在使用时我们也发现,App可以绕开应用商店,待软件更新之后可能会有新代码以及新的权利要求”。
隐蔽收集、误导收集用户信息现象明显
今年1月,中央网信办等四部门联合发布《App违法违规收集使用个人信息专项治理行动》公告。截至8月31日,专项治理组通过微信公众号“App个人信息举报”收到8000余条民众举报,选取近600款用户数量大、与民众生活密切相关的App进行评估,督促问题严重的200余款App进行整改,涉及整改的问题点达800余个。
对此,App专项治理工作组成员何延哲做了归纳列举:无隐私政策的情况只是少数,主要是一次性要求用户打开多个可收集个人信息权限,以及申请权限时未向用户同步说明目的等。
针对应用存在的典型问题,魏亮认为,“隐蔽收集个人信息”情况严重。部分App存在未经用户个人同意,就开始收集、上传个人信息的情况,比如,手机号、mac地址(局域网地址)、账号密码等,有些是在用户不经意间获取系统的高危权限等。
(图片来源于网络)
另外,魏亮提到,还存在超用户心理预期收集个人信息现象。比如,用户关闭了GPS以后,就以为不再收集个人位置信息了,但实际上还可能通过用户wifi监测位置。
“还有误导用户同意收集个人信息的情况。比如‘允许开启手机通讯录权限,以便读取联系人电话号码,进行充值’,这就是误导信息,对方想获取用户通讯录。”魏亮说。
有关第三方SDK安全风险,同样不容忽视。“大量的App都嵌入了SDK,而第三方SDK自身存在安全漏洞,很容易成为恶意代码传播途径,尤其在隐蔽收集个人信息时App方也很难掌握情况”。
国家互联网应急中心处长任彦提到,很多App的第三方SDK已被黑色产业“利用”。今年上半年有超过100万恶意程序被捕获,对SDK隐蔽获取个人信息专项分析发现,有3600款聊天类App存在很多违法涉黄现象,这些多是恶意SDK窃取了用户的个人信息。
需要企业自律,也要标准先行
从人们日常使用的移动应用看,其涉及的个人信息安全复杂多样,并且涉及到多个主体,“需要政府部门、相关企业、App企业、SDK企业、手机企业、应用商店企业、行业组织、研究机构等共同处理。”谈到解决思路,魏亮这样说。
“要加快立法,细化个人信息收集使用规范。”魏亮说,现在法律规范还不能满足现实需求,要推动个人信息保护法尽快出台,明确个人信息保护的权利与义务,加强对违法违规行为的追究;同时,对数据的所有权、数据资产保护等问题进行分析研判,厘清法律边界、梳理立法线条。
魏亮还表示,不管是App厂家还是SDK厂家,在研发的过程中都要做好安全升级,编写代码时就要关注到隐私保护,将理念渗透到代码设计和整体架构中;加强数据安全技术研发,做好防窃密、防篡改、防泄漏,以及关键数据审计、流动追溯和数据备份等安全技术的研发和商业部署。
“一是通过技术手段,二是通过科学的管理手段。前者从数据识别、使用到行为分析等,防止信息被泄露,完善个人信息系统化防护手段;后者则涉及了员工的安全意识以及技术支撑管理制度等。”天空卫士技术专家杨明非说。
在中央网信办网络安全协调局综合处处长唐鑫看来,应做到企业自律的同时,也要做到“标准先行”。很多应用的附加功能也在收集信息,但不能因为用户拒绝提供信息就不让使用,也不能因为拒绝一两个授权就禁止使用,“希望通过标准规范,来解决这些问题”。