現(xiàn)在�����,我們手機(jī)中都安裝了各種應(yīng)用��,也就是各種App��,的確方便了我們的工作����、生活,但是也獲取了我們大量的個(gè)人信息。一些App的推送能“精準(zhǔn)”到你在想什么����,它就給你推送什么。App的這種“正合我意”是怎么實(shí)現(xiàn)的�����?個(gè)人信息安全有沒(méi)有風(fēng)險(xiǎn)呢���?
App獲取個(gè)人信息 用戶(hù)感覺(jué)“被竊聽(tīng)”
北京的苑慶攀最近有個(gè)疑惑���,和朋友只在線(xiàn)下閑聊過(guò)的東西,第二天就出現(xiàn)在自己手機(jī)應(yīng)用的推送里���。
手機(jī)用戶(hù) 苑慶攀:朋友說(shuō)椰棗�����,過(guò)了一天我就刷到了關(guān)于椰棗的推薦視頻��。我覺(jué)得很驚訝����,我除了說(shuō),沒(méi)有任何搜索記錄�����,咋就給我推薦了�?
過(guò)于精準(zhǔn)的推送內(nèi)容,讓苑慶攀感覺(jué)“后背發(fā)涼”�����。而這并不是苑慶攀一個(gè)人的感受���。
手機(jī)用戶(hù) 李先生:有的App使用的話(huà)就要把通訊錄等信息都授權(quán),我都不知道為什么要授權(quán)這些信息�。
手機(jī)用戶(hù) 紀(jì)女士:輸入自己的手機(jī)號(hào)發(fā)送驗(yàn)證碼之類(lèi)的,第二天或者過(guò)幾天就會(huì)有不知名的一些電話(huà)打進(jìn)來(lái)�,推銷(xiāo)一些東西。
就在上周�,工信部公布了2020年第二批侵害用戶(hù)權(quán)益行為的App名單。在被點(diǎn)名的15個(gè)App中����,有13個(gè)都涉及個(gè)人信息的過(guò)度收集,包括“私自收集個(gè)人信息”“超范圍收集個(gè)人信息”“私自共享給第三方”等等�,個(gè)人信息安全依然受到威脅。
中國(guó)信息通信研究院泰爾終端實(shí)驗(yàn)室信息安全部主任 寧華:在后臺(tái)運(yùn)行時(shí),未經(jīng)用戶(hù)同意�,按照一定的時(shí)間間隔定期調(diào)用系統(tǒng)API接口,頻繁獲取位置���、應(yīng)用列表等用戶(hù)個(gè)人信息����。這些新現(xiàn)象新問(wèn)題已成為今年App個(gè)人信息保護(hù)治理的新重點(diǎn)��。
而一些非法網(wǎng)絡(luò)推廣團(tuán)伙也盯上了個(gè)人的信息���。今年以來(lái)�����,公安部在15個(gè)省份開(kāi)展打擊貸款類(lèi)網(wǎng)絡(luò)詐騙犯罪�����,發(fā)現(xiàn)非法團(tuán)伙就是將矛頭指向有明確貸款意向的人員�����,根據(jù)他們?cè)诨ヂ?lián)網(wǎng)���、手機(jī)App等的瀏覽�、搜索記錄�����,分析其貸款意向�����,從而精準(zhǔn)推送大量虛假貸款廣告��,并實(shí)施詐騙���。
360集團(tuán)安全研究員 俞奎:他拿到你的通訊錄,又拿到短信���,他可能知道你近段時(shí)間有借貸需求��,這個(gè)時(shí)候他就可能會(huì)把這些數(shù)據(jù)進(jìn)行二次販賣(mài)�,比如賣(mài)給一些專(zhuān)門(mén)做詐騙的人員���。
手段隱蔽 多款A(yù)pp違規(guī)收集個(gè)人信息
面對(duì)越來(lái)越精準(zhǔn)的推送��,用戶(hù)有著擔(dān)心“被竊聽(tīng)”的焦慮�����,個(gè)人信息也確實(shí)存在過(guò)度獲取的可能�。為此,國(guó)家有關(guān)部門(mén)專(zhuān)門(mén)組建了App專(zhuān)項(xiàng)治理工作組����,對(duì)強(qiáng)制授權(quán)、過(guò)度索權(quán)�、超范圍收集個(gè)人信息等現(xiàn)象進(jìn)行專(zhuān)業(yè)的監(jiān)管。精準(zhǔn)推送怎么實(shí)現(xiàn)�?過(guò)度獲取怎么界定?
App專(zhuān)項(xiàng)治理工作組專(zhuān)家 何延哲:第一個(gè)數(shù)據(jù)包出現(xiàn)了����,我們?cè)俚鹊龋诙€(gè)數(shù)據(jù)包也出來(lái)了����,我點(diǎn)開(kāi)數(shù)據(jù)包,這里面就有一個(gè)是設(shè)備的IMEI號(hào)(移動(dòng)設(shè)備標(biāo)識(shí)號(hào))的標(biāo)識(shí)符���。
在App專(zhuān)項(xiàng)治理工作組��,針對(duì)個(gè)人信息保護(hù)的測(cè)試正在緊張地進(jìn)行�����。檢測(cè)工具顯示�����,這款社交類(lèi)App剛安裝進(jìn)手機(jī)�,一次都還沒(méi)有打開(kāi),卻已經(jīng)開(kāi)始悄悄地向外傳輸數(shù)據(jù)��。
App專(zhuān)項(xiàng)治理工作組專(zhuān)家 何延哲:App在隱私政策里沒(méi)有提這件事���,而且完全是隱瞞了它的自啟動(dòng)的方式���,自己又把信息傳到了自己的服務(wù)器上,是有實(shí)證的�����。明確是違法��、違規(guī)收集的一種行為���。
專(zhuān)家告訴記者���,App獲取的第一個(gè)信息,往往就是手機(jī)的IMEI號(hào)�����,也就是移動(dòng)設(shè)備標(biāo)識(shí)號(hào)�����。這個(gè)唯一的識(shí)別碼�,相當(dāng)于手機(jī)的身份證。不管是經(jīng)過(guò)用戶(hù)同意“拿走”����,還是不經(jīng)允許“偷走”,App一旦獲得了移動(dòng)設(shè)備標(biāo)識(shí)號(hào)��,就為個(gè)性化推送奠定了基礎(chǔ)����。更可怕的是,專(zhuān)項(xiàng)治理工作組對(duì)大量App測(cè)試后發(fā)現(xiàn)��,App獲取的信息,不僅能自己用��,甚至有部分App���,會(huì)把信息傳給第三方�����。
App專(zhuān)項(xiàng)治理工作組專(zhuān)家 何延哲:這是一款第三方SDK(軟件開(kāi)發(fā)工具包)����,它通過(guò)自啟動(dòng)之后的機(jī)制�����,把用戶(hù)手機(jī)上的IMEI號(hào)這樣的信息傳走了���。
專(zhuān)家介紹�����,在個(gè)別App內(nèi)嵌入的第三方軟件開(kāi)發(fā)工具包超過(guò)50個(gè)。這些有著消息推送等功能的第三方工具包�����,行為更隱蔽,也是目前監(jiān)管的難點(diǎn)���。
360集團(tuán)首席安全官 杜躍進(jìn):法律在一般情況下有一些認(rèn)定�����,比如通訊錄數(shù)據(jù)��、短信的數(shù)據(jù)���、點(diǎn)對(duì)點(diǎn)通信數(shù)據(jù),是絕對(duì)不能被采集的���,但是其他有一些地方其實(shí)就不那么清楚���。
浙江大學(xué)網(wǎng)絡(luò)空間安全研究中心研究員 周亞金:有一個(gè)所謂叫最小特權(quán)原則,就是說(shuō)如果你不這么做�����,或者你把某一項(xiàng)你需要的權(quán)限給拿掉,或者你把你目前在后臺(tái)做的某一個(gè)操作給拿掉�,它不影響你App的正常功能,這個(gè)權(quán)限你實(shí)際上就不應(yīng)該獲取�。
近年來(lái),有關(guān)部門(mén)定期針對(duì)App違法獲取個(gè)人信息的行為進(jìn)行曝光��,針對(duì)App的各項(xiàng)隱私政策也在不斷細(xì)化和規(guī)范�。
專(zhuān)家分析,因?yàn)楂@取成本高�、法律風(fēng)險(xiǎn)大,短期內(nèi)���,大家不必過(guò)于擔(dān)心自己的語(yǔ)音���、上傳的圖片等隱私信息被收集。
App專(zhuān)項(xiàng)治理工作組專(zhuān)家 何延哲:完全沒(méi)必要用竊聽(tīng)這么復(fù)雜高級(jí)的手段��,去針對(duì)某一個(gè)人的購(gòu)物需求去做這樣的事�����。造成精準(zhǔn)推送的原因有很多�,有可能是你的好友搜了一個(gè)商品,它可能知道你們是好友關(guān)系���,可能就會(huì)給這些人都會(huì)推這樣的信息�����,但是你感覺(jué)好像是自己的原因��,好像被“竊聽(tīng)”了����。
不過(guò)��,專(zhuān)家也提醒��,越來(lái)越多新的技術(shù)手段正在降低用戶(hù)信息獲取的成本和風(fēng)險(xiǎn)����。今年,浙江大學(xué)的最新研究成果顯示��,手機(jī)App甚至可以利用手機(jī)內(nèi)置的加速度傳感器���,采集手機(jī)揚(yáng)聲器所發(fā)出的聲音振動(dòng)頻率���。這樣的技術(shù)�,可以在用戶(hù)不知情的情況下�,繞開(kāi)隱私協(xié)議,合法地獲取語(yǔ)音信息���。
360集團(tuán)首席安全官 杜躍進(jìn) :普通用戶(hù)能做的很有限���,最多就是看一看App里面的隱私聲明,但是稍微大一點(diǎn)的App����,也都會(huì)知道在法規(guī)上文字上是不會(huì)有問(wèn)題的。
浙江大學(xué)網(wǎng)絡(luò)空間安全研究中心研究員 周亞金 :一些廠(chǎng)商可以提出繞過(guò)隱私協(xié)議的一些機(jī)制�����,來(lái)繼續(xù)訪(fǎng)問(wèn)用戶(hù)的隱私行為�,但是也不彈窗,也不會(huì)被發(fā)現(xiàn)��,這個(gè)其實(shí)技術(shù)上的攻防是一直存在的����。
與此同時(shí),個(gè)人信息的保護(hù)也一直在不斷加強(qiáng)��。去年12月,國(guó)家網(wǎng)信辦出臺(tái)《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》����,強(qiáng)化用戶(hù)的知情權(quán)和決定權(quán)。
App專(zhuān)項(xiàng)治理工作組專(zhuān)家 何延哲:能夠關(guān)閉這也是一種控制�����,廣告太精準(zhǔn)了���,恐怕最后起到的效果不一定很好,這里面就需要制定一些規(guī)則����,比如用戶(hù)畫(huà)像,不一定做一些直接的畫(huà)像�,比如可能這一群人喜歡足球、喜歡讀書(shū)��,這是一種愛(ài)好習(xí)慣�,就用這種寬泛性的愛(ài)好習(xí)慣來(lái)代替對(duì)于個(gè)人的精準(zhǔn)的需求。
