隱私收集方式日益隱蔽,網民個人信息何時不再“裸奔”
在2019年國家網絡安全宣傳周期間,中央網信辦網絡安全協調局壹級巡視員兼副局長楊春艷介紹,針對當前App強制授權、過度索權,超範圍收集個人信息,違法違規使用個人信息等數據安全問題,中央網信辦起草了《數據安全管理辦法》《個人信息出境安全評估辦法》《App違法違規收集使用個人信息行為認定方法》《移動互聯網應用(App)收集個人信息基本規範》等系列制度文件,已公開征求意見。
網絡安全博覽會展示黑產作案工具(李政葳/攝)
App與應用商店、SDK關系不容忽視
“App是用戶數據的集中點。其中,應用商店是App分發的重要渠道,很多設備廠商也會預裝了App,還有第三方SDK也是App研發重要環節。”在宣傳周期間舉辦的“個人信息保護論壇”上,中國信息通信研究院安全研究所所長魏亮說。
他提到,從經營者角度來說,App收集個人信息越多,就能為用戶提供更有價值的服務。所以,便捷服務與個人信息保護之間存在天然矛盾。“提供服務過程中也削弱了個人信息的自主權、決定權,通過大數據分析這些信息都可能還原成個人信息甚至敏感信息,因此,要平衡好個人信息保護與便捷服務之間的關系”。
如今,多數App包含著SDK(軟件開發工具包)。對此,魏亮表示,使用SDK可以提高效率、降低成本,很多時候廠家不想用SDK都不行。比如,做壹款餐飲App,但沒有地圖和支付的相關牌照,就必須使用第三方SDK;但後續收集信息過程中的權利、責任等,都需要進壹步研究。
另外,不容忽視的是,App與應用商店之間的關系。魏亮介紹,應用商店對App有管理責任,但管理責任的範圍、界限在哪是壹個重要問題。“在使用時我們也發現,App可以繞開應用商店,待軟件更新之後可能會有新代碼以及新的權利要求”。
隱蔽收集、誤導收集用戶信息現象明顯
今年1月,中央網信辦等四部門聯合發布《App違法違規收集使用個人信息專項治理行動》公告。截至8月31日,專項治理組通過微信公眾號“App個人信息舉報”收到8000余條民眾舉報,選取近600款用戶數量大、與民眾生活密切相關的App進行評估,督促問題嚴重的200余款App進行整改,涉及整改的問題點達800余個。
對此,App專項治理工作組成員何延哲做了歸納列舉:無隱私政策的情況只是少數,主要是壹次性要求用戶打開多個可收集個人信息權限,以及申請權限時未向用戶同步說明目的等。
針對應用存在的典型問題,魏亮認為,“隱蔽收集個人信息”情況嚴重。部分App存在未經用戶個人同意,就開始收集、上傳個人信息的情況,比如,手機號、mac地址(局域網地址)、賬號密碼等,有些是在用戶不經意間獲取系統的高危權限等。
另外,魏亮提到,還存在超用戶心理預期收集個人信息現象。比如,用戶關閉了GPS以後,就以為不再收集個人位置信息了,但實際上還可能通過用戶wifi監測位置。
“還有誤導用戶同意收集個人信息的情況。比如‘允許開啟手機通訊錄權限,以便讀取聯系人電話號碼,進行充值’,這就是誤導信息,對方想獲取用戶通訊錄。”魏亮說。
有關第三方SDK安全風險,同樣不容忽視。“大量的App都嵌入了SDK,而第三方SDK自身存在安全漏洞,很容易成為惡意代碼傳播途徑,尤其在隱蔽收集個人信息時App方也很難掌握情況”。
國家互聯網應急中心處長任彥提到,很多App的第三方SDK已被黑色產業“利用”。今年上半年有超過100萬惡意程序被捕獲,對SDK隱蔽獲取個人信息專項分析發現,有3600款聊天類App存在很多違法涉黃現象,這些多是惡意SDK竊取了用戶的個人信息。
需要企業自律,也要標準先行
從人們日常使用的移動應用看,其涉及的個人信息安全復雜多樣,並且涉及到多個主體,“需要政府部門、相關企業、App企業、SDK企業、手機企業、應用商店企業、行業組織、研究機構等***同處理。”談到解決思路,魏亮這樣說。
“要加快立法,細化個人信息收集使用規範。”魏亮說,現在法律規範還不能滿足現實需求,要推動個人信息保護法盡快出臺,明確個人信息保護的權利與義務,加強對違法違規行為的追究;同時,對數據的所有權、數據資產保護等問題進行分析研判,厘清法律邊界、梳理立法線條。
“壹是通過技術手段,二是通過科學的管理手段。前者從數據識別、使用到行為分析等,防止信息被泄露,完善個人信息系統化防護手段;後者則涉及了員工的安全意識以及技術支撐管理制度等。”天空衛士技術專家楊明非說。
在中央網信辦網絡安全協調局綜合處處長唐鑫看來,應做到企業自律的同時,也要做到“標準先行”。很多應用的附加功能也在收集信息,但不能因為用戶拒絕提供信息就不讓使用,也不能因為拒絕壹兩個授權就禁止使用,“希望通過標準規範,來解決這些問題”。