手機這個功能,趕緊關閉!

(原標題:手機這個功能,趕緊關閉!)

剛和朋友說想買件襯衣

購物App就推薦了多個品牌的襯衣,

仔細一看,款式和顏色還都是你常穿的。

想在手機上刷個劇,打開視頻App,

推送的劇目都是你喜歡的類型……

數據時代,看似沒有感情的手機App,卻可能比你本人更瞭解你,原因就是各種App暗中進行的個人信息蒐集。商家在未經用戶允許的情況下蒐集個人信息,不僅侵犯個人隱私,甚至會威脅人身安全。

7月9日,國家網信辦依據《網絡安全法》相關規定,通知應用商店下架“滴滴企業版”等25款App,要求相關運營者整改違法違規收集使用個人信息問題。此前,網絡安全審查辦公室發佈公告,對“運滿滿”“貨車幫”“BOSS直聘”啓動網絡安全審查。爲了確保關鍵信息基礎設施供應鏈安全,維護國家安全,國家互聯網信息辦公室會同有關部門修訂了《網絡安全審查辦法》,正在面向社會公開徵求意見。

中國信息安全技能競賽專家委員會專家楊蔚認爲,數據集中化權限集中化的背後,對數據安全管理與保護提出了更高的要求,也是行業新的挑戰。“App在合理合法的原則下來收集個人信息是有必要的,數據流動起來纔有價值。限制數據採集無法保護數據安全,正確使用和妥善保護其實更加重要。這就需要國家的監管審查、企業的重視執行和個人的防範同時發力。”

圖片來源於攝圖

APP的悄然採集,讓網民信息在暗中“裸奔”

打開招聘軟件,填寫簡歷上傳,包括出生年月、身份證號、地址、學歷、工作經歷等個人關鍵信息就會留存在軟件的後臺系統中。使用打車軟件下單叫車,App會定位你所在的位置,記錄你每一次的出行軌跡和起點終點。各種App的出現,爲大數據時代的生活帶來了諸多便捷。然而,隱藏在背後的採集個人信息行爲卻讓網民信息存在“裸奔”風險

除了中國信息安全技能競賽專家委員會專家,楊蔚的另外一個身份是北京衆安天下科技有限公司CEO。也曾對個人信息安全做過專門的研究。他告訴記者,目前,市面上的多數App都有不同程度的採集個人信息行爲。比如,App在實名認證過程中採集了用戶的身份信息、銀行卡信息,如果App運營商對相關信息未做處理就進行存儲,就會導致大量個人信息泄露。“多數APP爲了確認用戶存活數,都會採用短信驗證的方式來確定是否爲唯一註冊。如果App服務商對用戶的手機號處理不當,就會導致用戶手機號碼泄露。此外,App運營廠商爲了存活量,幾乎每一款App都會收集用戶IMEI、設備ID等信息,這也屬於個人信息採集的一種。”楊蔚說。

還有一些App會打着安全的旗號,通過購物支付、手機解鎖、刷臉開門等渠道,採集用戶的人臉識別信息。楊蔚介紹,人臉信息是用戶的弱隱私特徵,存在唯一性。然而,人臉識別應用五花八門,也沒有統一的行業標準,大量的人臉數據都被存儲在各應用運營方或是技術提供方的中心化數據庫中。數據是否脫敏、安全是否到位、哪些用於算法訓練、哪些會被合作方分享,外界一概不知。

不久前,“人臉識別時一定要穿衣服攝像頭拍到的可能不止是臉……”話題以1.7億的閱讀量躍上熱搜,將網友帶進了大型社死現場。從事後臺審覈的工作人員在進行人臉識別審覈時,經常會看到很多人在洗澡、和另一半擁抱、沒穿衣服等各種“奇奇怪怪”的場景。

部分網友質疑平臺方未能提醒用戶“人臉識別系統後臺人工審覈時,可以看到攝像頭全景”。專家分析,從技術角度來說,人臉識別的圖像被其他人看到的可能性是客觀存在的。對於公衆來說,明白風險並儘量避免,纔是自我保護最好的方式。一旦服務器被入侵,高度敏感的人臉數據就會面臨泄露風險。

泄露的數據一步步匯入黑色產業鏈

圖片來源於攝圖網

個人信息的直接泄露,會造成什麼樣的後果?對於泄露的數據如何一步步匯入黑色產業鏈,楊蔚進行了解釋:“這些信息非常有價值,有人買就有人賣。既然下游有人願意花錢,那自然就會有黑客去攻擊這些目標。黑客非法獲取這些信息,拿到數據以後,就會有人接手。這裡面還有大量二道販子的存在,在中間賺差價。”

楊蔚說,這個鏈條上的人分工特別明確,而且都是“專業”級別的團隊操作。“有些人會專門去聯繫相關的培訓機構詐騙團伙,從而把手上的數據賣到下游。而下游這些團隊,有專人負責詐騙的話術編寫培訓、線上通過第三方支付平臺洗錢、線下ATM機提款等,分工非常明確。大量詐騙案件由此產生。”

而被App收集到的用戶IMEI、設備ID等信息一經泄露,設備造假會變得更加容易。大多數App都會索要存儲權限,一旦存儲權限給予App後,App就可以任意讀寫甚至刪除存儲卡中的內容。

這意味着App服務商能夠對用戶手機端上的數據採集、應用管理等擁有了更高的權限,一旦相關服務商存在重大漏洞,有可能被惡意攻擊者獲取海量信息,後果不堪設想。同時,也對App服務商的數據管理也提出了更高的要求。很多數據泄露事件的根源不僅僅來自黑客攻擊,內鬼竊取數據的事件甚至高於黑客攻擊。

根據用戶畫像推送低劣廣告

老人通過智能手機看新聞、小說時,手機屏幕總會自動蹦出一些“安全提示”:“病毒”“垃圾”“內存嚴重不足”。信以爲真的老人往往會按照提示清理手機,但“安全提示”越清理越多,手機越用越慢。

今年的央視“3·15”晚會調查揭露,老人手機上的清理類軟件,藏着這樣的安全陷阱。楊蔚分析,這是另一種相對隱蔽的、通過信息泄露來獲取利益的方式——廣告誘導。

記者實驗發現,在一款閱讀軟件裡,正常閱讀過程中出現了“安全清理”提示,點擊後,一款名叫“智能清理大師”的App自動下載成功,但清理過程中仍會跳出“清理手機緩存”提醒,點擊後,手機又下載安裝了另一款清理軟件。在不斷的“提醒、下載、清理”過程中,更多App被自動安裝。

楊蔚分析,這些App表面上是在清理手機垃圾,背地裡則在大量獲取手機數據信息,對使用者進行用戶畫像,打上標籤,再將各種低劣廣告源源不斷地推送給用戶。“也有一些App在對用戶畫像信息進行加工後,把結果賣給上下游合作機構,進行變現。還有些App可能通過手機定位或手機號碼來判斷用戶所在區域、地理位置,推斷用戶安全意識和IT技能相對較弱,繼而精準投放一些廣告或者推薦一些流氓軟件,從中獲利。”楊蔚說。

個人信息保護是企業應當堅守的基本底線

圖片來源於攝圖網

App信息安全問題層出不窮,影響到的不僅僅是個人。碎片化的信息一旦聚合起來,通過大量算法進一步加工,能得出很多影響決策的結論,甚至會影響到國家安全。

針對個人信息泄露問題,工信部開展了縱深推進App侵害用戶權益專項整治行動,先後多次向社會通報和下架了多款侵害用戶權益行爲App。而在今年315國際消費者權益日主題活動上,工信部表示,將繼續開展App問題治理,進一步強化消費者個人信息保護。

“這兩年,國家網信辦、公安部、工信部都在針對App開展專項檢查、抽查,力度很大。”楊蔚說。

法律層面,有關數據安全的要求也越來越多。此前,國家網信辦已經發布了《數據安全管理辦法》,爲個人數據安全加把鎖。今年6月,第十三屆全國人民代表大會常務委員會第二十九次會議通過了《中華人民共和國數據安全法》,將於今年9月1日正式實施。

除了國家層面的監管,企業也必須要提高保護用戶信息的意識。在數字經濟時代,做好個人信息保護是企業應當堅守的基本底線,也是企業長久健康發展的基礎支撐。

但在信息安全的道路上,企業自身也面臨着一些難題。楊蔚分析,當App所屬企業的規模還未壯大時,企業對於信息安全、產品規範、數據收集和保護的投入能力都很有限,於是導致了更多的安全隱患和問題。有些企業並非主動向外泄露用戶信息,而是產品本身不完善,給犯罪團伙提供了可乘之機。“這種情況在中小企業中尤爲明顯,頭部企業的信息安全做的相對比較好。”楊蔚說。

若將信息安全的把關責任都歸在用戶身上,楊蔚認爲,這也不合理。“企業將上傳個人信息設置爲使用產品的前置條件,用戶若要使用App,必須同意上傳這些信息。雖然國家要求App在註冊階段告知採集信息可能帶來的風險,但App官方擬定的條款非常專業,且密密麻麻,絕大多數用戶沒有耐心看完、也未必有能力看懂這些條款,只能直接點選‘同意’。這樣的大環境,使得用戶在保護個人信息時十分被動。”

“個人認爲,App在合理合法的原則下來收集個人信息是有必要的,數據流動起來纔有價值。目前,我們國家的數據安全監管的重心放在數據合法採集上面。但實際上,數據即使被合法採集,也不代表它是安全的。即便是用戶同意採集,數據也會有可能被倒賣、被濫用。限制數據採集無法保護數據安全,正確使用和妥善保護其實更加重要。只考慮數據的合法採集,是遠遠不夠的。應該考慮的是,採集後的數據用什麼樣的方法和機制來保護其安全,並且及時發現危害安全的行爲,進行相應的處置。”楊蔚說。

建議加大對違法行爲的處罰力度

爲了有效提升公民個人信息保護水平,楊蔚建議,國家應加速推進個人信息保護法律的制定,強化政府相關部門對個人信息安全的監管,加大公安機關對涉公民個人信息違法犯罪的打擊力度,強化互聯網企業的行業監督、行業自律,不斷增強公民個人信息保護意識。

首先,監管部門應持續性加強對個人信息採集的監管力度。數據安全監管機構定期對各行業領域涉及的企業機構開展監督執法,督促企業落實法律數據安全合規性評估要求。在個人數據保護方面,監管機構對標數據保護法,對企業違反合規性評估要求的行爲進行執法處罰。企業應該基於法律法規和相關標準要求,積極開展數據安全自評。

目前,新出臺的《數據安全法》已經確立了數據分類分級管理、數據安全審查、數據安全風險評估、監測預警和應急處置等基本制度,爲國家數據安全保護提供了有力的法律保障,並指明數據安全保護的方向。不過,數據安全保護和個人信息保護的法定義務以及具體制度執行還需要監管機構來保障落實。因此,對於數據安全保護不僅要建立事前預防、事中監督和事後處理的監管制度,還需要綜合運用抽查審計、事件通報、行政處罰和刑事制裁等監管手段,加大對違法行爲的處罰力度,強化處罰的威懾作用。

掌握竅門,防範個人信息被過度採集

國家能做的,是監管、審查和對個人信息保護的推動,但最終還是要落實到企業自身的重視和執行當中。

楊蔚認爲,企業端應承擔保護用戶信息的責任,減少對用戶信息的採集,加強自身的網絡安全建設,藉助專業的安全機構、民間安全力量對企業系統網絡環境進行評估,建議採取安全衆測、滲透測試的方式來對系統進行全面的安全檢查等。

一方面,企業自身要對自身產品及業務進行評估;另外一方面是要尋求專業機構和安全力量的幫助,協助完善產品安全能力,保障用戶數據隱私安全。他建議:“針對當前的數據安全的形勢,應該以數據爲中心、以組織爲單位、以能力成熟度爲抓手,來開展數據安全治理。其目的不只是爲了合規,更是爲控制風險、提升能力。只有這樣,才能更好地適應變化,真正保護好數據安全。”

對於用戶,楊蔚也給出了防範個人信息被過度採集的建議。比如:儘量從正規渠道下載手機App。關閉手機App的隱私使用權限,爲不同類型的手機App設置不同的賬號密碼。在外不要隨意連接免費無線網絡,晚上睡覺關閉網絡通訊。臨時使用的權限用完儘量關閉。

如遇App設置“不開啓權限不能用”的霸王條款,可以先去“違法和不良信息舉報中心”舉報,然後適當更換同類App。長時間不用的App儘量卸載,防止被其他App調用,從而導致敏感信息泄露。“總之,個人用戶要學會說‘不’,遇到不符合要求或者嚴重採集數據的情況應及時舉報。”

來源:新聞晨報

編審:廖壽喜 | 監製:李鵬