㈠ 隱私收集方式日益隱蔽,網民個人信息何時不再「裸奔」
在2019年國家網路安全宣傳周期間,中央網信辦網路安全協調局一級巡視員兼副局長楊春艷介紹,針對當前App強制授權、過度索權,超范圍收集個人信息,違法違規使用個人信息等數據安全問題,中央網信辦起草了《數據安全管理辦法》《個人信息出境安全評估辦法》《App違法違規收集使用個人信息行為認定方法》《移動互聯網應用(App)收集個人信息基本規范》等系列制度文件,已公開徵求意見。
網路安全博覽會展示黑產作案工具(李政葳/攝)
App與應用商店、SDK關系不容忽視
「App是用戶數據的集中點。其中,應用商店是App分發的重要渠道,很多設備廠商也會預裝了App,還有第三方SDK也是App研發重要環節。」在宣傳周期間舉辦的「個人信息保護論壇」上,中國信息通信研究院安全研究所所長魏亮說。
他提到,從經營者角度來說,App收集個人信息越多,就能為用戶提供更有價值的服務。所以,便捷服務與個人信息保護之間存在天然矛盾。「提供服務過程中也削弱了個人信息的自主權、決定權,通過大數據分析這些信息都可能還原成個人信息甚至敏感信息,因此,要平衡好個人信息保護與便捷服務之間的關系」。
如今,多數App包含著SDK(軟體開發工具包)。對此,魏亮表示,使用SDK可以提高效率、降低成本,很多時候廠家不想用SDK都不行。比如,做一款餐飲App,但沒有地圖和支付的相關牌照,就必須使用第三方SDK;但後續收集信息過程中的權利、責任等,都需要進一步研究。
另外,不容忽視的是,App與應用商店之間的關系。魏亮介紹,應用商店對App有管理責任,但管理責任的范圍、界限在哪是一個重要問題。「在使用時我們也發現,App可以繞開應用商店,待軟體更新之後可能會有新代碼以及新的權利要求」。
隱蔽收集、誤導收集用戶信息現象明顯
今年1月,中央網信辦等四部門聯合發布《App違法違規收集使用個人信息專項治理行動》公告。截至8月31日,專項治理組通過微信公眾號「App個人信息舉報」收到8000餘條民眾舉報,選取近600款用戶數量大、與民眾生活密切相關的App進行評估,督促問題嚴重的200餘款App進行整改,涉及整改的問題點達800餘個。
對此,App專項治理工作組成員何延哲做了歸納列舉:無隱私政策的情況只是少數,主要是一次性要求用戶打開多個可收集個人信息許可權,以及申請許可權時未向用戶同步說明目的等。
針對應用存在的典型問題,魏亮認為,「隱蔽收集個人信息」情況嚴重。部分App存在未經用戶個人同意,就開始收集、上傳個人信息的情況,比如,手機號、mac地址(區域網地址)、賬號密碼等,有些是在用戶不經意間獲取系統的高危許可權等。
另外,魏亮提到,還存在超用戶心理預期收集個人信息現象。比如,用戶關閉了GPS以後,就以為不再收集個人位置信息了,但實際上還可能通過用戶wifi監測位置。
「還有誤導用戶同意收集個人信息的情況。比如『允許開啟手機通訊錄許可權,以便讀取聯系人電話號碼,進行充值』,這就是誤導信息,對方想獲取用戶通訊錄。」魏亮說。
有關第三方SDK安全風險,同樣不容忽視。「大量的App都嵌入了SDK,而第三方SDK自身存在安全漏洞,很容易成為惡意代碼傳播途徑,尤其在隱蔽收集個人信息時App方也很難掌握情況」。
國家互聯網應急中心處長任彥提到,很多App的第三方SDK已被黑色產業「利用」。今年上半年有超過100萬惡意程序被捕獲,對SDK隱蔽獲取個人信息專項分析發現,有3600款聊天類App存在很多違法涉黃現象,這些多是惡意SDK竊取了用戶的個人信息。
需要企業自律,也要標准先行
從人們日常使用的移動應用看,其涉及的個人信息安全復雜多樣,並且涉及到多個主體,「需要政府部門、相關企業、App企業、SDK企業、手機企業、應用商店企業、行業組織、研究機構等共同處理。」談到解決思路,魏亮這樣說。
「要加快立法,細化個人信息收集使用規范。」魏亮說,現在法律規范還不能滿足現實需求,要推動個人信息保護法盡快出台,明確個人信息保護的權利與義務,加強對違法違規行為的追究;同時,對數據的所有權、數據資產保護等問題進行分析研判,釐清法律邊界、梳理立法線條。
「一是通過技術手段,二是通過科學的管理手段。前者從數據識別、使用到行為分析等,防止信息被泄露,完善個人信息系統化防護手段;後者則涉及了員工的安全意識以及技術支撐管理制度等。」天空衛士技術專家楊明非說。
在中央網信辦網路安全協調局綜合處處長唐鑫看來,應做到企業自律的同時,也要做到「標准先行」。很多應用的附加功能也在收集信息,但不能因為用戶拒絕提供信息就不讓使用,也不能因為拒絕一兩個授權就禁止使用,「希望通過標准規范,來解決這些問題」。