現(xiàn)在����,我們手機(jī)中都安裝了各種應(yīng)用����,也就是各種App,的確方便了我們的工作�����、生活���,但是也獲取了我們大量的個人信息���。一些App的推送能“精準(zhǔn)”到你在想什么��,它就給你推送什么���。App的這種“正合我意”是怎么實現(xiàn)的?個人信息安全有沒有風(fēng)險呢�?
App獲取個人信息 用戶感覺“被竊聽”
北京的苑慶攀最近有個疑惑,和朋友只在線下閑聊過的東西���,第二天就出現(xiàn)在自己手機(jī)應(yīng)用的推送里。
手機(jī)用戶 苑慶攀:朋友說椰棗��,過了一天我就刷到了關(guān)于椰棗的推薦視頻�。我覺得很驚訝,我除了說��,沒有任何搜索記錄����,咋就給我推薦了?
過于精準(zhǔn)的推送內(nèi)容����,讓苑慶攀感覺“后背發(fā)涼”。而這并不是苑慶攀一個人的感受����。
手機(jī)用戶 李先生:有的App使用的話就要把通訊錄等信息都授權(quán)����,我都不知道為什么要授權(quán)這些信息����。
手機(jī)用戶 紀(jì)女士:輸入自己的手機(jī)號發(fā)送驗證碼之類的,第二天或者過幾天就會有不知名的一些電話打進(jìn)來����,推銷一些東西。
就在上周����,工信部公布了2020年第二批侵害用戶權(quán)益行為的App名單。在被點名的15個App中�,有13個都涉及個人信息的過度收集,包括“私自收集個人信息”“超范圍收集個人信息”“私自共享給第三方”等等�,個人信息安全依然受到威脅。
中國信息通信研究院泰爾終端實驗室信息安全部主任 寧華:在后臺運行時����,未經(jīng)用戶同意,按照一定的時間間隔定期調(diào)用系統(tǒng)API接口,頻繁獲取位置�、應(yīng)用列表等用戶個人信息。這些新現(xiàn)象新問題已成為今年App個人信息保護(hù)治理的新重點�。
而一些非法網(wǎng)絡(luò)推廣團(tuán)伙也盯上了個人的信息。今年以來�,公安部在15個省份開展打擊貸款類網(wǎng)絡(luò)詐騙犯罪,發(fā)現(xiàn)非法團(tuán)伙就是將矛頭指向有明確貸款意向的人員���,根據(jù)他們在互聯(lián)網(wǎng)���、手機(jī)App等的瀏覽、搜索記錄�����,分析其貸款意向�����,從而精準(zhǔn)推送大量虛假貸款廣告��,并實施詐騙��。
360集團(tuán)安全研究員 俞奎:他拿到你的通訊錄�����,又拿到短信����,他可能知道你近段時間有借貸需求,這個時候他就可能會把這些數(shù)據(jù)進(jìn)行二次販賣��,比如賣給一些專門做詐騙的人員����。
手段隱蔽 多款A(yù)pp違規(guī)收集個人信息
面對越來越精準(zhǔn)的推送,用戶有著擔(dān)心“被竊聽”的焦慮���,個人信息也確實存在過度獲取的可能�����。為此��,國家有關(guān)部門專門組建了App專項治理工作組����,對強制授權(quán)���、過度索權(quán)���、超范圍收集個人信息等現(xiàn)象進(jìn)行專業(yè)的監(jiān)管��。精準(zhǔn)推送怎么實現(xiàn)�����?過度獲取怎么界定����?
App專項治理工作組專家 何延哲:第一個數(shù)據(jù)包出現(xiàn)了����,我們再等等,第二個數(shù)據(jù)包也出來了�����,我點開數(shù)據(jù)包���,這里面就有一個是設(shè)備的IMEI號(移動設(shè)備標(biāo)識號)的標(biāo)識符。
在App專項治理工作組�����,針對個人信息保護(hù)的測試正在緊張地進(jìn)行。檢測工具顯示�����,這款社交類App剛安裝進(jìn)手機(jī)���,一次都還沒有打開����,卻已經(jīng)開始悄悄地向外傳輸數(shù)據(jù)�。
App專項治理工作組專家 何延哲:App在隱私政策里沒有提這件事,而且完全是隱瞞了它的自啟動的方式����,自己又把信息傳到了自己的服務(wù)器上,是有實證的�。明確是違法、違規(guī)收集的一種行為�����。
專家告訴記者���,App獲取的第一個信息��,往往就是手機(jī)的IMEI號�����,也就是移動設(shè)備標(biāo)識號�����。這個唯一的識別碼�,相當(dāng)于手機(jī)的身份證。不管是經(jīng)過用戶同意“拿走”�,還是不經(jīng)允許“偷走”,App一旦獲得了移動設(shè)備標(biāo)識號�,就為個性化推送奠定了基礎(chǔ)。更可怕的是���,專項治理工作組對大量App測試后發(fā)現(xiàn)���,App獲取的信息,不僅能自己用����,甚至有部分App,會把信息傳給第三方����。
App專項治理工作組專家 何延哲:這是一款第三方SDK(軟件開發(fā)工具包),它通過自啟動之后的機(jī)制����,把用戶手機(jī)上的IMEI號這樣的信息傳走了。
專家介紹�,在個別App內(nèi)嵌入的第三方軟件開發(fā)工具包超過50個。這些有著消息推送等功能的第三方工具包�,行為更隱蔽,也是目前監(jiān)管的難點��。
360集團(tuán)首席安全官 杜躍進(jìn):法律在一般情況下有一些認(rèn)定����,比如通訊錄數(shù)據(jù)、短信的數(shù)據(jù)�、點對點通信數(shù)據(jù),是絕對不能被采集的��,但是其他有一些地方其實就不那么清楚��。
浙江大學(xué)網(wǎng)絡(luò)空間安全研究中心研究員 周亞金:有一個所謂叫最小特權(quán)原則�����,就是說如果你不這么做,或者你把某一項你需要的權(quán)限給拿掉��,或者你把你目前在后臺做的某一個操作給拿掉�,它不影響你App的正常功能,這個權(quán)限你實際上就不應(yīng)該獲取���。
近年來�����,有關(guān)部門定期針對App違法獲取個人信息的行為進(jìn)行曝光���,針對App的各項隱私政策也在不斷細(xì)化和規(guī)范。
專家分析�,因為獲取成本高、法律風(fēng)險大�����,短期內(nèi)����,大家不必過于擔(dān)心自己的語音��、上傳的圖片等隱私信息被收集。
App專項治理工作組專家 何延哲:完全沒必要用竊聽這么復(fù)雜高級的手段�,去針對某一個人的購物需求去做這樣的事。造成精準(zhǔn)推送的原因有很多�����,有可能是你的好友搜了一個商品�����,它可能知道你們是好友關(guān)系����,可能就會給這些人都會推這樣的信息,但是你感覺好像是自己的原因��,好像被“竊聽”了���。
不過���,專家也提醒,越來越多新的技術(shù)手段正在降低用戶信息獲取的成本和風(fēng)險。今年����,浙江大學(xué)的最新研究成果顯示,手機(jī)App甚至可以利用手機(jī)內(nèi)置的加速度傳感器�����,采集手機(jī)揚聲器所發(fā)出的聲音振動頻率�。這樣的技術(shù),可以在用戶不知情的情況下��,繞開隱私協(xié)議����,合法地獲取語音信息。
360集團(tuán)首席安全官 杜躍進(jìn) :普通用戶能做的很有限����,最多就是看一看App里面的隱私聲明,但是稍微大一點的App�����,也都會知道在法規(guī)上文字上是不會有問題的�����。
浙江大學(xué)網(wǎng)絡(luò)空間安全研究中心研究員 周亞金 :一些廠商可以提出繞過隱私協(xié)議的一些機(jī)制,來繼續(xù)訪問用戶的隱私行為��,但是也不彈窗��,也不會被發(fā)現(xiàn)�,這個其實技術(shù)上的攻防是一直存在的����。
與此同時���,個人信息的保護(hù)也一直在不斷加強��。去年12月���,國家網(wǎng)信辦出臺《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》,強化用戶的知情權(quán)和決定權(quán)�����。
App專項治理工作組專家 何延哲:能夠關(guān)閉這也是一種控制��,廣告太精準(zhǔn)了,恐怕最后起到的效果不一定很好���,這里面就需要制定一些規(guī)則�����,比如用戶畫像���,不一定做一些直接的畫像,比如可能這一群人喜歡足球����、喜歡讀書,這是一種愛好習(xí)慣�����,就用這種寬泛性的愛好習(xí)慣來代替對于個人的精準(zhǔn)的需求�。
