(央視財經《經濟信息聯播》)如今,人人手中幾乎都有一部智能手機,裏面的各種App,不僅方便了工作、生活,也獲取了我們大量的個人信息。一些App推送特別“精準”,甚至是你在想什麼,App就給你推送什麼。App的這種“正合我意”,是怎麼實現的?個人信息安全有沒有風險?
北京的苑慶攀最近有個疑惑。和朋友只在線下閒聊過的東西,第二天就出現在自己手機應用的推送裏。
手機用户 苑慶攀:朋友説椰棗,過了一天我就刷到了關於椰棗的推薦視頻。我覺得很驚訝,沒有任何搜索記錄,怎麼就給我推薦了。
過於精準的推送內容,讓苑慶攀感覺“後背發涼”。而這並不是苑慶攀一個人的感受。
手機用户 李先生:有的App要用就要同意授權通訊錄各種信息,我不知道為什麼要授權這些信息。
手機用户 紀女士:輸入自己的手機號發送驗證碼之類的,第二天或者過幾天就會有不知名的電話打進來,推銷一些東西。
就在上週,工信部公佈了2020年第二批侵害用户權益行為的App名單。在被點名的15個App中,有13個都涉及個人信息的過度收集,包括“私自收集個人信息”“超範圍收集個人信息”“私自共享給第三方”等等;個人信息安全依然受到威脅。
中國信息通信研究院泰爾終端實驗室信息安全部主任 寧華:未經用户同意,按照一定的時間間隔定期調用系統API(接口),頻繁獲取位置、應用列表等用户個人信息。這些新問題已成為今年App個人信息保護治理的新重點。
而一些非法網絡推廣團伙也盯上了個人的信息。今年以來,公安部在15個省份開展打擊貸款類網絡詐騙犯罪,發現非法團伙就是將矛頭指向有明確貸款意向的人員,根據他們在互聯網、手機App等的瀏覽、搜索記錄,分析其貸款意向,從而精準推送大量虛假貸款廣告,並實施詐騙。
360集團安全研究員 俞奎:拿到通訊錄,又拿到短信,就可能知道用户近段時間有借貸的需求,這時候就可能會把這些數據進行二次販賣,賣給一些專門做詐騙的人員。
手段隱蔽多款App違規收集個人信息
面對越來越精準的推送,用户有着擔心“被竊聽”的焦慮,個人信息也確實存在過度獲取的可能。為此,國家有關部門專門組建了App專項治理工作組,對強制授權、過度索權、超範圍收集個人信息等行為時刻進行專業的監管。精準推送怎麼實現?過度獲取怎麼界定?
在App專項治理工作組,針對個人信息保護的測試正在緊張地進行。檢測工具顯示,這款社交類App剛安裝進手機,一次都還沒有打開,卻已經開始悄悄地向外傳輸數據。
App專項治理工作組專家 何延哲:App在隱私政策裏沒有提這件事,而且完全隱瞞了它的自啓動的方式,又把這個信息傳到了自己的服務器上,是有實證的。明確是違法、違規收集的一種行為。
專家告訴記者,App獲取的第一個信息,往往就是手機的IMEI號,也就是移動設備標識號。這個唯一的識別碼,相當於手機的身份證。不管是經過用户同意“拿走”,還是不經允許“偷走”,App一旦獲得了移動設備標識號,就為個性化推送奠定了基礎。更可怕的是,專項治理工作組對大量App測試後發現,App獲取的信息,不僅能自己用,甚至有部分App,會把信息傳給第三方。
App專項治理工作組專家 何延哲:這是一款第三方SDK(軟件開發工具包),它通過自啓動之後的機制,把用户手機上的IMEI號這樣的信息傳走了。
專家介紹,在App內嵌入的第三方軟件開發工具包超過50個。這些有着消息推送等功能的第三方工具包,行為更隱蔽,也是目前監管的難點。
360集團首席安全官 杜躍進:法律在一般情況下有一些認定,比如説通訊錄數據、短信數據、點對點通信數據,是絕對不能被採的,但是其他一些地方就不那麼清楚。
浙江大學網絡空間安全研究中心研究員 周亞金:它有一個最小特權原則,就是説如果不這麼做,或者把某一項需要的權限拿掉,把目前在後台做的某一個操作拿掉,不影響App的正常功能,那麼這個權限實際上就不應該獲取。
專家:獲取技術在進步信息保護在加碼
手機應用讀取、利用用户的個人信息,並提供個性化服務本是件好事。近年來,有關部門定期針對App違法獲取個人信息的行為進行曝光,針對App的各項隱私政策也在不斷細化和規範。
專家分析,因為獲取成本高、法律風險大,短期內,大家不必過於擔心自己的語音、上傳的圖片等隱私信息被收集。
App專項治理工作組專家 何延哲:完全沒必要用一種竊聽這麼複雜高級的手段針對某一個人的購物需求做這樣的事。造成精準推送的原因有很多,可能是你的好友搜了這樣的商品,因為它可能知道你們是好友關係,就會給這些人都推這樣的信息,但是你感覺好像是自己的原因,好像被“竊聽”了。
不過,專家也提醒,越來越多新的技術手段正在降低用户信息獲取的成本和風險。今年3月,浙江大學的最新研究成果顯示,手機App甚至可以利用手機內置的加速度傳感器,採集手機揚聲器所發出的聲音振動頻率。這樣的技術,可以在用户不知情的情況下,繞開隱私協議,合法地獲取語音信息。
360集團首席安全官 杜躍進:普通用户能做的很有限,最多就是看一看App裏面的隱私聲明,但是稍微大一點的App都知道法規,文字上是不會有問題的。
浙江大學網絡空間安全研究中心研究員 周亞金:一些廠商可以提出繞過隱私協議的機制,繼續訪問用户的隱私行為,但是不彈窗,也不會讓你發現,其實技術上的攻防是一直存在的。
與此同時,個人信息的保護也一直在不斷加強。去年12月,國家網信辦等四部門出台《App違法違規收集使用個人信息行為認定方法》,明確提出強化用户的知情權和選擇權。
App專項治理工作組專家 何延哲:能夠關閉這也是一種控制,廣告太精準起到的效果不一定很好,這就需要制定一些規則,比如用户畫像、個人喜歡什麼,比如這羣人可能喜歡足球、喜歡讀書,是一種愛好習慣,就用這種寬泛性的愛好習慣來代替這種對於個人的精準需求。