编辑:李晟达
来源:正和岛
当你注册微信的时候,你需要阅读一份8300字的隐私协议,必须勾选“我已阅读并同意上述条款”才能进行下一步,但我们都知道其实你并没有读,也不知道你究竟同意了什么条款,理论上只要你同意,你在APP里填写的住址、电话号码、聊天记录、手机里的通讯录、照片、短信、通话记录都可以被APP们自由地采集和分析。他们对你的隐私数据到底做了什么?
首先我们要知道APP究竟能采集到你的哪些信息。在Android提供的开发者文档中,我们可以把APP能够获取的权限分为普通权限和危险权限。普通权限有140项,不需要用户同意就可以获取,比如控制你的振动传感器和日历数据。而更敏感的危险权限则分为9组,比如录制音频,读取短信,访问照片等等。而这些授权基本都是一次性的,比如你需要通过APP发送语音打开了麦克风权限,那么这个APP理论上是可以一直在你的使用过程中录音的。这时我们就需要分清APP权限和APP可以采集的数据,在大多数App的隐私协议里都会说明他们不会偷听或者偷看。
然而,事实真是如此吗?
2020年刚过半程,工信部就已公布了两批“关于侵害用户权益行为的App”名单。此外,央视财经也对此乱象进行了报道。不难看出,违规越界的App,层出不穷,它们正成为信息化毒瘤。
01、 APP到底出了什么问题?
7月12日,央视财经曝光了一些越界App获取个人信息的现象。
报道指出,部分用户在线下闲聊时出现的词语,之后会出现在手机应用的推送中,由此怀疑手机App存在窃听的行径。另外,报道还指出了一些不合理的信息授权行为、以及利用手机验证码方式获取个人信息等问题。
在央视曝光之后,网友们纷纷表示同感——“早就有这种感受了”“有隐私太难了”“这个问题是很严重了”“遇到这种情况不是一次两次了,没有秘密的世界”……
今年5月,工信部就公布了2020年第一批存在问题的应用软件名单,包括当当、租租车、WiFi管家等App。
2020年第一批存在问题的应用软件名单
过了不到两个月,7月3日,工信部就公布了2020年第二批侵害用户权益行为的App名单,主要包括智慧树、纳米盒、悟饭游戏厅等15款App。
2020年第二批侵害用户权益行为的App名单
从工信部公布的App名单中可以看出,其涉及的问题主要包括以下几个方面:
私自收取个人信息、超范围收取个人信息、私自共享给第三方、不给权限不让用、频繁申请权限、过度索取权限、强制用户使用定向推送功能、账号注销难等。
02、 手机APP到底如何获取你的个人信息?
中国信息通信研究院泰尔终端实验室信息安全部主任宁华表示:“在后台运行时,未经用户同意,按照一定的时间间隔定期调用系统API接口,频繁获取位置、应用列表等用户个人信息。这些新现象新问题已成为今年App个人信息保护治理的新重点。”
针对此类问题,国家有关部门专门组建了App专项治理工作组,对强制授权、过度索权、超范围收集个人信息等现象进行专业的监管。
在App专项治理工作组,针对个人信息保护的测试正在紧张地进行。检测工具显示,这款社交类App刚安装进手机,一次都还没有打开,却已经开始悄悄地向外传输数据。
App专项治理工作组专家何延哲:第一个数据包出现了,我们再等等,第二个数据包也出来了,我点开数据包,这里面就有一个是设备的IMEI号(移动设备标识号)的标识符。App在隐私政策里没有提这件事,而且完全是隐瞒了它的自启动的方式,自己又把信息传到了自己的服务器上,是有实证的。明确是违法、违规收集的一种行为。
专家告诉记者,App获取的第一个信息,往往就是手机的IMEI号,也就是移动设备标识号。这个唯一的识别码,相当于手机的身份证。不管是经过用户同意“拿走”,还是不经允许“偷走”,App一旦获得了移动设备标识号,就为个性化推送奠定了基础。更可怕的是,专项治理工作组对大量App测试后发现,App获取的信息,不仅能自己用,甚至有部分App,会把信息传给第三方。
App专项治理工作组专家 何延哲:这是一款第三方SDK(软件开发工具包),它通过自启动之后的机制,把用户手机上的IMEI号这样的信息传走了。
专家介绍,在个别App内嵌入的第三方软件开发工具包超过50个。这些有着消息推送等功能的第三方工具包,行为更隐蔽,也是目前监管的难点。
03、如何防范APP过度收集个人信息?
①完善立法、加强执法
近年来,有关部门定期针对App违法获取个人信息的行为进行曝光,针对App的各项隐私政策也在不断细化和规范。
专家分析,因为获取成本高、法律风险大,短期内,大家不必过于担心自己的语音、上传的图片等隐私信息被收集。
不过,专家也提醒,越来越多新的技术手段正在降低用户信息获取的成本和风险。今年,浙江大学的最新研究成果显示,手机App甚至可以利用手机内置的加速度传感器,采集手机扬声器所发出的声音振动频率。这样的技术,可以在用户不知情的情况下,绕开隐私协议,合法地获取语音信息。
浙江大学网络空间安全研究中心研究员 周亚金 :一些厂商可以提出绕过隐私协议的一些机制,来继续访问用户的隐私行为,但是也不弹窗,也不会被发现,这个其实技术上的攻防是一直存在的。
与此同时,个人信息的保护正在不断加强。例如《中华人民共和国 网络安全法》第四十四条:任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。去年12月,国家网信办出台《App违法违规收集使用个人信息行为认定方法》,强化用户的知情权和决定权。
②厂商加强个人信息安全保护技术
为了进一步保护用户个人信息安全,小米在MIUI 12中加入了“照明弹”、“拦截网”和“隐匿面具”三个功能。可能是其保护用户隐私的能力太强了,甚至被央视点名表扬。
其实,很多厂商的系统都有保护用户隐私的功能,例如苹果早在iOS 6中便引入了专门的“隐私”菜单,使用户能非常简单地控制应用程序可访问的内容和数据。
除苹果外,华为的手机系统也有保护用户隐私的功能,比如隐私空间(双系统)、保密柜、应用锁以及广告和隐私等。
由此可见,厂商们也很重视用户的个人信息保护。那些恶意盗取用户的个人信息的企业应该受到法律制裁,还广大消费者一个公道。
③规范个人使用方法,养成良好习惯
360网络专家葛健建议,用户需要养成良好的使用App的习惯,不要在安装应用显示弹窗中全部点击允许,这会让那些恶意应用利用,以此获取用户个人信息。
使用手机App时做到“四注意”
消费者在选择使用手机App时应做到“四个注意”:
一是注意选用安全合规的App产品和服务,并选择正规有效的渠道进行下载安装;
二是注意认真阅读App的应用权限和用户协议或隐私政策说明,了解操作注意事项;
三是要注意培育良好使用习惯,不随意开放和同意非必要的读取权限,不随意输入个人隐私信息,定期维护和清理相关数据;
四是当发现个人信息被泄露时,要通过有效手段及时主动维权。
虽然网络信息时代,个人信息泄露不可避免,但是还是要提醒大家养成良好的APP使用习惯,在注册和使用的过程中认真阅读使用协议,没有必要填写的信息尽量不填写,让非法窃取他人信息的人从一开始就没有可乘之机。
参考资料:
《App个人信息泄露情况报告发布:超8成受访者曾遭个人信息泄露》北京晚报
《你的聊天内容可能“被窃听”?一次都没打开的App,却已向外传输数据!多款App违规收集个人信息》财经网
《央视、工信部一起曝光:这些app成为超级毒瘤》雷锋网
