欢迎来到国坪资讯
收藏
位置:国坪资讯>科技>正文

隐私收集方式日益隐蔽,网民个人信息何时不再“裸奔”

来源: 发布时间:2019-12-02 18:28:55

Guangming.com记者李政委

最近,“ZAO”人工智能变脸应用的隐私风险问题引起了各界的持续关注。一些数据显示,中国有超过400万个移动互联网应用(app)在货架上,第三方应用商店发布的应用数量超过1.8万亿次。随着应用的繁荣和发展,用户越来越担心个人信息安全。

在2019年全国网络安全宣传周期间,中央网络信息办公室网络安全协调局一级督察、副局长杨春燕表示,针对当前应用强制授权、过度用电、个人信息超范围采集、个人信息非法使用等数据安全问题,中央网络信息办公室起草了《数据安全管理办法》、《个人信息出口安全评估办法》等一系列系统文件, 《应用程序非法收集和使用个人信息识别方法》和《移动互联网应用程序个人信息收集基本规定》,已公开征求意见。

网络安全博览会展示黑人制造的犯罪工具(李政委/照片)

应用程序、应用程序存储和sdk之间的关系不容忽视。

“应用程序是用户数据的焦点。其中,应用商店是应用分销的重要渠道,许多设备制造商都会预装应用,第三方sdk也是应用研发的重要环节。”在宣传周期间举行的“个人信息保护论坛”上,中国信息与通信研究所安全研究所所长魏亮表示。

他提到,从运营商的角度来看,应用程序收集的个人信息越多,它能为用户提供的服务就越有价值。因此,便捷服务与个人信息保护之间存在着天然的矛盾。“提供服务也削弱了个人信息的自主权和决策权。通过大数据分析,此类信息可能会恢复为个人信息,甚至敏感信息。因此,有必要平衡个人信息保护和便利服务之间的关系。”

如今,大多数应用程序都包括sdk(软件开发工具包)。对此,魏亮表示,使用sdk可以提高效率,降低成本,很多时候制造商不想使用sdk。例如,要制作餐饮应用程序,但没有地图和相关的支付牌照,您必须使用第三方sdk;然而,后续信息收集过程中的权利和责任需要进一步研究。

此外,应用程序和应用程序商店之间的关系不应被忽略。魏亮表示,应用商店对应用负有管理责任,但管理责任的范围和界限是一个重要问题。“我们还发现,应用可以绕过应用商店,软件更新后可能会有新的代码和新的声明。”

很明显,用户的信息是通过隐藏或误导来收集的。

今年1月,中央互联网信息办公室等四个部门联合发布了《关于非法收集和使用个人信息的应用特别行动》公告。截至8月31日,特别管理团队已通过微信公众号“应用个人信息报告”收到8000多份公开报告。它选择了近600个用户数量众多、与人们生活密切相关的应用进行评估,并敦促200多个存在严重问题的应用进行整改,其中800多个问题有待整改。

对此,app special governance工作组成员何艳哲总结列举:只有少数情况没有隐私政策,主要是要求用户打开多个权限,一次可以收集个人信息,申请权限时未能同步向用户解释目的等。

鉴于申请中存在的典型问题,魏亮认为“个人信息秘密收集”现象严重。一些应用程序未经用户个人同意就开始收集和上传个人信息,如手机号码、mac地址(局域网地址)、账户密码等。其中一些人无意中获得了系统的高风险权限等。

(来自互联网的图像)

此外,魏亮提到,还有收集个人信息超出用户心理预期的现象。例如,在用户关闭gps后,他认为他不再收集个人位置信息,但事实上他也可以通过wifi监控位置。

“也有误导用户同意收集个人信息的情况。例如,“允许打开电话地址簿以读取联系人电话号码并充值”,这是误导性信息,另一方想要获得用户地址簿。魏亮说。

第三方sdk的安全风险也不容忽视。“sdk中嵌入了大量应用程序,第三方sdk有自己的安全漏洞,这使得恶意代码很容易传播,尤其是在秘密收集个人信息时。

国家互联网应急中心主任任燕提到,许多应用的第三方sdk已经被黑色产业“使用”。今年上半年捕获了100多万个恶意程序。对sdk秘密获取个人信息的一项特殊分析发现,在3600个聊天应用程序中存在许多非法和色情现象。这些大多是恶意sdk窃取用户个人信息。

首先需要自律和标准。

从人们日常生活中使用的移动应用来看,涉及的个人信息安全是复杂多样的,涉及多种主题,“需要政府部门、相关企业、应用企业、sdk企业、手机企业、应用商店企业、行业组织、研究机构等共同处理”。谈到解决方案,魏亮说。

"我们应该加快立法,完善收集和使用个人信息的规则."魏亮表示,现行法律规范仍不能满足实际需要,有必要尽快推动《个人信息保护法》的颁布,明确个人信息保护的权利和义务,加强对违法行为的查处。同时,对数据所有权和数据资产保护问题进行了分析和判断,明确了法律界限,梳理了立法思路。

魏亮还表示,应用和sdk制造商都应该在研发过程中升级其安全性。在编写代码时,他们应该注意隐私保护,并将这个概念渗透到代码设计和整体架构中。加强数据安全技术的研发,做好防盗、防篡改、防泄漏等安全技术的研发和商业部署,以及关键数据审计、流程跟踪和数据备份。

“一是通过技术手段,二是通过科学管理手段。前者包括数据识别、使用和行为分析,以防止信息泄露,并改善对个人信息的系统保护。后者涉及员工的安全意识和技术支持管理体系。”天卫技术专家杨费明说。

中央网络信息办公室网络安全协调局办公室主任唐鑫认为,企业应在“标准第一”的同时实现自律。许多应用程序的附加功能也在收集信息,但用户不能因为拒绝提供信息而拒绝使用信息,也不能因为拒绝一两个授权而被禁止,“希望通过标准规范解决这些问题”。

北京快3投注 北京十一选五开奖结果 安徽快三

国坪资讯网站版权所有