原标题:对App埋坑、大数据杀熟说不!
专家提醒:手机App成隐私泄露重灾区,要提高防范意识读特客户端•深圳网2021年9月13日讯(深圳 王新根 方舟)家住龙岗的郑先生最近有点烦,自从注册成为某知名汽车App的用户之后,他就接二连三地接到4S店的销售电话。“接也不是,不接也不是,可很多App都是必须填写电话号码才能使用的。”他无奈地说。无孔不入的垃圾广告、千人千面的个性化推送、接连不断的推销电话……App在给我们的生活带来极大便利的同时,也增加了用户个人隐私被暴露的风险。根据近日发布的360CERT《网络安全八月月报》显示,在对隐私窃取拦截量进行分析时发现,人口越集中、经济越发达的地区,软件恶意行为更加猖獗。仅2021年,工信部、公安部、网信办三大主管部门就通报或下架了共4000余款违规App。与此相关的是,历经三次审议修改的数据安全法自今年9月1日起正式实施,《个人信息保护法》将于今年11月起开始实施。而国内数据领域首部基础性、综合性立法《深圳经济特区数据条例》也将于2022年1月1日起施行。在历经多年的野蛮生长之后,国内App的数据使用将进入规范化运营时代。实测多款App强制收集信息强制或者私自收集用户信息,是App侵犯用户隐私的第一步。近日,国家计算机病毒应急处理中心通过互联网监测发现15款移动应用存在隐私不合规行为,违反《网络安全法》相关规定,涉嫌超范围采集个人隐私信息,包括《神庙逃亡2》《魔与道OL》等用户基数较大的App。深晚随机下载了十多款App测试发现,许多App都要求填写电话号码、读取通讯录、开启相机和麦克风等,如选择不同意,则无法正常使用。其中,包括途虎养车、Soul、搜狐资讯等多款App都要求新用户填写电话号码;脉脉App则必须填写个人职业、电话等真实信息。除了获取权限之外,还存在更为隐蔽的采集个人信息的方式,比如嵌入SDK(软件开发工具包)。SDK可以高效率、低成本地实现地图、支付、统计、广告等功能,以便节约开发成本与开发时间。这些SDK插件在帮助宿主App优化运营效率的同时,也获取了海量的设备信息和用户个人信息。“SDK的安全风险主要有两方面,一是违规读取和储存用户隐私;此外,SDK自身也可能因为技术原因或恶意‘留后门’而存在大量漏洞,当这些漏洞被攻击,就可能会给用户带来严重损失。”360集团首席安全官杜跃进告诉深晚。据杜跃进介绍,对于SDK采集数据的行为,普通用户个人能够采取的应对措施相当有限,主要还是要依靠监管层面的管理、移动应用开发者的合规性自查。此外,频频出现的用户个人信息泄露事件表明,以指纹、人脸、 声纹、步态等为代表的个人生物识别信息作为高度敏感的用户个人信息,也存在一定的隐私泄露和信息安全风险。根据央视发布,在网络交易平台上,只要花上2元,就可以买到上千张人脸照片,而你的人脸照片很可能就在其中。在这些所谓“商家”的照片库里,都是真人的自拍照、生活照等隐私照片。隐私泄露背后暗藏分工明确的黑产链条个人隐私频繁泄露的背后,是一条分工明确的黑产链条,在这个闭环里,App开发商、应用商店、网络黑产从业人员都参与其中,各司其职,依靠用户的数据攫取非法利益。神州数码CBG数据安全业务负责人甘锦辉指出,我们常说的精准营销及个性化服务都需要数据作为支撑,而这类数据大多涉及个人隐私。随着数据成为战略资产,App开发商为了最大化营销价值,与其他软件应用商进行资源互换,共享用户数据带来的红利也屡见不鲜。还有不法中间商直接买卖数据,赚取利润。应用商店是这条灰色利益链中的隐形获益方。据了解,应用商店盈利模式主要包括两类:一类是广告投放收入,比如搜索竞价广告和非标广告(如开屏banner)等;另一类是渠道联运收入,比如在应用内支付流水分成。因此应用平台的收益与App开发商的收益息息相关。深晚还发现,“App上架”服务也形成了一条完整的产业链。在搜索引擎上对“App包上架”“App防封”等词汇进行搜索后,发现许多公司都会提供相关服务。网络黑产从业人员更是其中的直接参与者。中国传媒大学去年发布的《电子商务生态安全白皮书》显示,中国网络黑产从业人员已超过150万,市场规模已超千亿级别。在上游,App用户隐私数据被视为“商品”明码标价,末端的黑产从业者则通过电信诈骗、恶意营销等非法渠道牟取高额利润。网警提醒在日常生活中需多加防范在大数据时代,生活中的每一处细节可能被记录,每个人都是行走的“数据源”。那么,在日常生活中,市民该如何保护自己的个人信息数据安全?深圳网警提醒广大市民,保护好居民身份证、手机号码、家庭地址、银行账户及密码等相关信息,是构建个人信息数据安全防线的最重要一环。在公共场所使用公共网络上网时,首先要观察是否有隐蔽探头,其次尽量不进行银行支付、密码登录等行为,涉及个人隐私数据尽量不要上传云盘、网盘。此外,在日常生活中市民还应定期更换密码,增强手机、电脑等密码强度,规避“一码多用”现象。360手机安全专家葛健告诉深晚,防护隐私安全,消费者可以尝试给手机安装安全防护类软件,此类软件可有效识别钓鱼链接、木马程序、木马应用等这些非法程序,及时提醒用户注意防范;要养成隐私保护行为习惯,不要轻易将银行卡号、验证码、身份证等信息透露给其他人;此外,提高风险防范意识,不轻易下载不常用App、不随意点开他人发送的链接、不随意打开不认识的邮件等等。《个人信息保护法》出台 为信息安全提供法律保障保护公民的个人信息数据安全,除需要公民在日常生活中多加防范外,更需整个社会在法律、制度方面的合力。今年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,标志着我国网络数据法律体系中,继网络安全法、数据安全法后,具有重要意义的一块拼图终于落定。全国人大常委会法工委相关负责人日前接受深晚专访时表示:“共8章74条的个人信息保护法,以严密的制度、严格的标准、严厉的责任,构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则。”相关负责人介绍,个人信息保护法紧紧围绕规范个人信息处理活动、保障个人信息权益,构建了以“告知同意”为核心的个人信息处理规则。“‘告知同意’是法律确立的个人信息保护核心规则,是保障个人对其个人信息处理知情权和决定权的重要手段。”该相关负责人说。据了解,根据《个人信息保护法》要求,处理个人信息应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。同时,针对现实生活中社会反映强烈的一揽子授权、强制同意等问题,个人信息保护法特别要求,个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意,明确个人信息处理者不得过度收集个人信息,不得以个人不同意为由拒绝提供产品或者服务,并赋予个人撤回同意的权利,在个人撤回同意后,个人信息处理者应当停止处理或及时删除其个人信息。此外,作为信息技术产业聚集地、高新技术产业重镇,深圳于今年7月《深圳经济特区数据条例》(以下简称《条例》)在市人大常委会网站公布,并将于明年1月1日起实施。对市民深恶痛绝的App“不全面授权就不让用”、大数据“杀熟”、个人信息收集任性、强制个性化广告推荐等问题说“不”,并给予重罚。
