技术前沿

还在窃喜App精准推送“懂你”?或许它正在窃听你的隐私

2020-08-17 航天蓝西 318

 App泄露用户信息早已不是什么新鲜事。今年6月,工信部网站发布《关于侵害用户权益行为的App通报(2020年第一批)》,在16款未完成整改的App名单中不乏e代驾、当当等知名应用,且相当一部分涉及将用户信息“私自共享给第三方”。

 根据12321网络不良与垃圾信息举报受理中心接到的投诉情况看,个人信息收集使用规则、权限申请、个性化服务以及账号注销等方面,都有大量用户投诉。随着大众对个人信息价值认识觉醒,不少用户开始反感与自己“心有灵犀”的应用推送,毕竟在“默契”背后隐藏的或许是对个人隐私信息的侵犯。

 最大风险产生在数据流通、共享环节

 “公民的位置、信用、交易等信息被源源不断收集、存储在网络空间,信息泄露的危害也越来越大。如何规范网络运营者收集、使用个人信息行为,遏制个人信息滥用及衍生的诈骗等,需要政府、行业、企业和个人的通力合作。”在日前举办的中国互联网大会“个人信息保护”论坛上,中国互联网协会副理事长黄澄清这样说。

 近年来,小程序、快应用等蓬勃发展。这些即时应用不需安装、即点即用,还具备了传统App完整的应用体验。中国信息通信研究院泰尔终端实验室信息安全部主任宁华说,一些企业内部管理不够完善,防护能力不足导致数据容易泄露。比如,企业人员管理技术不完善,缺乏对管理、开发人员的安全防护培训等。

 另外,收集、使用个人信息难感知、难取证现象依然存在。宁华认为,个人信息经常在用户不知情的情况下被收集、使用。比如,用户在搜索过程中输入信息、在谈话中聊天聊内容,都在以用户可感知形式呈现在了一些App的个性化推荐中。

 百度集团法务部负责人李妍洁也认为,人工智能时代,模型训练不能离开数据,而往往最大风险产生于数据的流通和共享之中。“如何在保护个人信息安全前提下,实现数据流通、共享,成为了一大挑战”。

 定向推送背后是“懂你”还是“害你”

 日前,央视新闻报道手机App“偷窥”乱象,有App十几分钟内访问照片和文件两万多次,涉及移动教学软件“优学院”、办公软件“TIM”等多款产品。

 “未经用户同意,部分App存在频繁调用API接口(操作系统留给应用程序的调用接口)获取用户信息现象。我们测试发现,部分应用在后台运行情况下,按每5分钟、30分钟或1小时的间隔调用API,这种行为并不存在于合理的应用场景中,也没有出具必要的情况说明。”宁华说。

 工信部20号令第11条规定,不得收集其提供服务所必需以外的信息,不能将用户个人信息用于其提供服务之外的目的;工信部337号文中也规定,超范围收集个人信息,如果是非服务所必须或合理应用场景,不应该存在超范围、超频次读取通讯录、位置信息、身份证、人脸等行为。

 针对人们常说的“App窃听用户隐私”行为,宁华认为,从产业发展趋势看,基于神经网络语音识别、芯片技术迅速发展,语音识别正趋于本地化、免唤醒、低功耗,部分App正在利用上述技术“窃听”隐私并做定向推送。

 “我们也在对个人信息保护出现的新问题进行重点排查,包括集成第三方服务时责任界定、完善权限申请目的告知能力、优化调用行为记录等。”宁华认为,可以采用以合作协议、合同等方式界定双方责任,在权限管控方面优化终端权限授予机制,推动权限开放最小化;同时,完善应用权限申请使用机制,尽量移出不必要的第三方依赖权限,涉及日历、通信录、通话记录、短信、电话、位置等敏感信息,推动权限申请目的告知一体化。

 近年来,泰尔终端实验室正在加强设备唯一识别码防护,制定移动终端设备、蓝牙MAC地址、特定Cookie设备的识别码标准,以及推动构建移动互联网应用签名认证机制,通过电子签名技术实现应用防篡改。

  破解责任界定不清,监管尚须“道高一丈”

 目前,个人隐私问题的主体责任不清晰、举证困难等,正在成为整治中面临的常见现象。另外,在违法违规收集使用个人信息方面,很多恶意应用也在通过打擦边球方式,在命名、图标样式方面与热门应用类似,一些小众分发平台监测审核力度参差不齐,导致了平台出现恶意应用比例相对较高。

 “开发者、监测机构、分发平台、终端系统等,缺乏完整的数据信任链条,目前系统在安装、使用应用时很难进行鉴别,对于普通用户来说,更缺乏相应能力识别恶意应用,只能依赖分发平台和终端安装时的相应提示。”宁华说。

 不容忽视的是,现在部分第三方SDK(应用软件开发工具集合)同时被多家应用集成使用,其在收集使用方面与软件应用一样都具备同样能力。宁华坦言,在集成SDK方面,应用通常缺乏有效技术和管理手段,在发生个人信息保护问题时,很难第一时间确定原因,也存在责任不清或相互推委现象。

 在业界看来,移动应用开发者在集成或接入第三方服务时,应该明确双方在公开处理个人信息规则,明示处理个人信息目的、方式、范围以及在争取用户同意等方面,不应该因责任界定不清,导致监管乏力。

 九龙治水之下可适当引入“问责制”

 今年以来,《数据安全法》《个人信息保护法》等法律法规陆续被列入全国人大常委会审议日程;前段时间,国家四部委再次联合开展App违法违规收集使用个人信息专项整治行动。未来,随着个人信息保护工作进入深水区,后续加强立法、制定监管政策、保障跨境数据流动等,都将成为行业常态。

 “目前‘九龙治水’格局下,不同部门都有相应执法权,但却是分散的执法体系。”中国互联网协会个人信息保护工作委员会主任委员周汉华说,工信、市场监管、公安、网信、教育、医疗卫生、金融等部门都负有相应责任,但当前管理格局导致某些情况下执法责任边界不明确,容易出现推卸责任的情况。

 在阿里巴巴集团法务部法律研究中心副主任顾伟看来,需要在法律层面引入相应问责制。比如,明确要求企业需要履行相应的个人信息保护原则,实现企业对个人信息保护的主动“履职”。

 据初步统计,目前已有140多个国家出台个人信息保护法,各国个人信息保护执法管理机构也都纷纷加强信息滥用以及泄露事件的处罚力度。“最新调研显示,GDPR实施两年以来数据保护部门共实施231次罚款,罚金都是‘天文数字’。在这样的监管力度下,相信会有更多重视个人信息保护的行动开展。”李妍洁说。周汉华也认为,目前最好的结果是能够设立独立的个人信息保护机构,从而解决政企不分、政监不分的传统管理弊端。