欢迎来到安联智库seczk.com--做最好网安新媒体!!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  

手机APP过度侵犯隐私,我们该如何保护个人信息?

 

不久前微信团队在其官方平台上辟谣:“微信监听人们聊天记录”的消息。近日央视又曝光多起手机APP频繁自启动搜集用户隐私的事件。有关手机app侵犯个人信息安全的事件,可谓是一波未平一波又起。

笔者平时喜欢各种倒腾,发现在用户的信息收集和使用上很多App都曾出现过问题,本人尝试将其分类,供大家参考。

App侵犯个人隐私之辨

试图隐身

1.App中没有隐私政策,或是隐私政策中没有收集使用个人信息规则;

2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策;

3.隐私政策的收集使用规则难以阅读,文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。

image.png

  某餐饮类App对隐私政策不做明显的标红提醒

犹抱琵琶半遮面

1.不明示,不逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式和范围等;

2.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式,如:更新隐私政策等收集使用规则并提醒用户阅读等;

3.在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;

4.有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。

image.png

某教育类App不注明访问相机的目的、方式和范围

强扭的瓜不甜

1.未经用户同意就开始收集个人信息或打开可收集个人信息的权限;

2.用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;

3.以默认选择同意隐私政策等非明示方式征求用户同意;

4.未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;

5.利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;

6.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;

7.违反其所声明的收集使用规则,实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围,比如:有些输入法App、手电筒App、修图App竟还要求用户提供位置授权、通讯录授权、麦克风授权等权限,这明显和App所需功能不匹配。

image.png

 某音乐类App安装后默认用户同意打开所有权限

我的地盘我做主

1.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;

2.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;

3.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;

4.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。

image.png

某购物类App表示若不同意其协议内容,则拒绝为用户提供服务

借花献佛

1.既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息;

2.App接入第三方应用,未经用户同意,向第三方应用提供个人信息。以“某扑”为例,仅仅一分钟内,它就获取手机信息4次,读取应用列表5次,启动了17款其他APP,读取或写入剪切板6次。

image.png

某社交类App多次尝试在后台启动其他App运行

泼出去的水收不回

1.未向用户提供撤回同意收集个人信息的途径方式;

2.未提供有效的更正、删除个人信息及注销用户账号功能,

3.为更正、删除个人信息或注销用户账号设置不必要或不合理条件;

4.虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;

5.更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的;

6.未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。

image.png

某金融类App注册个人信息后无法注销

央视“3·15”晚会曾揭露了一款名为“社保掌上通”的热门个人社保查询App泄露用户个人信息的问题。主持人在现场演示查询信息时,网络安全专家通过抓取分析数据包发现,用户的信息已被发送至一家大数据公司的服务器。在此过程中,用户会被默认同意一份授权协议,包括不可撤销地授权使用用户社保账户密码、采集用户个人信息等诸多条款。image.png

“社保掌上通”拒绝向用户提供撤销个人信息选项

诚然这些App如此处心积虑地收集我们的数据,的确让我们享受了更精准、更个性化的服务。

比如:通过某滴和某团,虽然我们分享了自己的坐标地址,但解决了交通和饮食问题;通过某淘和某东,虽然分享了资金动向,但实现了在家购物的体验;还有购物类、银行类APP使用指纹、刷脸支付,线上医疗咨询诊断,共享单车等,给生活带来了极大的便利。

这些便捷很大程度上来源于信息的透明和传输的高效,于是个人信息成为重要的商业资源,是各家企业眼里的香馍馍,但更大的透明必然带来更深的阴影。当收集的个人信息一旦被泄露,或被用于非法用途,后果将不堪设想。

中国消费者协会发布的《APP个人信息泄露情况调查报告》显示,受访者中曾因个人信息泄露而被骚扰或侵害的人数占比高达85.2%。

今年4月底中国互联网络信息中心发布的第45次《中国互联网络发展状况统计报告》显示,截至2020年3月,我国有43.6%的网民在过去半年上网过程中遇到过网络安全问题,其中23.3%为个人信息泄露问题(占比最高)。

下载单词软件,英语培训机构的电话就来了;搜索房价,房地产中介的名片就递过来了;提到旅游,旅行社的宣传广告就推送出来了……

究其原因

个人隐私保护意识淡薄

《中国手机App隐私权限测评报告》称,63.3%的受访者表示在安装手机App时没有仔细阅读隐私条款,24.3%的受访者从来不阅读隐私条款。

这反映了大部分手机用户都或多或少存在个人隐私保护意识淡薄的问题,有的用户受限于网络技术知识欠缺和App隐私条款文字篇幅长等原因,或者明知道可能会有泄露个人信息的危险还抱有侥幸心理,甚至认为是小问题无所谓,尝到隐私泄露恶果的时候主动维权意识不强,多数人选择自认倒霉,客观上纵容了手机App信息泄露的愈演愈烈,形成恶性循环。

企业有利可图,缺乏自律和责任感

央视就该问题咨询了业内人士,软件工程师李传奇说:

App获得你的个人信息就可以分析你的活动范围和活动习惯,通过分析数据来做精准广告。比如你手机里安装了儿童电话手表的程序,并且使用频度较高,那么你家里应该是有学龄儿童了,给你投放儿童相关产品成功率会比较大。

image.png

互联网广告投放业内人士陈名兴说:

我们在某大型短视频平台,它日活大概是4个亿左右,我每天在它上面的广告投放预算是3万到5万,在某个音频平台,它的大概日活是3000万左右,我们每天在它平台上面投的广告预算是三千到五千。

App频繁地启动可以使App“日活跃用户”等流量数据变多,这是App获得融资和广告投放收入的重要参考。

腾讯研究院的研究员周春慧说:

每项权限的背后都隐藏着一座冰山,表面上呈现给用户的功能说明只是冰山一角。如同拼图一样,通过权限开通获取的碎片化信息被拼接为完整的用户形象,用于商业开发。

以读取地理位置的权限为例,平台会把相关数据收纳到类似档案馆的服务器中,进行算法分析。比如,商家通过地理位置权限获知,某人在工作时间经常活跃在某CBD,晚上则停留在某高档小区,由此可大致推算其工作地点、居住地区,进而估测其经济收入。平台再把这些信息出售给奢侈品店、保险公司等用于精准营销。

于是在巨大利益的诱惑下,很多企业失去了自制力,侵犯用户的个人隐私。

image.png然而App过度索取用户信息的情况也只是当下手机信息安全领域的冰山一角。

这座庞大的冰山,让多少人不寒而栗。

如何对我们的个人数据进行安全有效的保护?

国家从法律层面加强约束

出台更多的隐私保护法

近几年随着人们对隐私安全的重视,部分政协委员和人大代表呼吁加快个人信息保护法以及其他相关法律的立法进程,让民众投诉有门,提高网络取证技术能力,加大对网络犯罪的打击力度,营造一个安全绿色的网络应用环境,切实保障民众的合法权益。

好在民有所呼,法有所应。国家开始采取有关个人信息安全保护的举措,也在一一出台相关整改条例。

2020年3月,国家标准GB/T 35273-2020《信息安全技术个人信息安全规范》完成修订,正式发布,实施日期为2020年10月1日。

该标准代替GB/T 35273-2017《信息安全技术个人信息安全规范》,与GB/T 35273-2017相比,GB/T 35273-2020的主要变化如下:

一是增加了“多项业务功能的自主选择”、“用户画像的使用限制”、“个性化展示的使用”、“基于不同业务目所收集个人信息的汇聚融合”、“第三方接入管理”、“个人信息安全工程”、“个人信息处理活动记录”等内容;

二是修改了“征得授权同意的例外”、“个人信息主体注销账户”、“明确责任部门与人员”、附录C“实现个人信息主体自主意愿的方法”等内容。

三是针对个人生物识别信息方面的要求,进行细化并完善。

最新通过的《中华人民共和国民法典》(将从2021年1月1日起正式施行),也格外注重对网络民事权利的保护,法典回应了个人信息保护的现实需求,首次将个人数据、网络虚拟财产等纳入保护范围,这对互联网领域的长远健康发展意义重大。

对违规App进行整改处罚

2020年5月15日,工业和信息化部公布了《关于侵害用户权益行为的APP通报》。image.png

今年第一季度,全国公安机关依法查处违法违规收集公民个人信息App服务单位386个,涉及信息咨询、辅助学习、文学小说、新闻资讯、娱乐播报等多个类型。其中,97个App被予以行政处罚,192个App被依法责令改正违法行为,51个App被下架、停运,其中还涉及“猎豹清理大师” “印象笔记” “好孕帮” “不背单词”“哈弗智家” “完美校园” “天然工坊” “随手借” “每日瑜伽” “Paintly”等知名App,有效保护了公民个人信息。  

个人学习隐私保护措施

国家保密局研究员等专业人士为我们提供了一些简单易操作的建议,十招教大家保护自己和家人:

1.首先在选择使用手机App时要做到提高个人隐私保护意识,移动互联网时代智能手机和App产品日新月异,不法分子窃取隐私信息的手段也是“水涨船高”,高度重视个人隐私信息的无形价值,从主观上提高隐私保护意识,分享、使用个人隐私信息时保持警惕,是在复杂多变的虚拟世界中构筑的第一道安全防线;

2.分级管理APP,设置不同账号密码。将手机中APP分类管理,将涉及资金类的APP与一般APP区分管理,用安全系数高的邮箱绑定金融类平台,设置不同账号密码,防止连环盗号;

3. APP从正规的应用商店和知名的厂商渠道下载,不要在第三方应用市场下载,对于陌生的APP最好提前了解甄别,以防落入山寨陷阱;下载应用时,避免点击各类群组,或者不明来源二维码传播的下载链接;

4.避免连接不明来源的Wi-Fi,在公共场合连接Wi-Fi时,尽量与Wi-Fi提供方确认后再连接;

5. 安装APP前仔细阅读用户协议,对于包含“流氓协议”、“霸王条款”的协议内容,要谨慎考虑是否还要继续使用该类APP;

6. 关闭应用的敏感权限,安装应用后查看应用开放权限,读取通讯录、读取通话记录等敏感权限尽量关闭;使用好后尽量关闭手机软件,防止后台继续记录个人信息。比如:打开手机-设置-隐私,在定位中,可以选择允许的范畴内“使用APP期间”,这样子该功能只有在APP打开的时候才允许使用;

7.安装手机管家等安全软件,保障设备安全,定期对手机进行安全检测;

8.进行数据流量限制,这些APP抓取数据,再通过网络上传汇总和分析,离不开一个东西:网络。打开手机-设置-蜂窝数据,可以清楚的看到各个APP的使用情况,对于有嫌疑的APP,禁止其网络的使用,在有需要的时候再打开其网络使用即可;

9.关闭后台的刷新,这有三个好处,一是节约电量、流量,二是可以很好的避免APP自启动,毕竟自启动占用内存空间不说,还可能记录你当前利用手机正在做的事等等。打开手机-设置-通用-后台APP刷新,选择关闭;

10.在相关平台填写信息时,非必须提供的信息,尽量不要填写。发现个人信息被泄露问题时,要通过有效手段及时主动维权,必要时向有关部门反映,用法律武器维护自己的权利和利益。

希望有一天通过多方携手的力量,我们可以把使用手机App所造成的隐私泄露危机降到最低。

参考链接

http://www.cac.gov.cn/2019-12/27/c_1578986455686625.htm

https://weibo.com/tv/v/J5F3YeO4c?fid=1034:4513494733881358

9999.jpg


暂无

您可能还会对下面的文章感兴趣: