用著GPS, 連著免費WiFi, 守著驗證碼, 註冊著各種APP, 享受著智慧手機帶來的便利生活。 但同時, 離不開智慧手機的都市人正在面臨一種困境:既不知道自己的資訊流向何處, 也不知道黑暗中有什麼正在窺伺著你的個人隱私。
應用索取的許可權合理嗎?你的個人資訊是如何洩露的?該如何在移動互聯網時代主動保護我們的個人隱私?昨天, 《2017年度隱私安全及網路欺詐行為分析報告》發佈, 通過統計1129款APP獲取用戶手機隱私許可權的情況, 評估移動端隱私安全性, 並對近期肆虐網路的欺詐現象, 剖析手法, 提出應對措施。
APP越界獲取資訊 尤其是網遊和常用工具
春節臨近, 搶車票成了在外遊子的頭等大事。 但不知有多少人注意過12306的“套路”?中國法學會網路與資訊法學研究會副秘書長周輝近日訂票時就發現, 12306手機用戶端彈出了一則提醒, 指出它可能會獲取使用者的位置資訊、相機相冊、檔存儲和電話等個人資訊。
一款手機壁紙應用竟然要讀取你的通訊錄, 一個流覽器應用竟能隨時給你錄音。 別覺得不可思議, 通過越界索權獲取使用者個人資訊的APP不在少數, 個人隱私洩露問題也日趨嚴重。 記者打開自己手機中的應用商店, 隨機搜索安裝了幾款軟體, 發現絕大部分軟體都要求使用者開放存儲、位置資訊、電話等許可權, 還有的要求開通訪問通訊錄的許可權。 如果選擇不同意, 就無法安裝這些應用。
根據《2017年度隱私安全及網路欺詐行為分析報告》, 移動網路隱私的洩露主要有手機軟體獲取、免費WiFi竊取、舊手機設備洩露, 以及駭客盜取企業大資料等管道。 報告指出, 針對手機軟體獲取情況,
“核心隱私許可權”包括獲取位置資訊、讀取手機號、讀取短信記錄、通話記錄等;“重要隱私許可權”包括打開攝像頭、使用話筒錄音、發送短信、發送彩信、撥打電話等;“普通隱私許可權”則包括打開WiFi開關、打開藍牙開關、獲取設備資訊等、打開資料網路等。
百度支付寶都“踩雷” 個人隱私保護規範待解
2017年12月11日, 江蘇省消費者權益保護委員會就北京百度網訊科技有限公司涉嫌違法獲取消費者個人資訊及相關問題提起消費民事公益訴訟。 2018年1月2日, 南京市中級人民法院已正式立案。
根據江蘇省消保委的消息, “手機百度”“百度流覽器”兩款手機App在消費者安裝前, 未告知其所獲取的各種許可權及目的, 在未取得使用者同意的情況下, 獲取諸如“監聽電話、定位、讀取短彩信、讀取連絡人、修改系統設置”等各種許可權。 作為搜索及流覽器類應用,
而支付寶近期公佈的用戶年度“個人帳單”, 也引來不小風波。 原因是在帳單首頁中, 有一行特別小的字, “我同意《芝麻服務協定》”, 並且已經幫用戶選擇好了“同意”, 而協定條款內容則涉及“你允許芝麻信用收集你的資訊”。 支付寶方面連夜道歉, 表示這次的作法“愚蠢之極”。
中國人民公安大學網路資訊中心副主任韓華表示, 目前, 我國並沒有專門的大資料方面的立法, 所謂隱私政策條款, 用戶幾乎沒有議價能力, 要註冊就只能“同意”, 而條款內容有些語焉不詳, 有些晦澀難懂, 對自己的“隱私權”用戶根本難以控制。
誰在搜集使用資訊?一切源於對數據的渴求
“從行業看,都在盡一切可能收集使用者資訊。”移動互聯網系統與應用安全國家工程實驗室高級安全研究員朱易翔指出,本質上就是一些APP開發商沒底線。北京晨報記者發現,近日,不少應用在升級後都會彈出使用者協定,會對調取的用戶隱私許可權作出說明。但如果想繼續使用這些應用,用戶必須選擇同意。“一個地圖應用,提示需要讀取使用者的短信記錄、通信錄。這到底算不算越界獲取用戶隱私?有可能它的確是為了提供生活服務而給使用者發送短信驗證,但基於地圖的社交真的到了需要讀取使用者短信記錄的時候嗎?這是值得商討的。”
DCCI互聯網資料中心創始人胡延平表示,大資料時代,資料對商家變得越來越重要,但對資料的渴求和對使用者的隱私保護之間的這個度,是值得商討的。應用更新後彈出使用者協定的變化,一方面體現了從“拿了白拿”到“告訴你我要拿”的變化,這是積極的一面。但另一方面,也存在應用在使用者協議中把所有有可能要調取用戶的隱私許可權都進行窮舉,反倒是用戶只能選擇同意。“現在一些中小應用開發者會盡可能地獲取用戶的隱私許可權,即便很多隱私許可權他們只是放在伺服器上,不去立即使用,但為了以後的不時之需,還是會過度地索取用戶的隱私許可權。如果沒有針對使用者隱私獲取的規範,沒有立法保護,用戶早晚被扒個精光。”
“資料洩露”或受多國調查並重罰
不久前,美國優步公司首席執行官的一篇博文,將優步資料洩露事件推上了風口浪尖。文中寫到優步在2016年底曾遭到兩名駭客攻擊,全球有超過5700萬名使用者和司機的個人資料被曝光,涉及到姓名、電子郵寄地址、電話號碼、還有使用者住址以及信用卡資訊。事件一經曝光便引發了全球用戶的恐慌。僅僅在歐洲,就將面臨至少是義大利、荷蘭和英國三個國家資料保護機構的調查,甚至可能面臨英國機構50萬英鎊的罰款。
2012年,谷歌公司曾計畫推出一項新的隱私條款,對旗下60多款產品各自的隱私條款實行統一化,結果引起了美國兩黨共計8人組成的立法調查委員會的質疑。而穀歌公司在重壓之下不得不宣佈,不會剝奪使用者選擇“退出資料分析廣告系統”的法定權利。
2011年,蘋果公司也因獲取用戶手機定位事件,收到了來自韓國廣播通信委員會開出的300萬韓元罰單。
保護好自己的隱私,這些事情你要做到
一是下載軟體選擇正規管道,如應用寶、安卓市場等;二是謹慎填寫個人隱私資訊,防止資訊被無謂採集;三是管理手機軟體中的隱私許可權,瞭解軟體許可權行為,關閉不必要的授權;四是防範公共WiFi,轉帳與支付時改用資料流程量;五是通過“恢復出廠設置-格式化-反復拷入大檔並刪除”三步驟,徹底清理舊手機資訊。
此外,對於來路不明的WiFi、連結、程式……即便再有吸引力,為了安全起見,用戶最好說不;短信驗證碼、身份證資訊,也萬萬不可貿然交給別人;不要為了好記將不同帳戶設置相同密碼,否則一個被攻破全部都遭殃;也不要使用純數字、生日等特別簡單的密碼。
“有多少人在手機裡存了身份證的照片,一旦隱私洩露,後果不堪設想。”胡延平建議,用戶應當養成關閉不必要的授權的習慣。“即使安裝了安全軟體,也應該隨時關閉不必要的授權,不要怕麻煩。涉及轉帳時,最好不要使用公共WiFi而是採用移動基站。手機上的安全還得是靠自己保護。”
據新華網、中國網、北京晨報等
“從行業看,都在盡一切可能收集使用者資訊。”移動互聯網系統與應用安全國家工程實驗室高級安全研究員朱易翔指出,本質上就是一些APP開發商沒底線。北京晨報記者發現,近日,不少應用在升級後都會彈出使用者協定,會對調取的用戶隱私許可權作出說明。但如果想繼續使用這些應用,用戶必須選擇同意。“一個地圖應用,提示需要讀取使用者的短信記錄、通信錄。這到底算不算越界獲取用戶隱私?有可能它的確是為了提供生活服務而給使用者發送短信驗證,但基於地圖的社交真的到了需要讀取使用者短信記錄的時候嗎?這是值得商討的。”
DCCI互聯網資料中心創始人胡延平表示,大資料時代,資料對商家變得越來越重要,但對資料的渴求和對使用者的隱私保護之間的這個度,是值得商討的。應用更新後彈出使用者協定的變化,一方面體現了從“拿了白拿”到“告訴你我要拿”的變化,這是積極的一面。但另一方面,也存在應用在使用者協議中把所有有可能要調取用戶的隱私許可權都進行窮舉,反倒是用戶只能選擇同意。“現在一些中小應用開發者會盡可能地獲取用戶的隱私許可權,即便很多隱私許可權他們只是放在伺服器上,不去立即使用,但為了以後的不時之需,還是會過度地索取用戶的隱私許可權。如果沒有針對使用者隱私獲取的規範,沒有立法保護,用戶早晚被扒個精光。”
“資料洩露”或受多國調查並重罰
不久前,美國優步公司首席執行官的一篇博文,將優步資料洩露事件推上了風口浪尖。文中寫到優步在2016年底曾遭到兩名駭客攻擊,全球有超過5700萬名使用者和司機的個人資料被曝光,涉及到姓名、電子郵寄地址、電話號碼、還有使用者住址以及信用卡資訊。事件一經曝光便引發了全球用戶的恐慌。僅僅在歐洲,就將面臨至少是義大利、荷蘭和英國三個國家資料保護機構的調查,甚至可能面臨英國機構50萬英鎊的罰款。
2012年,谷歌公司曾計畫推出一項新的隱私條款,對旗下60多款產品各自的隱私條款實行統一化,結果引起了美國兩黨共計8人組成的立法調查委員會的質疑。而穀歌公司在重壓之下不得不宣佈,不會剝奪使用者選擇“退出資料分析廣告系統”的法定權利。
2011年,蘋果公司也因獲取用戶手機定位事件,收到了來自韓國廣播通信委員會開出的300萬韓元罰單。
保護好自己的隱私,這些事情你要做到
一是下載軟體選擇正規管道,如應用寶、安卓市場等;二是謹慎填寫個人隱私資訊,防止資訊被無謂採集;三是管理手機軟體中的隱私許可權,瞭解軟體許可權行為,關閉不必要的授權;四是防範公共WiFi,轉帳與支付時改用資料流程量;五是通過“恢復出廠設置-格式化-反復拷入大檔並刪除”三步驟,徹底清理舊手機資訊。
此外,對於來路不明的WiFi、連結、程式……即便再有吸引力,為了安全起見,用戶最好說不;短信驗證碼、身份證資訊,也萬萬不可貿然交給別人;不要為了好記將不同帳戶設置相同密碼,否則一個被攻破全部都遭殃;也不要使用純數字、生日等特別簡單的密碼。
“有多少人在手機裡存了身份證的照片,一旦隱私洩露,後果不堪設想。”胡延平建議,用戶應當養成關閉不必要的授權的習慣。“即使安裝了安全軟體,也應該隨時關閉不必要的授權,不要怕麻煩。涉及轉帳時,最好不要使用公共WiFi而是採用移動基站。手機上的安全還得是靠自己保護。”
據新華網、中國網、北京晨報等