近日,中国银行手机银行、北京预约挂号、北京交通、探探、人人等30款App因违反《网络安全法》关于收集使用个人信息的规定,被通报整改,手机APP泄露用户隐私数据的话题再一次引发广泛关注。
伴随着移动互联网的飞速发展,大量APP在不知不觉中收集了一些与自身业务无关的用户信息。比如直播APP要读取用户短信、通讯录、贷款类APP要访问摄像头权限、游戏类APP要读取位置、录音等信息,这也让我们的个人信息在网络中出现裸奔。网络时代,公民的个人信息安全状况如何?手机APP是如何泄露用户个人信息的?我们应该如何保护个人信息安全?
APP违规收集个人信息问题普遍
在互联网时代,类似的情形并不鲜见。在山东济南工作的张敏下载了一款手电筒软件。在下载页,这款软件被标注为“官方、安全、MTC认证”,已被下载过1856万次。
安装时张敏发现,该软件要求获得通讯录、拍摄照片和视频、录音、位置、读取、修改、删除SD卡中的内容、完全的网络访问等10多项权限。“只有手电筒照明功能,只使用摄像头即可,要通讯录这些无关的权限干嘛呢?”张敏对此表示质疑。
其实张敏遇到的情况比较普遍。如一款下载量为1998万的手电筒软件,要求获得的权限多达30项:有发送短信、创建账户并设置密码等隐私相关权限,有访问蓝牙、设置壁纸、删除所有应用缓存数据等设备相关权限。
类似要求获取各项权限的应用十分常见。腾讯社会研究中心和DCCI互联网数据中心去年发布的《2017年度网络隐私安全及网络欺诈行为研究分析报告》显示,2017年上半年和下半年,获取用户隐私权限的安卓应用分别为96.6%、98.5%,IOS应用为69.3%、81.9%。
专家表示,在用户对软件的权限请求默许的情况下,用户的通话记录、短信、通讯录、位置信息、设备信息等都可以被软件后台记录,并发送到服务器上。今年央视3·15晚会上,主持人现场演示手机APP如何索取个人信息。主持人使用一款名为“社保掌上通”的APP查询个人社保信息,与此同时网络安全专家抓取分析数据包,发现用户在查询信息时,个人信息已被发送到一家大数据公司的服务器。
“虽然知道这样做会泄露隐私,但为正常使用软件,不得不被同意、被授权。”一位用户道出了普遍的心声。
江苏省消费者权益保护委员会调查发现,对于手机APP安装后获取的消费者个人信息以及非注册用户的个人信息,只有少量企业有相应保护措施。对于注册用户放弃使用相关手机APP的个人信息删除与销毁,大部分企业未有明确的措施和完善的保护制度。
受利益驱使,热衷“越权”收集用户信息
“当前,手机软件‘越权’获取用户隐私权限已成个人信息泄露的重要渠道之一。”石家庄某科技公司APP开发技术员路波认为,运营商收集用户个人信息后,根据大数据进行精准广告推送和投放,追求更高的利益。“用户信息泄露可能导致垃圾短信与骚扰电话层出不穷、手机资费被消耗。用户信息泄露还可能会造成用户人身财产受到威胁,不法分子通过各种途径收集人们被泄露出去的个人信息,经过筛选分析用户特征,从事电信诈骗、非法讨债甚至绑架勒索等精准犯罪活动。”
福建省龙岩市中级人民法院2017年底公布的一份刑事裁定书显示,被害人普某通过某款手机APP买了一件衣服,随后接到两个电话以退款为由,要求普某从手机点开一个网站,输入姓名、手机号码、身份证号码和银行卡号办理退款,否则银行卡会被冻结。本案共造成包含普某在内的被害人经济损失12373元。
更有甚者,一些不法分子通过从市场上购买的用户个人信息,开发、推送手机病毒,“精准”实施诈骗勒索等违法犯罪活动。
2017年2月,孟女士报警称,其农业银行卡内50余万元人民币被盗。经警方调查,犯罪嫌疑人事先在网上购买大量身份证、银行卡等信息,通过群发短信的方式将木马病毒植入受害人银行卡绑定的手机。该木马病毒可以拦截手机短信、提取手机通讯录、获取网上银行的手机验证码。骗子由此盗刷受害人银行卡内资金。
以公民个人信息泄露为源头的庞大“黑灰”产业链已经形成,给各方造成重大损失。中国互联网协会发布的《中国网民权益保护调查报告2016》显示,仅在2015年下半年至2016年上半年,我国网民因为垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失达915亿元。
App收集个人信息将有“国标”
对于APP“越权”收集个人信息,相关部门早有规定。《移动互联网应用程序信息服务管理规定》第七条指出,移动互联网应用程序提供者应当严格落实信息安全管理责任,依法保障用户在安装或使用过程中的知情权和选择权,未向用户明示并经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能,不得开启与服务无关的功能,不得捆绑安装无关应用程序。
近年来,围绕侵犯公民个人信息的犯罪行为,公安部、工信部、中央网信办等部门加大与最高人民法院、最高人民检察院协作配合力度,形成治理合力。2018年以来,公安部等部门持续开展打击整治网络侵犯公民个人信息安全的“净网”专项行动,全力筑牢公民个人信息防护墙。
8月9日消息,据全国信息安全标准化技术委员会官网公告,为落实《网络安全法》对个人信息保护的相关要求,加快相应标准化工作,全国信息安全标准化技术委员会秘书处组织起草了《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》(后文简称《规范》),现面向社会公开征求意见。
标准明确了移动互联网应用收集个人信息时应满足的基本要求,用以规范移动互联网应用运营者收集个人信息的行为。本标准适用于移动互联网应用的开发和运营,也可用于移动互联网应用的技术评估、监督检查。
如《规范》明确,即时通讯服务类型的最少信息仅包括网络日志、手机号码、身份证件号码(仅对公众账号信息发布服务使用者收集)3项法律法规要求的个人信息,和账号信息(账号、口令)、好友列表、群列表3项实现服务所需个人信息。
当然,除了法律规范,手机用户自身也应具有一定的隐私保护常识。如下载软件选择正规渠道;谨慎填写个人隐私信息,防止信息被无谓采集;管理手机软件中的隐私权限,了解软件权限行为,关闭不必要的授权;防范公共WiFi,转账与支付时改用数据流量;通过“恢复出厂设置-格式化-反复拷入大文件并删除”三步骤,彻底清理旧手机信息等。