家住龍崗的鄭先生最近有點(diǎn)煩

自從注冊成為某知名汽車App的用戶之后

他就接二連三地接到4S店的銷售電話

接也不是，不接也不是

因?yàn)楹芏郃pp都是必須填寫

電話號碼才能使用

鄭先生對此很無奈

無孔不入的垃圾廣告

千人千面的個性化推送

接連不斷的推銷電話……

App在給我們的生活帶來極大便利的同時

也增加了用戶個人隱私被暴露的風(fēng)險(xiǎn)

根據(jù)近日發(fā)布的360CERT《網(wǎng)絡(luò)安全八月月報(bào)》顯示，在對隱私竊取攔截量進(jìn)行分析時發(fā)現(xiàn)，人口越集中、經(jīng)濟(jì)越發(fā)達(dá)的地區(qū)，軟件惡意行為更加猖獗。

僅2021年，工信部、公安部、網(wǎng)信辦三大主管部門就通報(bào)或下架了共4000余款違規(guī)App。與此相關(guān)的是，歷經(jīng)三次審議修改的數(shù)據(jù)安全法自今年9月1日起正式實(shí)施，《個人信息保護(hù)法》將于今年11月起開始實(shí)施。而國內(nèi)數(shù)據(jù)領(lǐng)域首部基礎(chǔ)性、綜合性立法《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》也將于2022年1月1日起施行。在歷經(jīng)多年的野蠻生長之后，國內(nèi)App的數(shù)據(jù)使用將進(jìn)入規(guī)范化運(yùn)營時代。

強(qiáng)制或者私自收集用戶信息，是App侵犯用戶隱私的第一步。近日，國家計(jì)算機(jī)病毒應(yīng)急處理中心通過互聯(lián)網(wǎng)監(jiān)測發(fā)現(xiàn)15款移動應(yīng)用存在隱私不合規(guī)行為，違反《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定，涉嫌超范圍采集個人隱私信息，包括《神廟逃亡2》《魔與道OL》等用戶基數(shù)較大的App。

深晚記者隨機(jī)下載了十多款A(yù)pp測試發(fā)現(xiàn)，許多App都要求填寫電話號碼、讀取通訊錄、開啟相機(jī)和麥克風(fēng)等，如選擇不同意，則無法正常使用。其中，包括途虎養(yǎng)車、Soul、搜狐資訊等多款A(yù)pp都要求新用戶填寫電話號碼；脈脈App則必須填寫個人職業(yè)、電話等真實(shí)信息。

新華社發(fā)

除了獲取權(quán)限之外，還存在更為隱蔽的采集個人信息的方式，比如嵌入SDK(軟件開發(fā)工具包)。SDK可以高效率、低成本地實(shí)現(xiàn)地圖、支付、統(tǒng)計(jì)、廣告等功能，以便節(jié)約開發(fā)成本與開發(fā)時間。這些SDK插件在幫助宿主App優(yōu)化運(yùn)營效率的同時，也獲取了海量的設(shè)備信息和用戶個人信息。

“SDK的安全風(fēng)險(xiǎn)主要有兩方面，一是違規(guī)讀取和儲存用戶隱私；此外，SDK自身也可能因?yàn)榧夹g(shù)原因或惡意‘留后門’而存在大量漏洞，當(dāng)這些漏洞被攻擊，就可能會給用戶帶來嚴(yán)重?fù)p失。”360集團(tuán)首席安全官杜躍進(jìn)告訴深晚記者。據(jù)杜躍進(jìn)介紹，對于SDK采集數(shù)據(jù)的行為，普通用戶個人能夠采取的應(yīng)對措施相當(dāng)有限，主要還是要依靠監(jiān)管層面的管理、移動應(yīng)用開發(fā)者的合規(guī)性自查。

此外，頻頻出現(xiàn)的用戶個人信息泄露事件表明，以指紋、人臉、 聲紋、步態(tài)等為代表的個人生物識別信息作為高度敏感的用戶個人信息，也存在一定的隱私泄露和信息安全風(fēng)險(xiǎn)。根據(jù)央視報(bào)道，在網(wǎng)絡(luò)交易平臺上，只要花上2元，就可以買到上千張人臉照片，而你的人臉照片很可能就在其中。在這些所謂“商家”的照片庫里，都是真人的自拍照、生活照等隱私照片。

個人隱私頻繁泄露的背后

是一條分工明確的黑產(chǎn)鏈條

在這個閉環(huán)里

App開發(fā)商、應(yīng)用商店

網(wǎng)絡(luò)黑產(chǎn)從業(yè)人員都參與其中

各司其職

依靠用戶的數(shù)據(jù)攫取非法利益

神州數(shù)碼CBG數(shù)據(jù)安全業(yè)務(wù)負(fù)責(zé)人甘錦輝指出，我們常說的精準(zhǔn)營銷及個性化服務(wù)都需要數(shù)據(jù)作為支撐，而這類數(shù)據(jù)大多涉及個人隱私。隨著數(shù)據(jù)成為戰(zhàn)略資產(chǎn)，App開發(fā)商為了最大化營銷價(jià)值，與其他軟件應(yīng)用商進(jìn)行資源互換，共享用戶數(shù)據(jù)帶來的紅利也屢見不鮮。還有不法中間商直接買賣數(shù)據(jù)，賺取利潤。

應(yīng)用商店是這條灰色利益鏈中的隱形獲益方。據(jù)了解，應(yīng)用商店盈利模式主要包括兩類：一類是廣告投放收入，比如搜索競價(jià)廣告和非標(biāo)廣告(如開屏banner)等;另一類是渠道聯(lián)運(yùn)收入，比如在應(yīng)用內(nèi)支付流水分成。因此應(yīng)用平臺的收益與App開發(fā)商的收益息息相關(guān)。

深晚記者還發(fā)現(xiàn)，“App上架”服務(wù)也形成了一條完整的產(chǎn)業(yè)鏈。記者在搜索引擎上對“App包上架”“App防封”等詞匯進(jìn)行搜索后，發(fā)現(xiàn)許多公司都會提供相關(guān)服務(wù)。

網(wǎng)絡(luò)黑產(chǎn)從業(yè)人員更是其中的直接參與者。中國傳媒大學(xué)去年發(fā)布的《電子商務(wù)生態(tài)安全白皮書》顯示，中國網(wǎng)絡(luò)黑產(chǎn)從業(yè)人員已超過150萬，市場規(guī)模已超千億級別。在上游，App用戶隱私數(shù)據(jù)被視為“商品”明碼標(biāo)價(jià)，末端的黑產(chǎn)從業(yè)者則通過電信詐騙、惡意營銷等非法渠道牟取高額利潤。

在大數(shù)據(jù)時代

生活中的每一處細(xì)節(jié)可能被記錄

每個人都是行走的“數(shù)據(jù)源”

那么，在日常生活中

我們該如何保護(hù)自己的

個人信息數(shù)據(jù)安全？

深圳網(wǎng)警提醒廣大市民，保護(hù)好居民身份證、手機(jī)號碼、家庭地址、銀行賬戶及密碼等相關(guān)信息，是構(gòu)建個人信息數(shù)據(jù)安全防線的最重要一環(huán)。在公共場所使用公共網(wǎng)絡(luò)上網(wǎng)時，首先要觀察是否有隱蔽探頭，其次盡量不進(jìn)行銀行支付、密碼登錄等行為，涉及個人隱私數(shù)據(jù)盡量不要上傳云盤、網(wǎng)盤。此外，在日常生活中市民還應(yīng)定期更換密碼，增強(qiáng)手機(jī)、電腦等密碼強(qiáng)度，規(guī)避“一碼多用”現(xiàn)象。

360手機(jī)安全專家葛健告訴深晚記者，防護(hù)隱私安全，消費(fèi)者可以嘗試給手機(jī)安裝安全防護(hù)類軟件，此類軟件可有效識別釣魚鏈接、木馬程序、木馬應(yīng)用等這些非法程序，及時提醒用戶注意防范；要養(yǎng)成隱私保護(hù)行為習(xí)慣，不要輕易將銀行卡號、驗(yàn)證碼、身份證等信息透露給其他人；此外，提高風(fēng)險(xiǎn)防范意識，不輕易下載不常用App、不隨意點(diǎn)開他人發(fā)送的鏈接、不隨意打開不認(rèn)識的郵件等等。

保護(hù)公民的個人信息數(shù)據(jù)安全

除需要公民在日常生活中多加防范外

更需整個社會在法律

制度方面的合力

今年8月20日，十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護(hù)法》，標(biāo)志著我國網(wǎng)絡(luò)數(shù)據(jù)法律體系中，繼網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法后，具有重要意義的一塊拼圖終于落定。

全國人大常委會法工委相關(guān)負(fù)責(zé)人日前接受深晚記者專訪時表示：“共8章74條的個人信息保護(hù)法，以嚴(yán)密的制度、嚴(yán)格的標(biāo)準(zhǔn)、嚴(yán)厲的責(zé)任，構(gòu)建了權(quán)責(zé)明確、保護(hù)有效、利用規(guī)范的個人信息處理和保護(hù)制度規(guī)則。”

相關(guān)負(fù)責(zé)人介紹，個人信息保護(hù)法緊緊圍繞規(guī)范個人信息處理活動、保障個人信息權(quán)益，構(gòu)建了以“告知-同意”為核心的個人信息處理規(guī)則。“‘告知-同意’是法律確立的個人信息保護(hù)核心規(guī)則，是保障個人對其個人信息處理知情權(quán)和決定權(quán)的重要手段。”該相關(guān)負(fù)責(zé)人說。

據(jù)了解，根據(jù)《個人信息保護(hù)法》要求，處理個人信息應(yīng)當(dāng)在事先充分告知的前提下取得個人同意，個人信息處理的重要事項(xiàng)發(fā)生變更的應(yīng)當(dāng)重新向個人告知并取得同意。

同時，針對現(xiàn)實(shí)生活中社會反映強(qiáng)烈的一攬子授權(quán)、強(qiáng)制同意等問題，個人信息保護(hù)法特別要求，個人信息處理者在處理敏感個人信息、向他人提供或公開個人信息、跨境轉(zhuǎn)移個人信息等環(huán)節(jié)應(yīng)取得個人的單獨(dú)同意，明確個人信息處理者不得過度收集個人信息，不得以個人不同意為由拒絕提供產(chǎn)品或者服務(wù)，并賦予個人撤回同意的權(quán)利，在個人撤回同意后，個人信息處理者應(yīng)當(dāng)停止處理或及時刪除其個人信息。

此外，作為信息技術(shù)產(chǎn)業(yè)聚集地、高新技術(shù)產(chǎn)業(yè)重鎮(zhèn)，深圳于今年7月《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》（以下簡稱《條例》）在市人大常委會網(wǎng)站公布，并將于明年1月1日起實(shí)施。對市民深惡痛絕的App“不全面授權(quán)就不讓用”、大數(shù)據(jù)“殺熟”、個人信息收集任性、強(qiáng)制個性化廣告推薦等問題說“不”，并給予重罰。