「滴滴出行」App存在嚴重違法違規收集使用個人信息問題,下架整改;哪吒汽車等57款App存在違法違規收集個人信息,被要求限期整改……一些App不同程度違規收集、使用用戶信息,引發社會關注。那麼,「偷窺」是如何發生的?我們要怎樣守衛個人信息安全?
1 部分App「偷窺」用戶信息
在社交媒體平台上,有關「手機是否在偷聽聊天」的話題被網友不時更新。有網友稱,「現在手機的偷聽功能真是強大,剛才跟朋友聊天,朋友的手機還是鎖屏狀態,我提到某品牌挖掘機,朋友打開手機後,到處都是該品牌的廣告。」
那麼,手機是否真的在偷聽我們的聊天呢?「大家認為的『偷聽』,其實是App調用手機麥克風權限,搜集環境音的行為。」上海安識網絡科技有限公司總經理、網絡安全專家郭耀告訴半月談記者,在業內,App調用手機麥克風、攝像的權限,以及調用手機剪切板、通訊錄、位置信息或存儲的行為,一般稱為「監聽」,這里的「監聽」其實不僅僅是「聽」,還包含了「看」「讀」「傳」等活動。
半月談記者聯系業內權威測評實驗室還證實,App即使不調用手機麥克風權限,也可以通過分析與用戶、用戶設備、用戶所處環境相關數據的方式來「探測」用戶需求,這些數據包括下載安裝過的App名稱、IP位址所處大致地理位置、用戶的上網瀏覽歷史、搜索痕跡等。
半月談記者曾在某社交App上進行感知測試:先後發布4條包含信用卡辦理、婚紗攝影、嬰兒紙尿褲和房產交易的公開信息(測試前,記者沒有在該手機的任何App發布或檢索過類似信息),不到30分鍾,某地產企業廣告在3個不同的新聞資訊類App中做了首頁推薦,某婚紗攝影廣告也在另一款社交App上發布「頭條推薦」。
今年5月,國家網信辦組織對公眾大量使用的部分App的個人信息收集使用情況進行了檢測,105款App發現的問題包括:未經用戶同意收集使用個人信息;違反必要原則,收集與其提供的服務無關的個人信息;未公開收集使用規定等。
2 想法設法逃避監管
半月談記者梳理發現,近幾年,國家對App相關技術產業主體收集使用個人信息行為出台了規範文件,提出了具體要求。但部分主體並未完全承擔起應有的責任,依然違規收集、使用用戶信息,甚至利用部分應用商店安全檢測不嚴,以及網盤、論壇貼吧、簡訊連結等渠道缺乏安全檢測的漏洞擴散。
有些App首次啟動時,在用戶授權同意隱私政策前,就獲取用戶應用安裝列表等個人信息,或者申請打開位置、電話、存儲、錄音等權限問題;有些App運行時,在用戶明確拒絕位置、相機、麥克風權限申請後,仍向用戶頻繁彈窗申請開啟與當前服務場景無關的權限。
2020年2月,浙江大學的科研團隊發現,部分手機App甚至可在用戶不知情的情況下,利用手機內置加速度傳感器來搜集手機揚聲器發出聲音的振動信號,從而實現對用戶語音的「偷聽」。
據研究人員介紹,由於手機中的揚聲器和加速度傳感器安裝在同一塊主板上,且距離十分接近,當揚聲器在播放聲音時所產生的振動可以明顯影響手機內置加速度傳感器的讀數。因此,通過劫持手機內置加速度傳感器,並收集其振動信號,即可識別甚至還原手機所播放的聲音信號。
針對這些情況,各級監管部門不斷強化日常巡查執法,適時開展專項整治,整改了一批不合要求的App。有的手機廠商也在優化相關設計,彈窗、亮燈等形式提醒用戶有App在調用手機相應權限。然而,一些App受利益驅使不斷升級技術手段,逃避監管,使得用戶信息的保護成為一項長期、復雜的工作。
3 多措並舉,堵住「偷窺」漏洞
「對企業而言,它們有通過做廣告營銷進行營利的需要;對用戶而言,也應該有權利選擇『更多隱私』還是『更多便利』。」網絡安全專家何延哲認為,是否能夠搜集用戶的個人信息並進行相應的個性化廣告營銷,不能全是企業說了算,用戶更應享有選擇權。
何延哲建議,有關部門要加緊制定出台相關行業標準,對個性化廣告的數據搜集范圍、數據處理流程、用戶的控制機制等做出相應規定,充分保障用戶的各項權利。
與此同時,監督力度要跟上。專家表示,現有技術監管手段由於自動化檢測能力低、覆蓋范圍受限,很難實現全面均衡監管,需要緊跟App技術發展前沿,及時更新監管技術手段。用戶可定期檢查敏感App的手機權限獲取詳情,積極向網信部門舉報惡意程序線索,與監管部門等共同維護個人信息安全。
App相關技術產業主體更要積極承擔主體責任,按照相關規定的要求劃定底線和紅線,釐清App運行所需要的合理個人信息需求,提升履責水平。浙江大學網絡空間安全學院教授周亞金提出,手機廠商應該為用戶建立起防止被App隨意偷聽的「第一道防火牆」,例如在未來的系統更新中新增「一鍵關閉前置攝像頭」或「一鍵撤回App麥克風使用權限」等操作。
來源:cnBeta
