每日最新頭條.有趣資訊

誰在非法采集使用我們的個人信息?

文 |《財經》記者 俞琴

編輯 | 魯偉

“經我行第一時間溝通排查,確認是我行手機銀行(5.12版)存在部分隱私條款有待補充完善之處。”1月15日,民生銀行針對被國家計算機病毒應急處理中心通報“涉嫌隱私不合規”一事做出緊急聲明,稱為嚴格落實監管機構關於客戶隱私保護的要求,該行手機銀行最新版本更新了隱私政策,進一步完善了攝影頭、位置等客戶信息相關內容,明確了設備權限使用場景以及獲取客戶信息範圍和使用目的,以上優化舉措旨在提升客戶體驗。

國家計算機病毒應急處理中心此前通報稱,24款違法、違規有害移動應用存在隱私不合規行為,違反《網絡安全法》相關規定,涉嫌超範圍采集個人隱私信息。

《財經》記者注意到,上述24款存在隱私不合規行為的移動應用中不乏知名企業的App,比如“飛常準”、“搜狗瀏覽器”、“12306買票”等等,這些涉隱私不合規的APP包括“未經用戶同意收集個人隱私信息”、“未向用戶明示申請的全部隱私權限”兩類。

僅手機銀行App方面,就有包括民生銀行在內的六家銀行的移動應用被指“涉嫌隱私不合規”。

截至發稿時,24款涉隱私不合規的App大多數均已進行整改。不過,由於屢有APP被指涉嫌隱私不合規,公眾對於數據洩露風險的擔憂有增無減。

據中國信息通信研究院發布的《2019金融行業移動App安全觀測報告》顯示,在該報告團隊從安卓應用市場中收錄的13萬餘款金融行業App中,超過七成存在高危漏洞,攻擊者可利用這些漏洞竊取用戶數據、進行App仿冒、植入惡意程序、攻擊服務等,對App安全具有嚴重威脅。其中排名前三的高危漏洞均存在導致App數據洩露的風險。

警惕信息洩露風險

在通報24款違法、違規移動應用程序的同時,國家計算機病毒應急處理中心提醒廣大手機用戶首先不要下載這些違法有害移動應用,避免手機作業系統受到不必要的安全威脅。

手機上的個人信息安全嗎?據安比(SECBIT)實驗室創始人郭宇介紹,目前手機作業系統都內置有非常細分的權限控制,比如針對微信這一款App來說,用戶可以精確地打開和關閉它在手機中的系統權限。但在傳統的PC作業系統上,並沒有這一類精細的權限控制,而是要通過第三方安全軟體來實現。

一名計算機軟體研究領域的專家對《財經》記者表示,手機App“無法在不經用戶允許的情況下,偷窺用戶數據”,也就是說,手機App獲取系統權限時,需要經過用戶同意。而潛在的風險在於,一旦授權以後,App怎麽使用系統權限就超出用戶控制了。“它什麽時候打開了攝影頭,用戶是完全不知道的。”

郭宇表示,手機上保存的個人信息非常豐富。“一些惡意 App會瞄準手機這個大金礦,採用各種手段誘騙用戶權限,誘導用戶上傳個人隱私信息。”

據郭宇介紹,手機App一般是通過以下幾個途徑來獲取個人信息。

第一,手機App向用戶索要系統權限,包括訪問通訊錄、通話記錄、GPS定位信息、相冊照片等。有些App會在不告知用戶的情況下,把這些信息上傳到企業後台伺服器進行保存。

第二,App通過采集一些手機設備特徵來對某一個特定的手機設備進行跟蹤,即便用戶在隱私模式下使用手機,App仍然能夠通過一些技巧來標識設備。由此一些網站或者App就能將用戶在不同時段的行為進行關聯分析,然後對用戶的行為進行跟蹤預測。

第三,App使用需要用戶提供個人信息,比如計程車App能知道用戶的地理位置,電商App能知道用戶的購物記錄、瀏覽記錄以及快遞地址。

第四,還有一類App屬於手機廠商預裝的應用,這些應用通常都具有比較高的系統權限,能訪問到比較多的手機信息,而部分信息就會被傳回廠商後台進行分析和保存,這一類的信息洩露風險相當高。

2017年,警察部破獲一起盜賣公民信息的特大案件,有包括在京東、QQ上的物流信息、交易信息、個人身份等信息在內的近50億條隱私信息泄漏。其中一名主要嫌犯是正處於試用期的京東網絡安全工程師鄭某鵬。有消息稱,鄭某鵬加入京東之前曾在國內多家知名互聯網公司工作,長期與盜賣個人信息的犯罪團隊合作,從所在公司盜取個人信息,然後在網上販賣。

除企業方面主動洩露用戶信息外,黑客入侵也是信息外泄的重要渠道。郭宇表示,擁有高質量用戶數據的企業往往會成為黑客們的香餑餑。黑客通過各種非法技術手段可以侵入到企業內網,竊取內部數據庫的數據。此外,一旦這些企業的 App後台程序存在嚴重漏洞的話,黑客就可以輕而易舉地將大批量的用戶數據拖走,也即“拖庫”。

當用戶數據進入到黑產領域,這些數據會經過很多次清洗、轉賣,達到不同的犯罪團夥手中,實施詐騙、敲詐勒索、網銀盜竊等各種犯罪活動。“利用多維度的用戶數據,黑客可以對用戶進行精準畫像,毫不誇張地說,可能黑客比我們還了解我們自己。”郭宇稱。

個人信息應取之有道,用之有度

自2019年以來,警察部加大整治侵犯公民個人信息違法犯罪力度,已查處整改100款違法違規App及其運營的互聯網企業。2019年,由於違法違規采集個人信息而被查處的APP達到683款。

2019年年底,國家網信辦、工信部、警察部、國家市場監管總局等聯合發布《App違法違規收集使用個人信息行為認定方法》,明確了六大違規行為,為監督管理部門認定App違法違規收集使用個人信息行為提供參考。

“國家在逐步采取高壓政策,但是就目前來說,企業洩露用戶數據的情況還是較為普遍。”在郭宇看來,現有的立法對於如何界定哪些數據是合法數據、哪些采集方式合法合規,並沒有相關的細則。另一方面,對於企業洩露數據來說,還存在著技術取證等多方面的難點。因此,App企業對用戶信息的侵犯仍是“現在進行時”。

“對App企業而言,更多的數據意味著未來更有利於開展業務、改進用戶體驗、提升競爭力,並且存在一些合法與非法的牟利途徑,這驅使著App企業盡可能多地獲取用戶數據。”郭宇說。

個人信息保護的立法工作備受社會各界關注。2017年6月1日生效的《網絡安全法》,首次在法律層面規定了個人信息保護的基本原則。其明確指出,收集適用信息應經用戶明示同意,不得收集無關信息,不得向他人提供個人信息,經過處理無法識別特定個人且不能複原的除外,不得非法出售個人信息。

和《網絡安全法》同日施行的《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若乾問題的解釋》明確,非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息五十條以上的將入罪。

此外,全國人大常委會法工委發言人嶽仲明在法工委記者會上表示,將在2020年制定《個人信息保護法》。

在前述一位計算機軟體研究領域的專家看來,2019年有數據企業出現了高管被抓的情況,使部分App企業感到“如坐針氈”,“以前企業拿著這些數據變現賺錢,現在非常怕員工洩露數據”,曾經的搖錢樹儼然成了燙手山芋。

中國社會科學院大學互聯網法治研究中心執行主任劉曉春認為,對於個人信息的保護很有必要;但另一方面,使用互聯網時,很多時候需要用戶提供個人信息,才能更好地去獲得生活的便利。因此,不能一味強調保護,也不能一味強調產業發展,而需要在保護個人信息與保障數據產業的發展和流動上做好平衡。

在劉曉春看來,刑法中,“非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息五十條以上的將入罪”這一規定過於嚴厲。在民法、行政法並沒有形成體系的情況下,刑法先行,其帶來的問題是,對數據產業造成一種威懾,形成寒蟬效應。

劉曉春認為,在立法層面,最重要的是把基礎的規則搭建好,比如說個人信息的概念的界定。另外,要比較清晰地去界定個人的權利、政府的權力。在此基礎之上,及時總結行業當中能夠形成共識的一些保護方式,把它提煉成為法律規則,但是對於一些無法形成共識,或者說實際上社會效益不見得有那麽大的一些規則要緩行,需要充分考慮其帶來的產業和社會成本。

“立法上要給企業留出在各個應用場景裡面去發展的可能性,既要有確定的基礎制度,又要留出場景化和具體的發展的彈性和可能性、包容性。”劉曉春說。

1月10日,全國政協召開網絡議政遠程協商會,議題正是“加強大數據時代個人信息保護”。參會的政協委員對於如何界定個人信息、相關的立法的嚴格程度展開討論,他們普遍認為,依法監管十分必要,但也需要給行業留出一定的發展空間。

國家計算機病毒應急處理中心通報的24款APP

未經用戶同意收集個人隱私信息

深圳航空(版本5.3.1)

遨遊旅行(版本5.6.2)

筐鮮生採購端(版本1.2.1)

未向用戶明示申請的全部隱私權限

12306買票(版本2.3.11)

訂票助手12306高鐵搶票(版本8.1.2)

搶火車票(版本8.0.0)

高鐵票務(版本8.1.2)

高鐵管家(版本7.3.1)

鐵友火車票-12306搶票(版本9.0.0)

飛常準(版本4.8.1)

航旅縱橫(版本5.1.3)

東方航空(版本7.3.13)

山航掌尚飛(版本4.10.1)

飛行加(版本3.4.11)

快票出行(版本2.6.8)

12306買火車票(版本8.5.89)

搜狗瀏覽器(版本5.25.9)

搜狗搜索(版本7.3.5.2)

民生銀行(版本5.12)

興業銀行(版本5.0.4)

內蒙古農信(版本2.4.6)

內蒙古銀行(版本2.0.4)

海峽銀行(版本2.4.8)

鄂爾多斯銀行(版本3.1.0)

獲得更多的PTT最新消息
按讚加入粉絲團