“滴滴出行”App存在嚴重違法違規(guī)收集使用個人信息問題,下架整改;哪吒汽車等57款App存在違法違規(guī)收集個人信息,被要求限期整改……一些App不同程度違規(guī)收集、使用用戶信息,引發(fā)社會關注。那么,“偷窺”是如何發(fā)生的?我們要怎樣守衛(wèi)個人信息安全?
1
部分App“偷窺”用戶信息
在社交媒體平臺上,有關“手機是否在偷聽聊天”的話題被網(wǎng)友不時更新。有網(wǎng)友稱,“現(xiàn)在手機的偷聽功能真是強大,剛才跟朋友聊天,朋友的手機還是鎖屏狀態(tài),我提到某品牌挖掘機,朋友打開手機后,到處都是該品牌的廣告。”
那么,手機是否真的在偷聽我們的聊天呢?“大家認為的‘偷聽’,其實是App調(diào)用手機麥克風權限,搜集環(huán)境音的行為。”上海安識網(wǎng)絡科技有限公司總經(jīng)理、網(wǎng)絡安全專家郭耀告訴半月談記者,在業(yè)內(nèi),App調(diào)用手機麥克風、攝像的權限,以及調(diào)用手機剪切板、通訊錄、位置信息或存儲的行為,一般稱為“監(jiān)聽”,這里的“監(jiān)聽”其實不僅僅是“聽”,還包含了“看”“讀”“傳”等活動。
半月談記者聯(lián)系業(yè)內(nèi)權威測評實驗室還證實,App即使不調(diào)用手機麥克風權限,也可以通過分析與用戶、用戶設備、用戶所處環(huán)境相關數(shù)據(jù)的方式來“探測”用戶需求,這些數(shù)據(jù)包括下載安裝過的App名稱、IP地址所處大致地理位置、用戶的上網(wǎng)瀏覽歷史、搜索痕跡等。
半月談記者曾在某社交App上進行感知測試:先后發(fā)布4條包含信用卡辦理、婚紗攝影、嬰兒紙尿褲和房產(chǎn)交易的公開信息(測試前,記者沒有在該手機的任何App發(fā)布或檢索過類似信息),不到30分鐘,某地產(chǎn)企業(yè)廣告在3個不同的新聞資訊類App中做了首頁推薦,某婚紗攝影廣告也在另一款社交App上發(fā)布“頭條推薦”。
今年5月,國家網(wǎng)信辦組織對公眾大量使用的部分App的個人信息收集使用情況進行了檢測,105款App發(fā)現(xiàn)的問題包括:未經(jīng)用戶同意收集使用個人信息;違反必要原則,收集與其提供的服務無關的個人信息;未公開收集使用規(guī)定等。
2
想法設法逃避監(jiān)管
半月談記者梳理發(fā)現(xiàn),近幾年,國家對App相關技術產(chǎn)業(yè)主體收集使用個人信息行為出臺了規(guī)范文件,提出了具體要求。但部分主體并未完全承擔起應有的責任,依然違規(guī)收集、使用用戶信息,甚至利用部分應用商店安全檢測不嚴,以及網(wǎng)盤、論壇貼吧、短信鏈接等渠道缺乏安全檢測的漏洞擴散。有些App首次啟動時,在用戶授權同意隱私政策前,就獲取用戶應用安裝列表等個人信息,或者申請打開位置、電話、存儲、錄音等權限問題;有些App運行時,在用戶明確拒絕位置、相機、麥克風權限申請后,仍向用戶頻繁彈窗申請開啟與當前服務場景無關的權限。
2020年2月,浙江大學的科研團隊發(fā)現(xiàn),部分手機App甚至可在用戶不知情的情況下,利用手機內(nèi)置加速度傳感器來搜集手機揚聲器發(fā)出聲音的振動信號,從而實現(xiàn)對用戶語音的“偷聽”。
據(jù)研究人員介紹,由于手機中的揚聲器和加速度傳感器安裝在同一塊主板上,且距離十分接近,當揚聲器在播放聲音時所產(chǎn)生的振動可以明顯影響手機內(nèi)置加速度傳感器的讀數(shù)。因此,通過劫持手機內(nèi)置加速度傳感器,并收集其振動信號,即可識別甚至還原手機所播放的聲音信號。
針對這些情況,各級監(jiān)管部門不斷強化日常巡查執(zhí)法,適時開展專項整治,整改了一批不合要求的App。有的手機廠商也在優(yōu)化相關設計,彈窗、亮燈等形式提醒用戶有App在調(diào)用手機相應權限。然而,一些App受利益驅使不斷升級技術手段,逃避監(jiān)管,使得用戶信息的保護成為一項長期、復雜的工作。
3
多措并舉,堵住“偷窺”漏洞
“對企業(yè)而言,它們有通過做廣告營銷進行營利的需要;對用戶而言,也應該有權利選擇‘更多隱私’還是‘更多便利’?!本W(wǎng)絡安全專家何延哲認為,是否能夠搜集用戶的個人信息并進行相應的個性化廣告營銷,不能全是企業(yè)說了算,用戶更應享有選擇權。何延哲建議,有關部門要加緊制定出臺相關行業(yè)標準,對個性化廣告的數(shù)據(jù)搜集范圍、數(shù)據(jù)處理流程、用戶的控制機制等做出相應規(guī)定,充分保障用戶的各項權利。
與此同時,監(jiān)督力度要跟上。專家表示,現(xiàn)有技術監(jiān)管手段由于自動化檢測能力低、覆蓋范圍受限,很難實現(xiàn)全面均衡監(jiān)管,需要緊跟App技術發(fā)展前沿,及時更新監(jiān)管技術手段。用戶可定期檢查敏感App的手機權限獲取詳情,積極向網(wǎng)信部門舉報惡意程序線索,與監(jiān)管部門等共同維護個人信息安全。
App相關技術產(chǎn)業(yè)主體更要積極承擔主體責任,按照相關規(guī)定的要求劃定底線和紅線,厘清App運行所需要的合理個人信息需求,提升履責水平。浙江大學網(wǎng)絡空間安全學院教授周亞金提出,手機廠商應該為用戶建立起防止被App隨意偷聽的“第一道防火墻”,例如在未來的系統(tǒng)更新中新增“一鍵關閉前置攝像頭”或“一鍵撤回App麥克風使用權限”等操作。
(編輯:鳴嫡)