315晚會(huì)曝光手機(jī)App泄露個(gè)人隱私信息 只是冰山一角

圖片來源：視覺中國(guó)

原標(biāo)題：3·15晚會(huì)曝光手機(jī)App泄露個(gè)人隱私信息，這只是冰山一角

文丨《中國(guó)企業(yè)家》 王雪琦

編輯丨齊介侖

“我家的智能機(jī)器人會(huì)不會(huì)一直在聽我說話？”

自從智能機(jī)器人開始流行，葛健就經(jīng)常接到朋友的咨詢，“有些人為了防止泄密，不用的時(shí)候，就把機(jī)器人的插銷拔了”。

葛健是360手機(jī)衛(wèi)士的安全專家，經(jīng)常去學(xué)校和電視臺(tái)做網(wǎng)絡(luò)安全方面的科普講座。

有一次，他去一所學(xué)校辦講座。結(jié)束后，一位老師問他：“我家的冰箱能用語音，那它會(huì)不會(huì)一直都在偷聽我說話？”

葛健詳細(xì)地給對(duì)方分析了相關(guān)授權(quán)原理，并安慰道：“如果它時(shí)刻記錄，是很容易被檢測(cè)出來的。一旦出問題，企業(yè)將承擔(dān)巨大損失。因此它們盡量避免此類風(fēng)險(xiǎn)，會(huì)設(shè)定專門的觸發(fā)機(jī)制。”

這樣的恐慌并非空穴來風(fēng)。

僅在2018年就發(fā)生了多起嚴(yán)重的個(gè)人隱私信息泄露事件。年中，華住酒店集團(tuán)有5億條用戶信息疑似遭到泄露，來自圓通和順豐的總計(jì)十幾億條個(gè)人信息在暗網(wǎng)被出售。年底，約410萬條旅客信息在網(wǎng)上被出售，隨后，中國(guó)鐵路總公司發(fā)布聲明表示，信息泄露與中國(guó)鐵路總公司12306平臺(tái)無關(guān)，是用戶通過第三方搶票平臺(tái)訂票后發(fā)生的。

2019年央視3·15晚會(huì)也介紹了個(gè)人隱私信息通過手機(jī)App泄露的案例。主持人現(xiàn)場(chǎng)使用一款名為“社保掌上通”的App查詢個(gè)人社保信息，一旁的網(wǎng)絡(luò)安全專家通過抓取分析數(shù)據(jù)包發(fā)現(xiàn)，查詢時(shí)，用戶的信息已被發(fā)送至一家大數(shù)據(jù)公司的服務(wù)器。

萬千信息匯于手機(jī)

近年來，隨著移動(dòng)互聯(lián)網(wǎng)的高歌猛進(jìn)，手機(jī)已成為大眾生活必需品。手機(jī)在承擔(dān)越來越多生活服務(wù)功能的同時(shí)，也因匯集大量個(gè)人隱私信息如衣食住行、社交關(guān)系等，安全問題凸顯。

根據(jù)2018年8月29日中國(guó)消費(fèi)者協(xié)會(huì)發(fā)布的《App個(gè)人信息泄露情況調(diào)查報(bào)告》，目前個(gè)人信息泄露總體情況比較嚴(yán)重，在共計(jì)5458份有效問卷中，有此遭遇的受訪者占比達(dá)85.2%。

報(bào)告顯示，個(gè)人信息泄露的主要途徑包括經(jīng)營(yíng)者未經(jīng)本人同意收集個(gè)人信息，經(jīng)營(yíng)者或不法分子故意泄露、出售或者非法向他人提供個(gè)人信息，網(wǎng)絡(luò)服務(wù)系統(tǒng)存有漏洞，不法分子通過木馬病毒、釣魚網(wǎng)站等手段盜取、騙取個(gè)人信息和經(jīng)營(yíng)者收集不必要的個(gè)人信息等。

App過度索要授權(quán)是個(gè)人信息泄露的導(dǎo)火索之一。

在接受《中國(guó)企業(yè)家》記者采訪時(shí)，葛健認(rèn)為，過度索要體現(xiàn)在App所需的功能和它所要請(qǐng)求的權(quán)限不匹配，比如，圖片修改類軟件，索要麥克風(fēng)或者通訊錄權(quán)限。

“如果新聞和購(gòu)物類App在安裝時(shí)索要通訊錄授權(quán)，那明顯是過度索要授權(quán)�！本W(wǎng)易易盾移動(dòng)安全資深工程師侯海飛對(duì)《中國(guó)企業(yè)家》記者表示。他還提到了幾個(gè)生活中容易泄露個(gè)人信息的場(chǎng)景，比如周圍朋友來拉票，但如果投票時(shí)需要填寫手機(jī)號(hào)甚至身份證號(hào)，這個(gè)拉票場(chǎng)景的目的很可能是獲取個(gè)人信息。

作為移動(dòng)安全領(lǐng)域的專家，侯海飛經(jīng)常給父母進(jìn)行安全領(lǐng)域的科普。有段時(shí)間，他發(fā)現(xiàn)老人的手機(jī)里多了不少來源不明的App，幾經(jīng)詢問才得知，老人參與了路邊掃二維碼獲取優(yōu)惠的活動(dòng)，并點(diǎn)擊了彈出的下載鏈接。

“要盡量避免從不正規(guī)途徑，比如群組分享、掃不明來源二維碼等方式下載App�！焙詈ｏw補(bǔ)充道。

葛健曾專門做過一個(gè)小實(shí)驗(yàn)。

一天，某兒童培訓(xùn)機(jī)構(gòu)在路邊免費(fèi)發(fā)放氣球，葛健給孩子領(lǐng)了一個(gè)，并在對(duì)方的要求下，留了電話號(hào)碼，“我就想看他是不是真的會(huì)給我打電話”。很快，他“如愿以償”，幾乎每周都會(huì)收到好幾個(gè)推銷電話。過了一段時(shí)間，這家機(jī)構(gòu)終于不打了。但，另外一家培訓(xùn)機(jī)構(gòu)開始打電話了。

侯海飛強(qiáng)調(diào)，在公共場(chǎng)合，連接不安全Wi-Fi也是高風(fēng)險(xiǎn)行為�！叭绻�上網(wǎng)的流量被控制，你所有的訪問內(nèi)容都可以被獲取。安全層面做得好的應(yīng)用，會(huì)加密上網(wǎng)信息；如果沒有加密，你所有的信息都是對(duì)外暴露的�！彼�建議家中路由器最好也設(shè)置比較復(fù)雜的密碼，以防被劫持。

另外，用戶在使用App時(shí)，不經(jīng)意間同意的一些授權(quán)協(xié)議，也會(huì)導(dǎo)致個(gè)人信息泄露。

在央視3·15晚會(huì)提到的“社保掌上通”案例中，用戶在查詢信息時(shí)，被默認(rèn)同意了一份授權(quán)協(xié)議，協(xié)議中包括“您在此充分地、有效地、不可撤銷地、明示同意并授權(quán)我們使用您的社保賬戶密碼為您提供服務(wù)”，以及“在遵循本協(xié)議的條件下，對(duì)您的信息進(jìn)行采集、分析、處理和模擬您登錄人行征信、學(xué)信網(wǎng)、社保、公積金、運(yùn)營(yíng)商網(wǎng)站等獲取您的個(gè)人信息”等條款。

金融借貸類App由于需要用戶提供更多個(gè)人信息作為征信和還款的保證，一直以來都是隱私泄露的高風(fēng)險(xiǎn)重災(zāi)區(qū)。

最近的一場(chǎng)風(fēng)波來自京東金融。

2月16日，有微博網(wǎng)友上傳視頻稱，京東金融安卓版App在后臺(tái)運(yùn)行時(shí)會(huì)自動(dòng)獲取用戶使用手機(jī)時(shí)的截圖并上傳保存到該App相關(guān)文件中。京東金融回復(fù)稱，京東金融絕不會(huì)收集未經(jīng)用戶授權(quán)的任何信息，更不會(huì)竊取用戶信息，將邀請(qǐng)權(quán)威機(jī)構(gòu)對(duì)京東金融App進(jìn)行全面安全性檢測(cè)。

3月8日，京東金融App在官方微博進(jìn)一步予以澄清：已通過工信部下屬中國(guó)信息通信研究院中國(guó)泰爾實(shí)驗(yàn)室安全性定向檢測(cè)，未見用戶非授權(quán)情況下上傳圖片緩存文件夾中的拍照或截屏圖片，但京東金融會(huì)以此次事件為戒，建立長(zhǎng)期的安全自律審查和外部監(jiān)督機(jī)制，為用戶創(chuàng)造更加安全、更加放心的使用環(huán)境。

法律仍需再完善

中國(guó)政法大學(xué)知識(shí)產(chǎn)權(quán)中心特約研究員趙占領(lǐng)向《中國(guó)企業(yè)家》記者表示，國(guó)家雖已高度重視，但客觀而言，懲戒力度仍顯不夠，個(gè)人信息被非法收集和盜取的現(xiàn)象仍十分普遍，許多知名互聯(lián)網(wǎng)公司也未能幸免。

企業(yè)加強(qiáng)自律、用戶提高警惕，都是防止個(gè)人信息泄露的有效途徑，與此同時(shí)，相關(guān)法律的完善也必不可少。

2019年1月1日開始實(shí)施的《電子商務(wù)法》已經(jīng)強(qiáng)化了個(gè)人信息保護(hù)的相關(guān)規(guī)定。2019年3月4日舉行的十三屆全國(guó)人大二次會(huì)議新聞發(fā)布會(huì)上，大會(huì)發(fā)言人張業(yè)遂表示，全國(guó)人大常委會(huì)已將制定個(gè)人信息保護(hù)法列入本屆立法規(guī)劃，相關(guān)部門正在抓緊研究和起草。

在趙占領(lǐng)看來，目前中國(guó)個(gè)人信息保護(hù)在法律層面主要存在三點(diǎn)不足。

其一，個(gè)人信息的界定標(biāo)準(zhǔn)。能確認(rèn)個(gè)人真實(shí)身份的信息有直接識(shí)別和間接識(shí)別兩類，間接識(shí)別的定義還比較模糊，容易產(chǎn)生爭(zhēng)議，比如IP地址到底算不算個(gè)人信息。

其二，法律對(duì)個(gè)人信息的收集使用采取三個(gè)原則，正當(dāng)、合法、必要，其中必要性原則最容易產(chǎn)生爭(zhēng)議，比如新聞?lì)怉pp到底有沒有必要收集用戶的地理位置。直觀而言，地理位置不是使用新聞?lì)怉pp的必要信息，但現(xiàn)在流行個(gè)性化推薦，部分公司可能會(huì)以根據(jù)地理位置變化推薦不同的內(nèi)容作為索要地理位置授權(quán)的理由。

其三，在個(gè)人信息保護(hù)方面，沒有實(shí)施舉證責(zé)任倒置。也就是說，當(dāng)用戶個(gè)人信息被泄露之后，還要自己承擔(dān)舉證責(zé)任，但多數(shù)情況下，用戶很難取證。

在全球?qū)用�，個(gè)人隱私信息保護(hù)立法也已成為重要事項(xiàng)。

2018年5月25日，歐盟《通用數(shù)據(jù)保護(hù)條例》(以下簡(jiǎn)稱GDPR)生效。GDPR被認(rèn)為是目前數(shù)據(jù)保護(hù)的最嚴(yán)苛標(biāo)準(zhǔn)，全球多云數(shù)據(jù)管理解決方案領(lǐng)導(dǎo)廠商Veritas Technologies的研究顯示,全球諸多企業(yè)誤認(rèn)為自身符合了GDPR的標(biāo)準(zhǔn)和要求。但根據(jù)調(diào)查,真正滿足條例合規(guī)要求的企業(yè)只有2%。

GDPR雖然是歐盟的立法，但對(duì)全球化布局的科技公司均有不小的影響力。2019年年初，谷歌因?yàn)樵趶V告?zhèn)�性化方面缺乏透明度和有效同意，被法國(guó)國(guó)家數(shù)據(jù)保護(hù)委員會(huì)的限制委員會(huì)依據(jù)GDPR相關(guān)規(guī)定，罰款5000萬歐元。

專家支你一招

雖然泄露途徑眾多，幾近防不勝防，但用戶仍然可以在日常使用中養(yǎng)成一些好習(xí)慣，降低泄露風(fēng)險(xiǎn)。對(duì)此，葛健和侯海飛提供了一些簡(jiǎn)單易操作的建議。

區(qū)分賬號(hào)體系，注冊(cè)不同平臺(tái)時(shí)，使用不同的郵箱和密碼。用安全系數(shù)高的郵箱綁定金融類平臺(tái)，切勿把金融相關(guān)平臺(tái)的密碼和其他平臺(tái)的密碼通用。

謹(jǐn)慎使用手機(jī)作為登錄賬號(hào)，可以注冊(cè)專門的郵箱。

避免連接不明來源的Wi-Fi，在公共場(chǎng)合連接Wi-Fi時(shí)，盡量跟Wi-Fi提供方確認(rèn)后再連接。

在相關(guān)平臺(tái)填寫信息時(shí)，非必須提供的信息，盡量不要填寫。

授權(quán)信息查詢類平臺(tái)時(shí)，仔細(xì)閱讀用戶協(xié)議。

不要給App過多權(quán)限以及不符合需求的權(quán)限，特別是IMEI權(quán)限。

下載應(yīng)用時(shí)，盡量從正規(guī)的應(yīng)用商店下載知名廠商的應(yīng)用。避免點(diǎn)擊各類群組，或者不明來源二維碼傳播的下載鏈接。

此外，侯海飛還專門提醒，老年人是隱私信息泄露的重災(zāi)區(qū)，要時(shí)常跟家中老人做安全方面的科普，盡量多保持溝通。