yberspace Strategy Forum
网络空间战略论坛
C
C N I T S E C
38 / 2019.03
文│腾讯守护者计划 安全专家 黄汉川 法律专家 王京婕
目前,一些手机App 越界获取隐私的问题愈发严重,例如,有的输入法App、手电筒App 要求位置权限;有的App 在用户对App 的权限请求默许的情况下,在后台记录用户的通话记录、短信、通讯录、位置信息、设备信息等,上传到服务器端;有的App 开发者为了牟利,甚至将用户隐私出售或利用获取的权限推送广告获利。本文从App 信息泄露形势、数据采集制度、如何保护隐私等方面进行分 析和解读。
一、App 信息泄露形势严峻
信息泄露的危害不言而喻。如果个人信息、地址位置、身份、财产及银行卡信息等被不法分子掌握,轻则饱受广告推销烦恼,重则导致隐私泄露。而且,个人信息一旦被非法获取后,便会通过直接或间接的方式被出售给下游犯罪产业,导致犯罪团伙能够更“精准”地实施犯罪行为,包括但不限于广告推销、恶意营销、网络盗窃、电信、、骗贷、、等。
根据2019年1月腾讯发布的《2018网络隐私及网络欺诈行为分析报告》,在被收集的样本中,100%的安卓手机App 会不同程度获取手机隐私权限,90%发iOS 手机App 获取用户隐私权限。报告显示,新技术的发展也让隐私的外延进一步扩大,很多App 都收集用户的指纹、虹膜等生物信息。2018年下半年,有24.9%的安卓App 已经通过用户使用身体传感器收集用户的生物信息。
此外,从安卓端恶意获取信息的手法看,恶意开发者已经从开发恶意App 向开发恶意软件开发工具包(SDK)转移,恶意SDK 开发者通过提供SDK 给其他App 使用,以达到快速传播的目的。同时,
恶意SDK 开发者通过使用代码分离和动态代码加载技术,可完全从云端控制SDK 中实际执行的代码,具有很强的隐蔽性和对抗杀毒软件的能力。
近些年,个人信息保护已经获得政府及社会各界的高度关注,腾讯已经协助公安机关破获了多起涉及
公民个人信息的案件。然而,对于侵犯公民信息的黑灰产治理还存在一些困难,一方面,不法分子行为难以察觉,例如,其沟通的方式更为隐蔽,跨平台作案,通过A 渠道勾连,B 渠道传输信息,C 渠道交易资金,D 渠道贩卖,很难通过单方面的力量进行遏制,需要更多政府、企业联合起来共同对抗。另外,犯罪团伙的中上游为了逃避打击,开始逐渐转向在作案。另一方面,对于新兴的互联网数据是否属于公民个人信息在认定上,存在争议。
个人信息安全保护是一项长期而又艰巨的任务,无论是监管部门、企业和个人,都应积极采取各项措施维护用户的个人信息安全。2019年1月,中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布《关于开展App
违法违规收集使用
黄汉川
Cyberspace Strategy Forum
网络空间战略论坛
C N I T S E C
2019.03 /
39
个人信息专项治理的公告》,在全国范围内组织开展App 违法违规收集使用个人信息专项治理行动,该专项治理行动将贯穿2019年全年。
二、现有数据采集制度的相关规定
通过App 的数据泄露事件增多,更重要的原因是用户App 隐私签署形同虚设,一是自动默认勾选为同意企业用户协议和隐私政策,二是不同意就不能使用App,用户没有其他选择,三是在隐私条例里面设置霸王条款或者偷换概念的情况存在,以恶意规避法律责任。
2012年的《全国人大常委会关于加强网络信息保护的决定》、2016年的《中华人民共和国网络安全法》
和2018年5月1日开始实施的GB/T 35273-2017《信息安全技术 个人信息安全规范》(以下简称《规范》)共同建立了在非基于公共职权数据采集领域的以数据主体同意为唯一合法依据的个人数据采集制度。
其中,《全国人大常委会关于加强网络信息保护的决定》首次制定了我国个人数据保护“法律”层面的框架性规范,奠定了我国数据采集制度的基调,明确了数据控制者采集个人数据应当遵循合法、正当和必要的原则,应当向数据主体明示采集的目的、方式和范围,并征得数据主体的同意。
从上述法律法规可见,我国目前仅以告知同意作为数据采集的唯一合法依据。无论是何种情况下的数据采集行为,都必须经过数据主体的同意,否则将被视为非法采集相关数据。
我国在法律层面并未予以明确规定“同意的方式”,但是,根据2012年11月,原国家质量监督检验检疫总局和国家标准化管理委员会联合发布的我国首个个人信息保护国家标准GB/Z 28828-2012《信息安全技术 公共及商用服务信息系统个人信息保护指南》,我国在同意的方式上并未强调必须明示同意,在一定程度上同样接受默示同意的方式。
《规范》阐明了个人信息安全保护领域的诸多重要问题。例如,《规范》中定义个人信息为电子
或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况
的各种信息,即可被用于识别自然人(数据主体),或者与识别个人相关用于影响个人的信息(且不包括匿名化数据,但是,匿名化数据有可能被用于重新识别或影响该个人,则应属于个人数据)。《规范》规定了个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节的相关行为。这些对于遏制个人信息非法收集、滥用、泄露等乱象,最大程度保障个人的合法权益和社会公共利益,起到积极的作用。
《规范》不仅规范了数据收集企业、组织的行为,保障了个人的信息权益,还为有关机关提供了判断企业是否违反《网络安全法》甚至构成刑事犯罪的依据。在个人信息收集这一重要环节,《规范》严格界定了个人信息控制者的权利并明确了其义务,规定在
收集个人信息前,应当向信息主体明示相关内容并取得同意;涉及间接获取方式以及个人敏感信息时,应当做出必要说明或取得明示同意且遵守有关法律、行政法规关于个人信息保护的规定。
在信息收集方面,《规范》就个人信息控制者的义务提出了以下几点意见:首先,合法性。要求个人信息控制者在法律法规规定的范围内采用合法的手段和获取信息的渠道,在征得个人信息主体同意的前提下收集个人信息或要求信息主体提供个人信息。其次,最小化。要求个人信息的收集类型、频率和数量应在必要性的最小要求之内,即符合最少够用原则。不仅要求信息收集者在最小范围内收集个人信息,而且尽量保证信息收集者至少能够实现其收集的目的,“收集和处理个人信息的行为与目的相
关且适当:在行使信息形成权和为公众带来的负担之间平衡”。最后,授权同意。要求个人信息控制者处理个人信息时的目的、方式、范围以及相关规则,均要经过个人信息主体的授权同意。事实上,这一要求贯穿《规范》勾勒的个人信息处理全链条,也涵盖对个人信息的保存、使用以及委托处理、共享、转让、公开披露等。
yberspace Strategy Forum
网络空间战略论坛
C
C N I T S E C
40 / 2019.03
对于个人敏感信息,《规范》根据敏感程度的不同,考虑到敏感度较高的个人信息的收集与提供对个人信息主体带来的不同范围的利害影响,要求个人信息控制者要在个人信息主体完全知情的基础上给出自愿的、具体的、清晰明确的同意的意思表示。同时,若涉及产品或服务的核心功能以及附加功能,应明确告知个人信息主体对此享有的同意与拒绝提供或被收集信息的权利以及由此带来的不利影响。
值得注意的是,《规范》加强了个人信息主体对其个人信息的控制权,在个人信息主体明确表示同意的前提下,才可以进行相关的个人信息处理活动。其要求个人信息控制者制定相关的隐私政策,说明其自身的基本情况,并对收集行为做出目的性解释。在后续的共享、转让、公开披露等环节,需要提供行为目的、被处理的信息类型乃至与此相关的第三方主体、涉及的法律责任等情况说明。在隐私政策的相
关内容中,特别强调个人信息主体的权利实现机制,隐私政策的发布方式要以最基本的法律法规以及相关规范作为基准,以真实易懂的信息内容,采取公开发布或易于访问的方式逐一送达或公告送达相关个人信息主体。
针对个人信息的保存问题,《规范》确定了个人信息保存时间最小化与个人信息去标识化处理标准,采取技术措施处理敏感性较高的信息,与信息控制者停止运营后也应停止继续收集的行为。“以逐一送达或公告的形式通知个人信息主体,并对已经收集到的个人信息进行删除或匿名化处理:时间最小化,要求信息的保存时间应与使用目的保持程度上的一致,应满足一定的必要性,在超过保存期限后,即应对信息作出删除或匿名化处理;去标识化处理,是对信息主体的技术性保护,要求将收集到的信息去除识别性特征,并避免该数据二次复原重新识别,妥善地保管信息控制者收集到的各类数据”。
三、亟需各方协同保护个人隐私
用户作为隐私信息的源头和最终受害者,需要加强网络安全意识和知识,了解隐私保护手段。用户可以参考以下手机隐私安全保护措施:1.下载:尽
量选择官方渠道,特别是投资理财、银行类App,不要下载来历不明的山寨App;2.授予权限:谨慎授予App“”“读取短信”“读取联系人”“读取位置信息”等权限;3.流量使用:观察App 流量使用情况,对一些使用大量流量且没有告
知的App,及时检查和删除;4.自动登录:不要把手机中的App 设置为“自动登录”,密码最好定期更换;5.退出不彻底:不再使用App 时应彻底退出,如果退出不彻底会给后台运行的恶意程序以可乘之机;6.自启动:某些App 即使用户没有打开过,也会自己启动常驻后台,最好想办法关闭其自启动功能。如果仍然自启动,则建议卸载;7.安全软件:安装手机管家等安全软件,保障设备安全。
对于新型通过恶意SDK 获取用户个人隐私的情况,建议SDK 开发者、应用开发者和应用市场做到:1.SDK 开发者避免使用云控、热补丁等动态代码加载技术;2.应用开发者在集成使用第三方提供的SDK 时要谨慎连接具有动态更新能力的SDK;3.应用市场要加强管理,增强对恶意应用和恶意SDK 的识别能力。
对于互联网企业来说,用户个人信息和数据安全关系用户权利与企业生存,企业应严格遵循《网络安全法》确立的收集、使用个人信息合法、正当、必要的三原则。收集的信息仅用于为给用户提供必要
如何采集数据
而良好服务,保障用户知情权,给予用户选择权,以严格的标准保护数据存储的安全性,防止数据泄露与不当使用,尊重用户对个人信息的合法权利。
从技术层面讲,没有什么是绝对安全的。每个应用在互联网服务中,都涉及数据库、服务器、网络运营商、软件客户端、用户终端(PC/Pad/手机),
每个环节或参与者,都有可能被攻击导致个人隐私数据泄露。企业能做的是通过不断地完善保护策略,增加黑客窃取信息的难度,降低个人隐私泄露的风险。例如,根据不同的数据库分散管理员权限,数据库的访问权限应该只开放给对应局域网的服务器使用,禁止连接公网,并且修改数据库的默认密码及要求设置密码的复杂度。再如,提升黑客撞库攻击的难度;部署通向服务器的防火墙,对连接数、端口、协议做统一的规范和部署等。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议