APP侵权暗藏灰色利益链,谁能保护我们的隐私安全?
莫名其妙接到的推销电话、如影随形的个性化推荐、无孔不入的垃圾广告……覆盖衣、食、住、行各个方面的APP在给我们带来便利的同时,不知不觉中成为了泄露个人隐私数据的重灾区。
日前,工信部通报了今年第一批157款侵害用户权益的APP,其中来源于腾讯应用宝、小米应用商店、豌豆荚等知名应用商店的侵权APP数量位列前三。超八成APP存在“违规收集个人信息”的问题。2月4日,根据工信部最新通报,经第三方检测机构核查复检,尚有37款APP未按照要求完成整改,将立即组织对名单中应用软件进行下架处理。个人信息到底是怎么从APP上泄露出去的?APP侵权乱象究竟因何屡禁不止?大数据爆炸时代,又该如何保障个人隐私安全?
APP已成隐私泄露重灾区
获取权限,是APP“越权”搜集用户隐私数据的第一步。《中国电子报》记者通过应用商店随机下载了十款APP,安装过程中发现获取权限的请求五花八门,比如购物类APP要求读取通信录、资讯类APP要求开启相机和麦克风等。如选择不同意,则无法正常安装。但这些权限真在必要范围内吗?中国人民大学信息学院教授孟小峰团队曾在对40多万款APP进行调查后发现,绝大多数APP索取的权限与实现功能的需求并不匹配。
除了获取权限之外,还存在更为隐蔽的采集个人信息的方式,比如嵌入SDK(软件开发工具包)。SDK可以高效率、低成本地实现地图、支付、统计、广告等功能,因此在APP中应用广泛。中国金融认证中心(CFCA)和南都个人信息保护研究中心联合发布的《常用第三方SDK收集使用个人信息测评报告》中指出,APP对SDK存在较强的依赖性,平均每款APP使用的SDK数量为19.3个。但安全隐患显而易见,比如开发者技术水平参差不齐,可能导致SDK安全漏洞;还有一些开发者故意预留“后门”,以便收集用户信息或执行越权操作。需要注意的是,由于SDK通用性极强,很多APP都嵌入了相同的SDK。在这种情况下,如某个SDK窃取隐私数据,用户即便发现问题也无从查起。
让人难以察觉的数据泄露途径还有我们每天都在使用的输入法。业内专家指出,目前市面上多数输入法的输入原理是将用户输入文本或语音上传至后台服务器进行大数据分析,贴上标签、进行偏好设置,从而提供更便捷的服务,这无疑会给用户的隐私数据保护增添难度。
此外,生物特征识别、算法推荐等技术的滥用也加剧了隐私信息泄露的风险。例如,中消协指出,“大数据杀熟”问题的核心就是互联网平台对算法技术的过度应用。而生物识别信息泄露的后果更为严重。上海众人网络安全技术有限公司创始人谈剑锋曾在采访中指出:“个人生物信息最为独特的特性就是它的不可再生性,手机号泄露了可以再换一个,而人脸、指纹天生只有一个。”一旦泄露,就是终身泄露。
背后暗藏灰色利益链
记者在采访中发现,触目惊心的隐私数据泄露现象背后,暗藏着一条灰色利益链,不少APP开发商、平台应用商、网络黑产从业人员投身其中,疯狂逐利。不良APP开发商是这条灰色利益链中的直接获益者。神州数码CBG数据安全业务负责人甘锦辉接受《中国电子报》记者采访时指出:“我们常说的精准营销及个性化服务都需要数据作为支撑,而这类数据大多涉及个人隐私。”随着数据成为战略资产,APP开发商为了最大化营销价值尽可能多地收集用户数据,与其他软件应用商进行资源互换,共享用户数据带来的红利也屡见不鲜。还有不法中间商直接买卖数据,赚取利润。对于他们而言,这几乎是一项无本的买卖。
也有观点指出,应用商店是这条灰色利益链中的隐形获益方。某位不愿透露姓名的业内专家表示,应用商店盈利模式主要包括两类:一类是广告投放收入,比如搜索竞价广告和非标广告(如开屏banner)等;另一类是渠道联运收入,比如在应用内支付流水分成。因此应用平台的收益与APP开发商的收益息息相关。而且如果限制过多,APP或许会转去其他平台上架,这是应用商店不愿意看到的。赛迪智库网络安全研究所所长刘权对《中国电子报》记者表示:“应用商店责任意识还不是很强,相关审核机制也不完善,所以对APP的上架把控不够严格。”就相关问题,记者联系了腾讯应用宝、小米应用商店等,并未收到答复。
另外,网络黑产从业人员也是其中的重要参与者。据不完全统计,目前中国网络黑产从业者已达到百万级以上,每年造成的经济损失达千亿元级规模。上游负责“源头供货”,APP用户隐私数据被视为“商品”明码标价、打包出售;中游负责信息处理与再加工,形成规模化市场;下游负责“数据变现”,通过电信诈骗、恶意营销等非法渠道牟取高额利润。疫情期间,大批明星健康宝照片被倒卖,曾引发社会各界对个人隐私安全的质疑。有网民指出:“在我们看来,至关重要的隐私数据对于这些人而言就只是赚钱的工具而已。”
谁能保护我们的隐私数据安全
伴随隐私泄露事件层出不穷,公众对数据安全的担忧也与日俱增。究竟谁能成为个人信息安全真正的“护卫者”?事实上,工信部已经在行动。据工业和信息化部新闻发言人、信息通信管理局局长赵志国介绍,从2019年起,工信部已经连续两年开展专项行动,共实现对62万款APP的技术检测工作,责令2234款违规APP进行整改,公开通报了500款,下架了132款整改不到位、拒不整改的APP。与此同时,通过推动标准制定、强化手段建设、加强行业自律等多措并举,工信部打出了组合拳。赵志国强调,工信部将进一步加大力度,切实维护好用户个人的信息安全、数据安全,使消费环境实现根本性好转。
目前,从规则与规范层面看,对于侵犯个人信息的处罚力度还不够大,相关法律法规有待完善。刘权建议,应进一步细化个人信息采集边界,通过配套标准规范“明确”不同类型、不同应用场景下的APP获取用户权限的范围,引导开发商只获取与业务功能相关的权限,压缩运营者的自由裁量空间。还可以通过建立奖惩机制,让应用商店积极参与到审核工作中来。中国信通院产业互联网研究部主任汤立波认为,需要建立强有力的监管和执法机制,比如严格准入门槛和登记备案、严厉打击个人信息贩卖的灰色产业链,以及通过对AI、大数据、网络安全技术的运用,推进APP技术监测和平台监管等。
从技术维度层面看,刘权认为可以从移动端系统考虑,比如在APP安装前禁止自动打开权限,安装后通过应用日志监管权限打开情况。若APP存在“偷听”、“偷看”等违法收集个人信息行为,系统通过某种方式给用户做出提示。汤立波指出,很多APP会采用第三方数据采集分析平台来进行数据埋点,采集并分析用户数据,所以对数据采集分析平台的规范非常必要。甘锦辉表示,数据安全相关技术、产品已有很多,像常见的数据脱敏、数据库防火墙、数据加密等都可以被用于APP隐私数据保护。另外,隐私计算、区块链等新兴技术也在个人信息保护领域被频繁提及。
多位受访专家皆表示,在个人隐私数据保护方面,数据输出方、数据采集方和平台监管方皆需承担相应的责任。对于APP开发和运营商而言,一方面应加强自律,仔细研究相关法律、法规,严格遵守知情同意、最小必要等基本原则;另一方面也要提高网络安全意识,防范数据窃取、违规爬取、采集传输泄密等安全风险。对于应用商店平台而言,需要进一步树立责任意识,规范APP审核上架机制,加强操作系统权限管理能力,积极应用新技术提升监管效率。对于个人用户而言,要在使用APP过程中加强自我保护意识,谨慎对待收集、使用个人信息行为,善于拒绝不必要的权限申请。
中电金信研究院院长况文川坦言:“要杜绝APP侵权很困难,APP技术和运用也在不断地发展和扩展,所以我们只能通过有计划的行动减少和改善APP侵权。”当前,个人信息保护力度持续加大,相关部门先后推出了《网络安全法》《个人信息保护法》《数据安全管理办法》《个人信息出境安全评估办法》等系列法律法规。相信在各方共同努力下,消费环境有望实现根本性好转。