陈湉:个人信息安全有隐蔽收集、超出心理预期收集等四大典型问题
第七届互联网安全大会
“我们可能生活在了一个被频繁收集、反复收集、无时无刻收集(个人信息)的世界当中。”中国信息通信研究院安全所数据安全研究部副主任陈湉在8月20日举办的第七届互联网安全大会“个人信息安全与隐私保护”分论坛上如是说。
中国信息通信研究院安全所数据安全研究部副主任陈湉。图自主办方
陈湉介绍道,App违法违规收集使用个人信息问题引起社会广泛关注,个人信息安全存在四大典型问题:隐蔽收集用户个人信息、超出用户心理预期获取个人信息、误导用户同意收集个人信息,以及第三方SDK存在安全风险。
她指出,隐秘收集个人信息的常见方式为获取系统高危权限。大量App默认“开机自启动”高危权限,无论是否使用App,App均可以调动用户已经允许的权限收集个人信息、上传远程服务器,但用户自己却感知不到。
此外,某些App还会非法获取超级权限行为(root权限),可以对系统中任何文件执行操作。陈湉认为,除非有特别服务,否则App没有必要获取该权限,“这违反了必要性的原则”。
另外,部分App为了能够收集更多的个人信息进行用户画像分析,使用cookie及其同类技术隐蔽收集个人标识,个人行为记录等信息。她指出,cookie是当前识别用户、实现持久会话的最好方式,可以记录用户访问站点时的设置和偏好。“如果使用cookie技术一定要在隐私政策里进行相应的告知”,陈湉说。
随着网络安全知识的普及与宣传,用户个人信息保护意识和防范意识逐渐增强,一些App超出用户心理预期获取用户个人信息的问题成为用户投诉的焦点。陈湉表示,“用户对于隐私的期待或者是用户本身对于什么时候收集我的个人信息、什么时候使用我的个人信息,是有一个预期的。”
不少用户都有这样的经验:明明没有用过这个App,却收到了“xx,你有一个通讯录好友在xx App上将你设置为心动对象。点击http://XXXX.com,下载APP作出你的选择。回T退订。”的短信。
陈湉指出,给用户造成困扰的关键问题在于,虽然将自己通讯录的权限交给App的用户能够知晓相关功能,但对于收到短信的人来说,难免会感到自己的隐私被侵犯。
此外,有些App为了尽可能地获取更多个人信息,选择采用欺骗、诱导等方式获取用户授权;SDK自身的漏洞以及隐蔽收集个人信息的问题也是App个人信息安全问题。
谈及如何解决App个人信息安全问题,陈湉认为,从社会方面,需要各界多方参与,确定App个人信用收集使用的相关标准和尺度;从立法方面,应加快立法进一步明确相关主体(App开发者,第三方SDK提供者),细化收集使用个人信息的规范要求及需要采取的安全措施;从企业方面,App开发者需要充分重视个人信息安全问题,引入隐私保护设计理念,在组织与运营管理和产品设计研发中将数据安全和个人信息保护贯穿到技术、系统、操作等各个层面。