文丨“中国企业家”王雪琪
编辑丨齐杰伦
“我家的智能机器人会一直听我的吗?”
自从智能机器人大行其道以来,葛健经常收到朋友的询问,“有人在机器人不使用的时候拔掉电源,以防漏电。”
葛健是360手机卫士的安全专家。他经常去学校和电视台做网络安全科普讲座。
有一次,他去一所学校讲课。结束后,一位老师问他:“我的冰箱可以语音,会一直在偷听我吗?”
葛健为对方详细分析了相关授权原则。并安慰道:“如果一直记录下来,很容易被发现。一旦出现问题,企业将承担巨大的损失。因此最近几年个人信息泄露的案例,他们尽量避免此类风险,并会设置专门的触发机制。” 。”
这样的恐慌并非空穴来风。
仅在 2018 年,就发生了数起严重的个人隐私信息泄露事件。年中,华住酒店集团5亿条用户信息疑似泄露,圆通、顺丰等个人信息累计超过10亿条在暗网上售出。年末,网上销售旅客信息约410万条。随后,中国铁路总公司发表声明称,此次信息泄露与中国铁路总公司12306平台无关,发生在用户通过第三方票务平台购票后。
2019年央视3月15日晚会还介绍了通过手机APP泄露个人隐私信息的案例。主持人使用一款名为“社保掌上”的APP,现场查询个人社保信息。一边的网络安全专家通过捕获和分析数据包发现,用户的信息在查询过程中被发送到了某大数据公司的服务器。
数以千计的信息在手机上收集
近年来,随着移动互联网的快速发展,手机已经成为大众生活的必需品。手机在承担着越来越多的生活服务功能的同时,也收集了大量的衣食住行、社会关系等个人隐私信息,安全问题突出。
根据中国消费者协会2018年8月29日发布的《APP个人信息泄露调查报告》,目前个人信息泄露情况较为严重。在5458份有效问卷中,有85.2%的受访者。
报告显示,个人信息泄露的主要方式包括经营者未经本人同意收集个人信息,经营者或犯罪分子故意泄露、出售或非法向他人提供个人信息,网络服务体系存在漏洞等。 ,不法分子通过木马病毒、钓鱼网站等手段窃取、诈骗个人信息,运营商收集不必要的个人信息。
APP过度请求授权是个人信息泄露的诱因之一。
在接受《中国企业家》记者采访时,葛健认为,过度要求体现在APP要求的功能与要求的权限不匹配,比如图片编辑软件、要求麦克风或联系人权限。
“如果新闻和购物应用在安装过程中要求通讯录授权,显然是过度要求授权。”网易易盾移动安全高级工程师侯海飞告诉《中国企业家》记者。他还提到了一些生活中个人信息容易泄露的场景,比如朋友来拉票,但如果投票时需要填写手机号甚至身份证号,这个拉票场景的目的是可能会获取个人信息。
作为移动安全领域的专家,侯海飞经常给父母科普安全领域的知识。一时间,他发现老爷子的手机上有很多来历不明的应用程序。几番查询后得知,老爷子参与了路边扫码打折的活动,点开弹出的下载链接。
“尽量避免从非正式渠道下载应用程序,例如群组共享、扫描未知来源的二维码等。”侯海飞补充道。
葛健曾经做过一个小实验。
一天,一家儿童培训机构在路边派发免费气球,葛健给了孩子一个,并应对方的要求留下了自己的电话号码,“我就是想看看他是不是真的。会打电话给我的。”很快,他“如愿以偿”,几乎每周都会接到几个销售电话。过了一会儿,机关终于停止了战斗。然而,另一家培训机构开始打电话。
侯海飞强调,在公共场所,连接不安全的Wi-Fi也是一种高风险行为。 “如果互联网流量被控制,你所有的访问内容都可以获得。安全性好的应用程序会对互联网信息进行加密;如果没有加密,你的所有信息都会暴露给外界。”他建议家里的路由器最好也设置一个更复杂的密码,以防被劫持。
另外,用户在使用APP时不经意间同意的一些授权协议也会导致个人信息泄露。
以央视3.15方提及的“社保掌上”为例,用户在查询信息时,默示了一份授权协议,其中包括“您在此充分、有效、不可撤销地、明示同意并授权我们使用为您提供服务的社保账号密码”、“根据本协议,收集、分析、处理、模拟您登录中国人民银行征信、学信、社保、公积金、运营商网站等获取您的个人信息”和其他条款。
金融借贷APP由于需要用户提供更多的个人信息作为征信和还款的保障,一直是隐私泄露的高风险领域。
最近的风波来自京东金融。
2月16日,微博网友上传了一段视频,称京东金融安卓APP在后台运行时,会自动获取用户手机截图,并上传保存在APP相关文件中。 京东金融回应称,京东金融绝不会在未经用户授权的情况下收集任何信息,更不会窃取用户信息,并将邀请权威机构对京东金融APP进行全面的安全测试。
3月8日,京东金融APP在其官方微博上进一步澄清:通过工信部中国信息通信研究院中国泰尔实验室的安全导向测试,未经用户授权不得上传。图片缓存文件夹中有照片或截图最近几年个人信息泄露的案例,但京东金融将以此事件为警示,建立长效的安全自律审查和外部监督机制,为用户创造更安全、更安心的使用环境。
法律仍有待完善
中国政法大学知识产权中心特约研究员赵战告诉《中国企业家》记者,虽然国家对此非常重视,但客观上说,处罚力度还在不足的。非法收集、盗取个人信息的现象依然十分普遍,不少知名互联网公司也未能幸免。
加强企业自律,提高用户警惕性,是防止个人信息泄露的有效途径。同时,相关法律的完善也是必不可少的。
2019年1月1日起施行的《电子商务法》加强了个人信息保护的相关规定。在2019年3月4日举行的十三届全国人大二次会议新闻发布会上,全国人大发言人张业遂表示,全国人大常委会已将制定个人信息保护法在现行立法计划中,有关部门正在加紧研究。和起草。
在赵展看来,我国个人信息保护的法律层面主要存在三个缺陷。
首先,定义个人信息的标准。有两种类型的信息可以确认个人的真实身份:直接识别和间接识别。间接识别的定义还比较模糊,容易产生争议。例如,IP 地址是否算作个人信息。
第二,法律对个人信息的收集和使用采取了合法、合法、必要的三项原则。其中,必要性原则最容易引起争议。例如,新闻应用是否需要收集用户的地理位置。直觉上,地理位置并不是使用新闻类APP的必要信息,但个性化推荐现在很流行,有些公司可能会根据地理位置的变化推荐不同的内容作为请求地理位置授权的理由。
第三,在个人信息保护方面,不存在举证责任倒置。也就是说,当用户的个人信息被泄露时,他要承担举证责任,但在大多数情况下,用户很难取证。
在全球层面,保护个人隐私信息的立法也成为一个重要问题。
2018 年 5 月 25 日,欧盟通用数据保护条例(以下简称 GDPR)生效。 GDPR 被认为是最严格的数据保护标准。多云数据管理解决方案的全球领导者 Veritas Technologies 的研究表明,全球许多公司错误地认为自己符合 GDPR 的标准和要求。然而,根据调查,只有 2% 的企业真正符合监管合规要求。
虽然 GDPR 是欧盟立法,但它对全球科技公司具有相当大的影响力。 2019 年初,谷歌因在广告个性化方面缺乏透明度和有效同意,被法国国家数据保护委员会限制委员会根据 GDPR 相关规定罚款 5000 万欧元。
专家给你一个技巧
虽然泄漏的方式有很多种,但几乎不可能预防,但是用户还是可以在日常使用中养成一些良好的习惯来降低泄漏的风险。对此,葛健和侯海飞提供了一些简单易操作的建议。
在不同平台注册时,区分账户系统,使用不同的邮箱地址和密码。使用安全系数高的邮箱绑定金融平台,不要使用金融相关平台和其他平台的密码。
谨慎使用手机作为登录账号,可注册专用邮箱。
避免连接到来自未知来源的 Wi-Fi。在公共场所连接 Wi-Fi 时,请在连接前尝试与 Wi-Fi 提供商确认。
在相关平台填写信息时,尽量不要填写不需要的信息。
在使用授权信息查询平台时,请仔细阅读用户协议。
不要给APP太多的权限和不符合你需求的权限,尤其是IMEI权限。
下载应用时,尽量从正规应用商店下载知名厂商的应用。避免点击来源不明的二维码传播的各种群组或下载链接。
此外,侯海飞还特别提醒,老年人是隐私信息泄露的重灾区,要经常和家里的老人做安全科普,尽量保持联系。
