众多APP疯狂“偷窥”,个人信息安全刻不容缓
事件回顾
一、 网友遭遇:饿了么在“偷听”我吗?
2018年11月中旬,上海一名孙姓用户与同事闲聊时提到想喝某品牌奶茶,在打开饿了么外卖平台时,推荐商家首位就出现该品牌奶茶。
无独有偶,2018年年底,北京一位用户在跟朋友说想吃鳗鱼饭后,打开饿了么APP,商铺推荐位顶部就显示一家鳗鱼饭的外卖店。
为了验证这一系列现象不是纯属巧合,从2018年11月到2019年3月,上海《IT时报》记者用3个多月的时间,通过模拟用户使用场景,对安卓手机、苹果手机、苹果平板电脑上的饿了么和美团外卖进行多轮测试发现,在谈话时提及某种食物后,打开APP出现相关推荐的概率高达60%-70%。
此前,多家互联网公司被指疑似窃听用户语音信息,这其中包括谷歌、亚马逊、百度等知名互联网巨头。
二、 超6成APP“不老实” 好多人都在用
3月27日,上海市消保委发布了针对39款网购、旅游、生活类常用手机APP涉及个人信息权限的评测结果。
评测发现,居然有超6成APP“不老实”, 这些APP的主要问题在于,申请了很多敏感权限,但实际功能却跟这些信息八竿子打不着。
更有甚者,其中9款APP由于长期“屡教不改”,被点名批评。这9款分别是:聚美、贝贝、穷游、TripAdvisor猫途鹰、神州租车、一嗨租车、饿了么、百度糯米、格瓦拉生活。
而其中更让人惊讶的是,外卖平台饿了么竟存在读取日历、读取通话记录等问题。网友纷纷表示,我就想点个外卖,你凭啥要看我的日历和通话?
那么有人问了,个人隐私泄漏会有哪些风险呢?不妨跟着小编来看看。
1、个人隐私会面临极大泄漏风险
平台要想拿到更多个人数据,往往偷偷打擦边球,要么调取与功能无关的权限、要么通过设置“霸王条款”,私自盗用。
于是,个人身份信息、个人财产信息、个人生物信息等通通暴露,用户成了“透明人”。
2、信息被非法贩卖,易受不法侵害
个人信息泄漏之后,尾随而来的是一条黑产信息交易产业链。黑产人员盗取出售、网络公司借助软件搜集打包售卖,各种骚扰电话、垃圾短信、网络诈骗等等就对你狂轰滥炸。
3、存在被“大数据杀熟”的风险
北京市消费者协会3月27日发布的大数据“杀熟”问题调查结果显示,绝大多数被调查者认为大数据“杀熟”普遍存在,有半数被调查者表示遭遇过“杀熟”,且网购平台、在线旅游和网约车等消费平台是“重灾区”。
调查发现,2名体验人员同时通过飞猪旅行网预订某酒店发现,老用户价格高且不享受优惠。“大数据杀熟”背后,正是用户们“裸奔”的隐私。
综上所述,大数据时代下的个人信息保护形势非常严峻,尽快建立相应的保护机制成为当前社会的迫切需求。
三、切断“链条”,构建个人信息保护机制
大数据时代潜伏着各种个人信息安全风险,故在信息风险管理方面,除了变革信息管理方式、完善法律法规、加大信息安全宣传力度、提高个人信息保护意识外,通过技术手段保护个人信息安全事半功倍。下面我们就从法律层面、公民意识层面及技术层面分别探讨个人信息的保护机制。
(一) 法律层面:个人隐私法规的健全
对于个人隐私数据被贪婪不加节制的获取,政府已经采取行动。3月13日,市场监管总局、中央网信办决定开展APP安全认证工作。主要是为了规范APP收集、使用用户信息特别是个人信息的行为。同时,中央网信办、工信部、公安部、市场监管总局四部门联合成立App违法违规收集使用个人信息专项治理工作组,截至4月16日,举报信息超过3480条,涉及1300余款App。对于30款用户量大、问题严重的App,工作组向其运营者发送了整改通知。
2019年4月10日,由公安部网络安全保卫局、公安部第三研究所和北京市网络行业协会等相关专家共同研究制定的《互联网个人信息安全保护指南》正式发布。该指南系由公安部牵头出台、现行有效且专门针对个人信息安全的文件,纳入了网络安全等级保护系列标准中的部分管理、技术要求。互联网企业、联网单位在今后的个人信息保护工作中可以借鉴该指南以更有效地展开工作。
(二) 公民意识层面:加强信息安全法律法规的学习和养成良好的个人信息保护安全意识
领先、 遵守《网络安全法》、《信息安全技术个人信息安全规范》规定,牢记网络安全法、个人信息安全规范常识,辅助其他已有的相关法律规定,建立完善的个人信息法律保护意识,让个人信息的保护做到有法可依;
第二、 强化个人信息保护意识,在使用app等应用前阅读隐私条款,对各类从产品的安全性时刻保持警惕,尽量避免在不熟悉的网络工具上输入银行账号及密码等重要个人信息。一旦个人信息遭到侵害,应及时向有关部门投诉举报,依法主动维权;
第三、 网银、网购、银行卡等支付账户、密码切记定期更新;同时关闭某些软件的访问权限,有效避免消费行为分析和引导消费。
(三) 技术层面:网络运营者应充分利用技术手段保护重要信息
领先, 数据防泄漏技术:通过使用深度内容识别技术对使用中、传输中以及存储中的数据进行内容识别,定义敏感信息,制定安全策略,对敏感信息阻断、审计、加密等,从而达到保护敏感信息的效果;
第二, 数据脱敏技术:对敏感信息通过脱敏规则进行数据变形处理,可实现敏感隐私数据的可靠保护。与原始数据相比,脱敏后的数据同样具备数据特征和可访问性,同样可以被外部自由使用;
第三, 防拖库、撞库技术:加强对数据库结构的防拖库设计,加强对数据库的访问控制识别和安全运维。降低黑客用拖库获得的用户名和密码在其它网站批量尝试登陆,进而盗取个人信息的风险;
第四, 数据安全交换技术:数据交换类产品为数据共享和数据利用提供了便利,但也为个人信息泄漏和病毒传播提供了通道,因此数据交换过程中需增加对病毒及敏感数据的检测,可采用多重审核、多重加密等技术手段;
另外,对个人信息防护,还可采用访问控制、安全审计和备份恢复等技术手段,在此就不赘述了。