當心!別讓手機APP"偷"走你的隱私
“安裝一個閱讀APP涉及17項隱私權限,乍一看心裡犯嘀咕。”手機用戶蘭女士告訴記者。據了解,這些權限涉及讀取通訊錄、位置信息、錄像等敏感信息,其中至少15項隱私權限與該手機軟件(以下簡稱“APP”)主營業務無關。
蘭女士的擔憂折射出社會的普遍焦慮。中國消費者協會近期發布的《APP個人信息泄露情況調查報告》顯示,個人信息泄露總體情況比較嚴重,超八成受訪者曾遭遇個人隱私泄露問題。
為什麼大量APP應用要求開啟一定的權限?商家如何利用這些讓渡的隱私權限?用戶該如何審慎選擇開放權限?在保護個人隱私與促進大數據開發方面還有哪些路要走?
1.拒絕服務還是開放權限
記者翻看了某手機系統上30個涉及衣、食、住、行四個類別的手機軟件。其中,要求開通權限項目最多的達19項,讀取地理位置、通訊錄、錄像、錄音權限幾乎被所有軟件要求開通,每種軟件根據其功能特點,又設置不同權限請求。
據了解,前幾年該手機系統權限管理相對薄弱,所有權限均在安裝時提示是否授權,如果拒絕則無法安裝。系統缺乏約束的開放性在吸引眾多APP入駐的同時,也讓用戶毫無選擇地讓渡權利,隱私泄露風險隨之而來。但是2015年手機系統升級之后,用戶擁有了把握權限的自主權,一道保護個人隱私的“閘門”構建起來。
盡管如此,權限被無條件讓渡情況仍然嚴重。
“某些軟件開出‘霸王條款’式隱私協議,注冊或使用時隻有‘允許’‘禁止’兩個選項,如果禁止則無法安裝或使用。”手機用戶段小秋說。除此之外,從不可靠的手機商城下載軟件,手機病毒或侵害性代碼植入后“寄生式”獲取信息﹔用戶隱私意識差,“不走心”地全盤接受權限要求,成為信息被泄露的重要途徑。
從應用來看,開啟權限的本意是為了發揮APP具體功能,為用戶提供服務。比如社交平台中讀取通信錄便於好友邀請,錄音為了提高互動效率或制作音頻產品,獲取地理位置為了幫助用戶導航到准確的目標場所。但是,在記者查看的30個APP中,很多權限與主營業務關系不大甚至沒有關系,這些越界的權限要求顯然超出了主營業務的服務范圍。
國家互聯網應急中心高級工程師王博說:“從理論上講,即使同意了隱私協議,通過手機桌面上設置圖標關閉越界權限,或是退出APP服務系統,相關數據都無法被獲取。即使拒絕開放一些權限,APP也能正常運行,只是在某種程度上減少了該項服務而已。”
在設置中選擇了關閉,真的意味著用戶信息不再被獲取嗎?國家互聯網應急中心研究所常務副所長陳訓遜告訴記者:“這需要技術手段,通過對APP分析、在線檢測和后台檢查等方式了解商家獲取了哪些信息,再與用戶在終端上所確認的情況進行對比,以此判斷是否在用戶同意的范圍內獲取信息。如果在用戶不知情或未授權的情況下獲取個人信息,就違背了《中華人民共和國網絡安全法》有關規定,構成違法侵權。”陳訓遜認為如果在注冊時同意了隱私條款的規定,后期也並未在設置中關閉相關權限,此時軟件收集到的信息是合法的。不過這裡的“合法”是指用途合法而不是隨意使用或售賣,是否在協議規定的范圍內使用數據還需技術性核查。
2.被讀取的個人信息去哪兒了
據了解,一些越界權限所獲取的信息可能暫時無法發揮功效,但商家可以為擴展APP功能做儲備,或者用於商業價值的深度開發。
實際上,每項權限的背后都隱藏著一座冰山,表面上呈現給用戶的功能說明只是冰山一角。騰訊研究院研究員周春慧說:“如同拼圖一樣,通過權限開通獲取的碎片化信息被拼接為完整的用戶形象,用於商業開發。”以讀取地理位置的權限為例,平台會把相關數據收納到類似檔案館的服務器中,進行算法分析。比如,商家通過地理位置權限獲知,某人在工作時間經常活躍在某CBD,晚上則停留在某高檔小區,由此可大致推算其工作地點、居住地區,進而估測其經濟收入。平台再把這些信息出售給奢侈品店、保險公司等用於精准營銷。
國內如此,國外亦然。
國外某著名科技公司曾提出“不作惡”的價值底線,但是“明修棧道,暗度陳倉”,其內部依舊成立了隱私機構,雇佣顧問,以應對每一輪由於技術擴張和數據獲取帶來的侵權訴訟。在大數據時代,一些伴隨著訴訟成長的國外科技公司,已經將敗訴賠償納入到專門的經營預算中去,在與法律和公序的沖撞中,尋求妥協方案。
可見,商家作惡不僅僅是“生存土壤”的問題,更應該從公民意識、技術、制度和立法上查漏補缺。
3.避“數”之短,揚“數”之長
如果把手機軟件比作商場裡無數個“商販”,那麼手機系統就如同物業“管理員”。中國管理科學學會大數據專委會秘書長、大數據專家端木凌認為,用戶要提高隱私保護意識,用好“管理員”的功能。一是從安全可靠的軟件分發商、分發平台下載正版軟件﹔二是充分利用手機桌面上設置圖標中關於權限管理的功能,慎重開放與APP核心功能缺乏關聯的權限,如面臨“霸王條款”則可尋求替代軟件﹔三是使用后盡量關閉手機軟件,防止后台繼續記錄個人信息。
陳訓遜提出了幾點建議:技術上,通過變換顯示號碼,對手機號、身份証號等數據進行“脫敏”﹔機制上,針對不同種類軟件的功能,制定出相應隱私權限的標准﹔引入第三方機構,對APP進行技術評估、檢測,形成系統性、規范性、針對性的監督、考核、懲戒制度﹔完善國家級網絡信用體制,將濫用個人信息的機構納入失信黑名單中。
中國政法大學教授張中認為要盡快建立數據保護法律體系,規范企業對個人信息採集權限,細化個人信息收集要求,明確企業平台責任,加大個人信息保護力度,“用法律制度為個人隱私保護和大數據產業發展保駕護航”。
隨著國家大數據戰略的深入實施,大數據發展的無限潛力和內生動力噴薄而出。據《中國互聯網發展報告(2018)》顯示,中國大數據市場交易旺盛,2017年市場規模達358億元,是2012年的10倍之多。北京師范大學法學院教授、亞太網絡法律研究中心主任劉德良說:“大數據資源是種財富,誰掌握了數據,誰就掌握主動權,隻有促進數據加工、共享,才能實現數據資源利用的最大化。”
端木凌認為,在明確統一的數據標准前提下,應建立跨部門協同治理工作機制,使大數據流動、聯動、互動起來,真正實現揚其長、避其短。
(本報記者 李曉 李克)
分享讓更多人看到
推薦閱讀
相關新聞
- 評論
- 關注