隱私與便利 魚和熊掌如何得兼

  當前,智能終端、應用分發平台以及應用軟件的迅猛發展,為用戶帶來了前所未有的豐富體驗。然而,隨着技術的日新月異,智能終端產業的個人信息保護問題日益凸顯,信息泄露、信息過度收集使用、權限濫用等問題嚴重威脅到用戶切身利益。

  歷時3個月,對100款APP現場體驗后,中國消費者協會發布了100款APP個人信息收集與隱私政策測評報告。報告指出,APP普遍存在涉嫌過度收集個人信息、無隱私條款、條款不完整以及不合理格式條款等問題。

  泰爾終端實驗室、互聯網協會、電信終端產業協會近日也聯合發布了《智能終端產業個人信息保護白皮書》(以下簡稱《白皮書》)。《白皮書》着眼於智能終端產業新的發展階段,闡述了個人信息保護現狀和面臨的挑戰,基於業界最佳實踐,在終端設備、分發平台、應用開發等方面提出個人信息保護建議,並倡議產業界落實企業主體責任,加強行業自律,強化產業協作體系,共同構築智能終端產業個人信息保護良好生態。

  泰爾終端實驗室副主任馬鑫表示:“這本基於智能終端產業的個人信息保護白皮書,其理念就是用戶可知、可控、用戶授權同意、權限申請的合法、必要和最小化原則,以及產業鏈各方的自律、協同原則和社會監督原則。”

  智能終端安全狀況不樂觀

  馬鑫說,終端產業發展非常快,中國信息通信研究院發布的數據显示,今年1-9月份,智能終端出貨量達到2.87億部,其中安卓操作系統佔89.8%,IOS系統佔10%左右。從安卓系統的版本上來看,有4%是安卓9、47%是安卓8、25%是安卓7、15%是安卓6,之前的版本是9%,安卓生態碎片化比較嚴重。

  從IOS系統來看,IOS12版佔50%、11版佔39%,也就是說,有接近90%的IOS終端用的是近一年的新操作系統。這樣看來,IOS在版本的整合性方面和版本控制力方面,相對來說比安卓系統要好一些。

  據悉,泰爾終端實驗室監控的應用中,有敏感隱私竊取、資費損耗、遠程控制、妨礙滋擾等行為的達299萬款。其中最多的是敏感隱私竊取,高達11.86%。從高風險應用所佔比例來看,遊戲、娛樂類應用有40%屬於有高風險情況,其中21%是系統工具類、17%是生活服務類。也就是說,用戶使用最廣泛的應用中,存在很多個人信息保護的風險問題。

  過度讀取個人信息現象嚴重

  《白皮書》显示,現在個人信息保護面臨的挑戰主要有以下五個方面:一是用戶信息過度搜集和難以識別、難以舉證;二是權限申請過度,規範難,判別難;三是低API等級應用,規避安卓的安全機制的問題;四是設備物理識別碼的防護意識不足;五是隱私與便利選擇兩難,產業協作能力不足。

  主要是權限申請過度現象非常嚴重。《白皮書》显示,有97.37%的應用要申請讀取電話權限,有84.15%要申請位置權限。馬鑫指出,過度權限一方面讓使用者產生很多疑慮,另一方面造成很大的攻擊面,對個人信息保護非常不利。

  加大權限調用可知可控力度

  馬鑫指出,要想做好智能終端設備的個人信息保護,就必須加大權限調用的可知可控力度,提高設備號碼的識別防護能力,完善應用管控保障機制,落實信息收集使用告知同意規定,重點加強生物特徵數據保護,加強基礎保障能力建設。

  據悉,早在2013年,泰爾終端實驗室就發布了《移動智能終端安全能力技術要求和測試方法》,其主導思想就是對應用的可知可控。如何讓用戶對終端設備的權限調用可知呢?馬鑫說:“應該是以明確的方式告訴用戶這個應用要調用哪些權限。”

  可控是什麼呢?就是無論用戶選擇同意或者拒絕,應用都能正常運行,即便用戶拒絕被調用,也不應該影響對其他功能,尤其是對主功能的使用。馬鑫解釋說,但在低於版本API(操作系統留給應用程序的調用接口)23等級的情況下,一般是一攬子授權:即用戶在拒絕某一項調用的時候,這個應用一般就裝不上了,因此API版本要提升。

  泰爾終端實驗室的專家建議,要從告知時機、告知方式和告知內容等方面落實信息收集、使用告知同意規定,要清晰、易於操作。比如告知應在用戶使用應用之前,當應用權限有了變化之後,也要在搜集用戶信息或者使用前進行告知。馬鑫說,現在很多應用是在已經開始收集動作后才告知用戶,用戶不管點同意還是不同意,收集行為實際上已經發生了。

  告知的方式要易於用戶去感知,內容要清晰、明確,不能用很多專業術語或模稜兩可的用語,以免用戶無法選擇。

  提高設備識別碼的防護能力

  以前,個人設備識別碼只是一個與用戶關係不大的東西,現在,智能移動設備識別碼與應用結合后,就能進行用戶畫像。馬鑫解釋說,這雖然並不違法違規,但當很多應用綁在用戶識別碼上之後,用戶使用這個設備所進行的各項操作、各種行為軌跡、各種情況就都會被掌握,這些數據集合起來的用戶畫像,就涉及到非常嚴重的個人信息保護問題,個人的任何隱私就都可能暴露。因此,現在個人設備識別碼的問題越來越重要,而且成為非常敏感的個人信息。泰爾終端實驗室建議應將識別碼匿名化,並建立設備識別碼替代機制。此外,還要嚴格限制企業獲取設備識別碼。

  馬鑫認為,開發者對應用權限申請和個人信息收集、使用負有主體責任,應該在應用的需求分析、設計、開發、上架、運營、維護和更新的全生命周期中,高度重視個人信息保護工作,維護用戶合法權益。比如採用高等級的API開發應用,適配最新操作系統和外部代碼,遵循合法正當必要的原則來申請權限,採用單項同意授權、獲取敏感信息收集使用授權、採取加密傳輸機制、謹慎使用外部存儲區域,以及貫徹全生命周期的安全理念。

  對於比較敏感的信息,建議採取單項同意的方式。如果要對一般個人信息進行使用收集的話,只要明確告知用戶應用的範圍、查詢的方式、更正的信息和渠道,以及拒絕提供有哪些後果就可以了。但在收集和調用敏感信息的時候,則要用彈窗或界面等形式告知。因為這些是直接關係到個人隱私的敏感信息,所以建議在概括同意的基礎上,一定要進行單項的授權和同意。從應用分發角度來講,建議完善開發者的政策和分發協議,落實開發者及應用資質的審核要求,充分明示應用的相關信息,建立分發平台上架機制,探索應用在運行期間的管控方式,建立投訴和反饋通道,以及建立應用下架的響應機制等。

  完善分發平台上架機制,就是一定要對應用進行檢查、檢測和審查之後才能上架。根據工業和信息化部407號文件規定,應用分發者在分發應用的過程中,應該明確包括版本號的更新日期、大小等信息。

  用戶應充分了解隱私政策

  馬鑫建議消費者選擇信息明示比較清晰的手機,使用前要充分了解權限管理機制和隱私政策。特別是隱私政策比較多、比較細,很多東西藏在裏面或者不明確,產業鏈應該把隱私政策表述得清晰明確,讓消費者能夠非常清楚地知道,包括概括同意和單項同意的問題。

  消費者要善於使用手機的設置功能,增強安全意識,不要root(獲得手機應用的最高權限)手機。但很多消費者沒有這種意識或能力,這就需要產業界各方以明確、簡單、易行的方式讓用戶使用,讓用戶了解到個人信息保護的方式。

  另外,要促進公眾監督,及時響應用戶關切的問題。用戶投訴渠道一定要暢通、明確、簡捷。加強行業自律,強化產業協作體系建設,也是保護用戶個人信息安全不可或缺的手段。

責任編輯:王峰

本站聲明:網站內容來源再生能源資訊網http://www.ccn.com.cn/,如有侵權請聯繫我們,我們將及時處理【其他文章推薦】

頭髮保養品試用心得分享,換個品牌挽救你的乾躁髮根~

頭髮護理產品推薦,找對商品,好髮質自然養成

※派對專用場地,活動燈光音響出租,活動燈光租借台北燈光音響公司

歐盟專利申請領證程序為何?

頭皮深層清潔試用,立即索取體驗~

※專業美髮師頭髮護理方法推薦,讓你的頭髮煥然新生