剛和朋友說(shuō)想買(mǎi)件襯衣，購(gòu)物App就推薦了多個(gè)品牌的襯衣，仔細(xì)一看，款式和顏色還都是你常穿的。想在手機(jī)上刷個(gè)劇，打開(kāi)視頻App，推送的劇目都是你喜歡的類(lèi)型……大數(shù)據(jù)時(shí)代，看似沒(méi)有感情的手機(jī)App，卻可能比你本人更了解你，原因就是各種App暗中進(jìn)行的個(gè)人信息搜集。商家在未經(jīng)用戶允許的情況下搜集個(gè)人信息，不僅侵犯?jìng)€(gè)人隱私，甚至?xí){人身安全。

7月9日，國(guó)家網(wǎng)信辦依據(jù)《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定，通知應(yīng)用商店下架“滴滴企業(yè)版”等25款A(yù)pp，要求相關(guān)運(yùn)營(yíng)者整改違法違規(guī)收集使用個(gè)人信息問(wèn)題。此前，網(wǎng)絡(luò)安全審查辦公室發(fā)布公告，對(duì)“運(yùn)滿滿”“貨車(chē)幫”“BOSS直聘”啟動(dòng)網(wǎng)絡(luò)安全審查。為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，維護(hù)國(guó)家安全，國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同有關(guān)部門(mén)修訂了《網(wǎng)絡(luò)安全審查辦法》，正在面向社會(huì)公開(kāi)征求意見(jiàn)。

中國(guó)信息安全技能競(jìng)賽專(zhuān)家委員會(huì)專(zhuān)家楊蔚認(rèn)為，數(shù)據(jù)集中化和權(quán)限集中化的背后，對(duì)數(shù)據(jù)安全的管理與保護(hù)提出了更高的要求，也是行業(yè)新的挑戰(zhàn)。“App在合理合法的原則下來(lái)收集個(gè)人信息是有必要的，數(shù)據(jù)流動(dòng)起來(lái)才有價(jià)值。限制數(shù)據(jù)采集無(wú)法保護(hù)數(shù)據(jù)安全，正確使用和妥善保護(hù)其實(shí)更加重要。這就需要國(guó)家的監(jiān)管審查、企業(yè)的重視執(zhí)行和個(gè)人的防范同時(shí)發(fā)力。”

App的悄然采集，讓個(gè)人信息在暗中“裸奔”

打開(kāi)招聘軟件，填寫(xiě)簡(jiǎn)歷上傳，包括出生年月、身份證號(hào)、地址、學(xué)歷、工作經(jīng)歷等個(gè)人關(guān)鍵信息就會(huì)留存在軟件的后臺(tái)系統(tǒng)中。使用打車(chē)軟件下單叫車(chē)，App會(huì)定位你所在的位置，記錄你每一次的出行軌跡和起點(diǎn)終點(diǎn)。各種App的出現(xiàn)，為大數(shù)據(jù)時(shí)代的生活帶來(lái)了諸多便捷。然而，隱藏在背后的采集個(gè)人信息行為卻讓網(wǎng)民信息存在“裸奔”風(fēng)險(xiǎn)。

楊蔚，中國(guó)信息安全技能競(jìng)賽專(zhuān)家委員會(huì)專(zhuān)家，他的另外一個(gè)身份是北京眾安天下科技有限公司CEO。他曾對(duì)個(gè)人信息安全做過(guò)專(zhuān)門(mén)的研究。他告訴記者，目前，市面上的多數(shù)App都有不同程度地采集個(gè)人信息的行為。比如，App在實(shí)名認(rèn)證過(guò)程中采集了用戶的身份信息、銀行卡信息，如果App運(yùn)營(yíng)商對(duì)相關(guān)信息未做處理就進(jìn)行存儲(chǔ)，就會(huì)導(dǎo)致大量個(gè)人信息泄露。“多數(shù)APP為了確認(rèn)用戶存活數(shù)，都會(huì)采用短信驗(yàn)證的方式來(lái)確定是否為唯一注冊(cè)。如果App服務(wù)商對(duì)用戶的手機(jī)號(hào)處理不當(dāng)，就會(huì)導(dǎo)致用戶手機(jī)號(hào)碼泄露。此外，App運(yùn)營(yíng)廠商為了存活量，幾乎每一款A(yù)pp都會(huì)收集用戶IMEI、設(shè)備ID等信息，這也屬于個(gè)人信息采集的一種。”楊蔚說(shuō)。

還有一些App會(huì)打著安全的旗號(hào)，通過(guò)購(gòu)物支付、手機(jī)解鎖、刷臉開(kāi)門(mén)等渠道，采集用戶的人臉識(shí)別信息。楊蔚介紹，人臉信息是用戶的弱隱私特征，存在唯一性。然而，人臉識(shí)別應(yīng)用五花八門(mén)，也沒(méi)有統(tǒng)一的行業(yè)標(biāo)準(zhǔn)，大量的人臉數(shù)據(jù)都被存儲(chǔ)在各應(yīng)用運(yùn)營(yíng)方或是技術(shù)提供方的中心化數(shù)據(jù)庫(kù)中。數(shù)據(jù)是否脫敏、安全是否到位、哪些用于算法訓(xùn)練、哪些會(huì)被合作方分享，外界一概不知。

不久前，“人臉識(shí)別時(shí)一定要穿衣服，攝像頭拍到的可能不止是臉……”話題以1.7億的閱讀量躍上熱搜，將網(wǎng)友帶進(jìn)了大型“社死現(xiàn)場(chǎng)”。從事后臺(tái)審核的工作人員在進(jìn)行人臉識(shí)別審核時(shí)，經(jīng)常會(huì)看到很多人在洗澡、和另一半擁抱、沒(méi)穿衣服等各種“奇奇怪怪”的場(chǎng)景。

部分網(wǎng)友質(zhì)疑平臺(tái)方未能提醒用戶“人臉識(shí)別系統(tǒng)后臺(tái)人工審核時(shí)，可以看到攝像頭全景”。專(zhuān)家分析,從技術(shù)角度來(lái)說(shuō)，人臉識(shí)別的圖像被其他人看到的可能性是客觀存在的。而一旦服務(wù)器被入侵，高度敏感的人臉數(shù)據(jù)就會(huì)面臨泄露風(fēng)險(xiǎn)。

有買(mǎi)有賣(mài)，泄露的數(shù)據(jù)一步步匯入黑色產(chǎn)業(yè)鏈

個(gè)人信息的直接泄露，會(huì)造成什么樣的后果?對(duì)于泄露的數(shù)據(jù)如何一步步匯入黑色產(chǎn)業(yè)鏈，楊蔚進(jìn)行了解釋?zhuān)?ldquo;這些信息非常有價(jià)值，有人買(mǎi)就有人賣(mài)。既然下游有人愿意花錢(qián)，那自然就會(huì)有黑客去攻擊這些目標(biāo)。黑客非法獲取這些信息，拿到數(shù)據(jù)以后，就會(huì)有人接手。這里面還有大量二道販子的存在，在中間賺差價(jià)。”

楊蔚說(shuō)，這個(gè)鏈條上的人分工特別明確，而且都是“專(zhuān)業(yè)”級(jí)別的團(tuán)隊(duì)操作。“有些人會(huì)專(zhuān)門(mén)去聯(lián)系相關(guān)的培訓(xùn)機(jī)構(gòu)或詐騙團(tuán)伙，從而把手上的數(shù)據(jù)賣(mài)到下游。而下游這些團(tuán)隊(duì)，有專(zhuān)人負(fù)責(zé)詐騙的話術(shù)編寫(xiě)培訓(xùn)、線上通過(guò)第三方支付平臺(tái)洗錢(qián)、線下ATM機(jī)提款等，分工非常明確。大量詐騙案件由此產(chǎn)生。”

而被App收集到的用戶IMEI、設(shè)備ID等信息一經(jīng)泄露，設(shè)備造假會(huì)變得更加容易。大多數(shù)App都會(huì)索要存儲(chǔ)權(quán)限，一旦存儲(chǔ)權(quán)限給予App后，App就可以任意讀寫(xiě)甚至刪除存儲(chǔ)卡中的內(nèi)容。

這意味著App服務(wù)商能夠?qū)τ脩羰謾C(jī)端上的數(shù)據(jù)采集、應(yīng)用管理等擁有了更高的權(quán)限，一旦相關(guān)服務(wù)商存在重大漏洞，有可能被惡意攻擊者獲取海量信息，后果不堪設(shè)想。同時(shí)，也對(duì)App服務(wù)商的數(shù)據(jù)管理提出了更高的要求。很多數(shù)據(jù)泄露事件的根源不僅僅來(lái)自黑客攻擊，內(nèi)鬼竊取數(shù)據(jù)的事件甚至高于黑客攻擊。

給用戶畫(huà)像，打上標(biāo)簽后推送低劣廣告

老人通過(guò)智能手機(jī)看新聞、小說(shuō)時(shí)，手機(jī)屏幕總會(huì)自動(dòng)蹦出一些“安全提示”：“病毒”“垃圾”“內(nèi)存嚴(yán)重不足”。信以為真的老人往往會(huì)按照提示清理手機(jī)，但“安全提示”越清理越多，手機(jī)越用越慢。

今年的央視“3·15”晚會(huì)調(diào)查揭露，老人手機(jī)上的清理類(lèi)軟件，藏著這樣的安全陷阱。楊蔚分析，這是另一種相對(duì)隱蔽的、通過(guò)信息泄露來(lái)獲取利益的方式——廣告誘導(dǎo)。

記者實(shí)驗(yàn)發(fā)現(xiàn)，在一款閱讀軟件里，正常閱讀過(guò)程中出現(xiàn)了“安全清理”提示，點(diǎn)擊后，一款名叫“智能清理大師”的App自動(dòng)下載成功，但清理過(guò)程中仍會(huì)跳出“清理手機(jī)緩存”提醒，點(diǎn)擊后，手機(jī)又下載安裝了另一款清理軟件。在不斷地“提醒、下載、清理”過(guò)程中，更多App被自動(dòng)安裝。

楊蔚分析，這些App表面上是在清理手機(jī)垃圾，背地里則在大量獲取手機(jī)數(shù)據(jù)信息，對(duì)使用者進(jìn)行用戶畫(huà)像，打上標(biāo)簽，再將各種低劣廣告源源不斷地推送給用戶。“也有一些App在對(duì)用戶畫(huà)像信息進(jìn)行加工后，把結(jié)果賣(mài)給上下游合作機(jī)構(gòu)進(jìn)行變現(xiàn)。還有些App可能通過(guò)手機(jī)定位或手機(jī)號(hào)碼來(lái)判斷用戶所在區(qū)域、地理位置，推斷用戶安全意識(shí)和IT技能相對(duì)較弱，繼而精準(zhǔn)投放一些廣告或者推薦一些流氓軟件從中獲利。”楊蔚說(shuō)。

國(guó)家層面監(jiān)管外，企業(yè)也須提高保護(hù)用戶信息意識(shí)

App信息安全問(wèn)題層出不窮，影響到的不僅僅是個(gè)人。碎片化的信息一旦聚合起來(lái)，通過(guò)大量算法進(jìn)一步加工，能得出很多影響決策的結(jié)論，甚至?xí)绊懙絿?guó)家安全。

針對(duì)個(gè)人信息泄露問(wèn)題，工信部開(kāi)展了縱深推進(jìn)App侵害用戶權(quán)益專(zhuān)項(xiàng)整治行動(dòng)，先后多次向社會(huì)通報(bào)和下架了多款侵害用戶權(quán)益行為App。而在今年315國(guó)際消費(fèi)者權(quán)益日主題活動(dòng)上，工信部表示，將繼續(xù)開(kāi)展App問(wèn)題治理，進(jìn)一步強(qiáng)化消費(fèi)者個(gè)人信息保護(hù)。

“這兩年，國(guó)家網(wǎng)信辦、公安部、工信部都在針對(duì)App開(kāi)展專(zhuān)項(xiàng)檢查、抽查，力度很大。”楊蔚說(shuō)。

在法律層面，有關(guān)數(shù)據(jù)安全的要求也越來(lái)越多。此前，國(guó)家網(wǎng)信辦已經(jīng)發(fā)布了《數(shù)據(jù)安全管理辦法》，為個(gè)人數(shù)據(jù)安全加把鎖。今年6月，第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十九次會(huì)議通過(guò)了《中華人民共和國(guó)數(shù)據(jù)安全法》，將于今年9月1日正式實(shí)施。

除了國(guó)家層面的監(jiān)管，企業(yè)也必須要提高保護(hù)用戶信息的意識(shí)。在數(shù)字經(jīng)濟(jì)時(shí)代，做好個(gè)人信息保護(hù)是企業(yè)應(yīng)當(dāng)堅(jiān)守的基本底線，也是企業(yè)長(zhǎng)久健康發(fā)展的基礎(chǔ)支撐。

但在信息安全的道路上，企業(yè)自身也面臨著一些難題。楊蔚分析，當(dāng)App所屬企業(yè)的規(guī)模還未壯大時(shí)，企業(yè)對(duì)于信息安全、產(chǎn)品規(guī)范、數(shù)據(jù)收集和保護(hù)的投入能力都很有限，于是導(dǎo)致了更多的安全隱患和問(wèn)題。有些企業(yè)并非主動(dòng)向外泄露用戶信息，而是產(chǎn)品本身不完善，給犯罪團(tuán)伙提供了可乘之機(jī)。“這種情況在中小企業(yè)中尤為明顯，頭部企業(yè)的信息安全做得相對(duì)比較好。”楊蔚說(shuō)。

若將信息安全的把關(guān)責(zé)任都?xì)w在用戶身上，楊蔚認(rèn)為，這也不合理。“企業(yè)將上傳個(gè)人信息設(shè)置為使用產(chǎn)品的前置條件，用戶若要使用App，必須同意上傳這些信息。雖然國(guó)家要求App在注冊(cè)階段告知采集信息可能帶來(lái)的風(fēng)險(xiǎn)，但App官方擬定的條款非常專(zhuān)業(yè)，且密密麻麻，絕大多數(shù)用戶沒(méi)有耐心看完，且也未必有能力看懂這些條款，只能直接點(diǎn)選‘同意’。這樣的大環(huán)境，使得用戶在保護(hù)個(gè)人信息時(shí)十分被動(dòng)。”

“個(gè)人認(rèn)為，App在合理合法的原則下來(lái)收集個(gè)人信息是有必要的，數(shù)據(jù)流動(dòng)起來(lái)才有價(jià)值。目前，我們國(guó)家的數(shù)據(jù)安全監(jiān)管的重心放在數(shù)據(jù)合法采集上面。但實(shí)際上，數(shù)據(jù)即使被合法采集，也不代表它是安全的。即便是用戶同意采集，數(shù)據(jù)也會(huì)有可能被倒賣(mài)、被濫用。限制數(shù)據(jù)采集無(wú)法保護(hù)數(shù)據(jù)安全，正確使用和妥善保護(hù)其實(shí)更加重要。只考慮數(shù)據(jù)的合法采集，是遠(yuǎn)遠(yuǎn)不夠的。應(yīng)該考慮的是，采集后的數(shù)據(jù)用什么樣的方法和機(jī)制來(lái)保護(hù)其安全，并且及時(shí)發(fā)現(xiàn)危害安全的行為，進(jìn)行相應(yīng)的處置。”楊蔚說(shuō)。

個(gè)人信息保護(hù)·監(jiān)管建議

對(duì)違法行為加大處罰力度，強(qiáng)化威懾作用

為了有效提升公民個(gè)人信息保護(hù)水平，楊蔚建議，國(guó)家應(yīng)加速推進(jìn)個(gè)人信息保護(hù)法律的制定，強(qiáng)化政府相關(guān)部門(mén)對(duì)個(gè)人信息安全的監(jiān)管，加大公安機(jī)關(guān)對(duì)涉公民個(gè)人信息違法犯罪的打擊力度，強(qiáng)化互聯(lián)網(wǎng)企業(yè)的行業(yè)監(jiān)督、行業(yè)自律，不斷增強(qiáng)公民個(gè)人信息保護(hù)意識(shí)。

首先，監(jiān)管部門(mén)應(yīng)持續(xù)性加強(qiáng)對(duì)個(gè)人信息采集的監(jiān)管力度。數(shù)據(jù)安全監(jiān)管機(jī)構(gòu)定期對(duì)各行業(yè)領(lǐng)域涉及的企業(yè)機(jī)構(gòu)開(kāi)展監(jiān)督執(zhí)法，督促企業(yè)落實(shí)法律數(shù)據(jù)安全合規(guī)性評(píng)估要求。在個(gè)人數(shù)據(jù)保護(hù)方面，監(jiān)管機(jī)構(gòu)對(duì)標(biāo)數(shù)據(jù)保護(hù)法，對(duì)企業(yè)違反合規(guī)性評(píng)估要求的行為進(jìn)行執(zhí)法處罰。企業(yè)應(yīng)該基于法律法規(guī)和相關(guān)標(biāo)準(zhǔn)要求，積極開(kāi)展數(shù)據(jù)安全自評(píng)。

目前，新出臺(tái)的《數(shù)據(jù)安全法》已經(jīng)確立了數(shù)據(jù)分類(lèi)分級(jí)管理、數(shù)據(jù)安全審查、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、監(jiān)測(cè)預(yù)警和應(yīng)急處置等基本制度，為國(guó)家數(shù)據(jù)安全保護(hù)提供了有力的法律保障，并指明數(shù)據(jù)安全保護(hù)的方向。不過(guò)，數(shù)據(jù)安全保護(hù)和個(gè)人信息保護(hù)的法定義務(wù)以及具體制度執(zhí)行還需要監(jiān)管機(jī)構(gòu)來(lái)保障落實(shí)。因此，對(duì)于數(shù)據(jù)安全保護(hù)不僅要建立事前預(yù)防、事中監(jiān)督和事后處理的監(jiān)管制度，還需要綜合運(yùn)用抽查審計(jì)、事件通報(bào)、行政處罰和刑事制裁等監(jiān)管手段，加大對(duì)違法行為的處罰力度，強(qiáng)化處罰的威懾作用。

個(gè)人信息保護(hù)·防范建議

拒絕App“霸王條款”舉報(bào)不符要求的數(shù)據(jù)采集

國(guó)家能做的，是監(jiān)管、審查和對(duì)個(gè)人信息保護(hù)的推動(dòng)，但最終還是要落實(shí)到企業(yè)自身的重視和執(zhí)行當(dāng)中。

楊蔚認(rèn)為，企業(yè)端應(yīng)承擔(dān)保護(hù)用戶信息的責(zé)任，減少對(duì)用戶信息的采集，加強(qiáng)自身的網(wǎng)絡(luò)安全建設(shè)，借助專(zhuān)業(yè)的安全機(jī)構(gòu)、民間安全力量對(duì)企業(yè)系統(tǒng)網(wǎng)絡(luò)環(huán)境進(jìn)行評(píng)估，建議采取安全眾測(cè)、滲透測(cè)試的方式來(lái)對(duì)系統(tǒng)進(jìn)行全面的安全檢查等。

一方面，企業(yè)自身要對(duì)自身產(chǎn)品及業(yè)務(wù)進(jìn)行評(píng)估;另外一方面是要尋求專(zhuān)業(yè)機(jī)構(gòu)和安全力量的幫助，協(xié)助完善產(chǎn)品安全能力，保障用戶數(shù)據(jù)隱私安全。他建議：“針對(duì)當(dāng)前的數(shù)據(jù)安全的形勢(shì)，應(yīng)該以數(shù)據(jù)為中心、以組織為單位、以能力成熟度為抓手，來(lái)開(kāi)展數(shù)據(jù)安全治理。其目的不只是為了合規(guī)，更是為控制風(fēng)險(xiǎn)、提升能力。只有這樣，才能更好地適應(yīng)變化，真正保護(hù)好數(shù)據(jù)安全。”

對(duì)于用戶，楊蔚也給出了防范個(gè)人信息被過(guò)度采集的建議。比如：盡量從正規(guī)渠道下載手機(jī)App。關(guān)閉手機(jī)App的隱私使用權(quán)限，為不同類(lèi)型的手機(jī)App設(shè)置不同的賬號(hào)密碼。在外不要隨意連接免費(fèi)無(wú)線網(wǎng)絡(luò)，晚上睡覺(jué)關(guān)閉網(wǎng)絡(luò)通訊。臨時(shí)使用的權(quán)限用完盡量關(guān)閉。

如遇App設(shè)置“不開(kāi)啟權(quán)限不能用”的霸王條款，可以先去“違法和不良信息舉報(bào)中心”舉報(bào)，然后適當(dāng)更換同類(lèi)App。長(zhǎng)時(shí)間不用的App盡量卸載，防止被其他App調(diào)用，從而導(dǎo)致敏感信息泄露。“總之，個(gè)人用戶要學(xué)會(huì)說(shuō)‘不’，遇到不符合要求或者嚴(yán)重采集數(shù)據(jù)的情況應(yīng)及時(shí)舉報(bào)。”

“個(gè)人認(rèn)為，App在合理合法的原則下來(lái)收集個(gè)人信息是有必要的，數(shù)據(jù)流動(dòng)起來(lái)才有價(jià)值。目前，我們國(guó)家的數(shù)據(jù)安全監(jiān)管的重心放在數(shù)據(jù)合法采集上面。但實(shí)際上，數(shù)據(jù)即使被合法采集，也不代表它是安全的。即便是用戶同意采集，數(shù)據(jù)也會(huì)有可能被倒賣(mài)、被濫用。限制數(shù)據(jù)采集無(wú)法保護(hù)數(shù)據(jù)安全，正確使用和妥善保護(hù)其實(shí)更加重要。只考慮數(shù)據(jù)的合法采集，是遠(yuǎn)遠(yuǎn)不夠的。應(yīng)該考慮的是，采集后的數(shù)據(jù)用什么樣的方法和機(jī)制來(lái)保護(hù)其安全，并且及時(shí)發(fā)現(xiàn)危害安全的行為，進(jìn)行相應(yīng)的處置。——中國(guó)信息安全技能競(jìng)賽專(zhuān)家委員會(huì)專(zhuān)家楊蔚”(記者何雅君)