来源:《半月谈》2021年第14期
文/半月谈记者颜之宏编辑/徐希才
“滴滴出行”App存在严重违法违规收集使用个人信息问题,下架整改;哪吒汽车等57款App存在违法违规收集个人信息,被要求限期整改……一些App不同程度违规收集、使用用户信息,引发社会关注。那么,“偷窥”是如何发生的?我们要怎样守卫个人信息安全?
1部分App“偷窥”用户信息
在社交媒体平台上,有关“手机是否在偷听聊天”的话题被网友不时更新。有网友称,“现在手机的偷听功能真是强大,刚才跟朋友聊天,朋友的手机还是锁屏状态,我提到某品牌挖掘机,朋友打开手机后,到处都是该品牌的广告。”
那么,手机是否真的在偷听我们的聊天呢?“大家认为的‘偷听’,其实是App调用手机麦克风权限,搜集环境音的行为。”上海安识网络科技有限公司总经理、网络安全专家郭耀告诉半月谈记者,在业内,App调用手机麦克风、摄像的权限,以及调用手机剪切板、通讯录、位置信息或存储的行为,一般称为“监听”,这里的“监听”其实不仅仅是“听”,还包含了“看”“读”“传”等活动。
半月谈记者联系业内权威测评实验室还证实,App即使不调用手机麦克风权限,也可以通过分析与用户、用户设备、用户所处环境相关数据的方式来“探测”用户需求,这些数据包括下载安装过的App名称、IP地址所处大致地理位置、用户的上网浏览历史、搜索痕迹等。
半月谈记者曾在某社交App上进行感知测试:先后发布4条包含信用卡办理、婚纱摄影、婴儿纸尿裤和房产交易的公开信息(测试前,记者没有在该手机的任何App发布或检索过类似信息),不到30分钟,某地产企业广告在3个不同的新闻资讯类App中做了首页推荐,某婚纱摄影广告也在另一款社交App上发布“头条推荐”。
今年5月,国家网信办组织对公众大量使用的部分App的个人信息收集使用情况进行了检测,105款App发现的问题包括:未经用户同意收集使用个人信息;违反必要原则,收集与其提供的服务无关的个人信息;未公开收集使用规定等。
2想法设法逃避监管
半月谈记者梳理发现,近几年,国家对App相关技术产业主体收集使用个人信息行为出台了规范文件,提出了具体要求。但部分主体并未完全承担起应有的责任,依然违规收集、使用用户信息,甚至利用部分应用商店安全检测不严,以及网盘、论坛贴吧、短信链接等渠道缺乏安全检测的漏洞扩散。
有些App首次启动时,在用户授权同意隐私政策前,就获取用户应用安装列表等个人信息,或者申请打开位置、电话、存储、录音等权限问题;有些App运行时,在用户明确拒绝位置、相机、麦克风权限申请后,仍向用户频繁弹窗申请开启与当前服务场景无关的权限。
2020年2月,浙江大学的科研团队发现,部分手机App甚至可在用户不知情的情况下,利用手机内置加速度传感器来搜集手机扬声器发出声音的振动信号,从而实现对用户语音的“偷听”。
据研究人员介绍,由于手机中的扬声器和加速度传感器安装在同一块主板上,且距离十分接近,当扬声器在播放声音时所产生的振动可以明显影响手机内置加速度传感器的读数。因此,通过劫持手机内置加速度传感器,并收集其振动信号,即可识别甚至还原手机所播放的声音信号。
针对这些情况,各级监管部门不断强化日常巡查执法,适时开展专项整治,整改了一批不合要求的App。有的手机厂商也在优化相关设计,弹窗、亮灯等形式提醒用户有App在调用手机相应权限。然而,一些App受利益驱使不断升级技术手段,逃避监管,使得用户信息的保护成为一项长期、复杂的工作。
3多措并举,堵住“偷窥”漏洞
“对企业而言,它们有通过做广告营销进行营利的需要;对用户而言,也应该有权利选择‘更多隐私’还是‘更多便利’。”网络安全专家何延哲认为,是否能够搜集用户的个人信息并进行相应的个性化广告营销,不能全是企业说了算,用户更应享有选择权。
何延哲建议,有关部门要加紧制定出台相关行业标准,对个性化广告的数据搜集范围、数据处理流程、用户的控制机制等做出相应规定,充分保障用户的各项权利。
与此同时,监督力度要跟上。专家表示,现有技术监管手段由于自动化检测能力低、覆盖范围受限,很难实现全面均衡监管,需要紧跟App技术发展前沿,及时更新监管技术手段。用户可定期检查敏感App的手机权限获取详情,积极向网信部门举报恶意程序线索,与监管部门等共同维护个人信息安全。
App相关技术产业主体更要积极承担主体责任,按照相关规定的要求划定底线和红线,厘清App运行所需要的合理个人信息需求,提升履责水平。浙江大学网络空间安全学院教授周亚金提出,手机厂商应该为用户建立起防止被App随意偷听的“第一道防火墙”,例如在未来的系统更新中新增“一键关闭前置摄像头”或“一键撤回App麦克风使用权限”等操作。