谁在非法采集和使用我们的个人信息?

2020-01-20 11:36《财经》E法俞琴

“经我行第一时间沟通排查,确认是我行手机银行(5.12版)存在部分隐私条款有待补充完善之处。”1月15日,民生银行针对被国家计算机病毒应急处理中心通报“涉嫌隐私不合规”一事做出紧急声明,称为严格落实监管机构关于客户隐私保护的要求,该行手机银行最新版本更新了隐私政策,进一步完善了摄像头、位置等客户信息相关内容,明确了设备权限使用场景以及获取客户信息范围和使用目的,以上优化举措旨在提升客户体验。

hacker-hoax.jpg

国家计算机病毒应急处理中心此前通报称,24款违法、违规有害移动应用存在隐私不合规行为,违反《网络安全法》相关规定,涉嫌超范围采集个人隐私信息。

《财经》E法注意到,上述24款存在隐私不合规行为的移动应用中不乏知名企业的App,比如“飞常准”、“搜狗浏览器”、“12306买票”等等,这些涉隐私不合规的APP包括“未经用户同意收集个人隐私信息”、“未向用户明示申请的全部隐私权限”两类。

仅手机银行App方面,就有包括民生银行在内的六家银行的移动应用被指“涉嫌隐私不合规”。

截至发稿时,24款涉隐私不合规的App大多数均已进行整改。不过,由于屡有APP被指涉嫌隐私不合规,公众对于数据泄露风险的担忧有增无减。

据中国信息通信研究院发布的《2019金融行业移动App安全观测报告》显示,在该报告团队从安卓应用市场中收录的13万余款金融行业App中,超过七成存在高危漏洞,攻击者可利用这些漏洞窃取用户数据、进行App仿冒、植入恶意程序、攻击服务等,对App安全具有严重威胁。其中排名前三的高危漏洞均存在导致App数据泄露的风险。

警惕信息泄露风险

在通报24款违法、违规移动应用程序的同时,国家计算机病毒应急处理中心提醒广大手机用户首先不要下载这些违法有害移动应用,避免手机操作系统受到不必要的安全威胁。

手机上的个人信息安全吗?据安比(SECBIT)实验室创始人郭宇介绍,目前手机操作系统都内置有非常细分的权限控制,比如针对微信这一款App来说,用户可以精确地打开和关闭它在手机中的系统权限。但在传统的PC操作系统上,并没有这一类精细的权限控制,而是要通过第三方安全软件来实现。

一名计算机软件研究领域的专家对《财经》E法表示,手机App“无法在不经用户允许的情况下,偷窥用户数据”,也就是说,手机App获取系统权限时,需要经过用户同意。而潜在的风险在于,一旦授权以后,App怎么使用系统权限就超出用户控制了。“它什么时候打开了摄像头,用户是完全不知道的。”

郭宇表示,手机上保存的个人信息非常丰富。“一些恶意App会瞄准手机这个大金矿,采用各种手段诱骗用户权限,诱导用户上传个人隐私信息。”

据郭宇介绍,手机App一般是通过以下几个途径来获取个人信息。

第一,手机App向用户索要系统权限,包括访问通讯录、通话记录、GPS定位信息、相册照片等。有些App会在不告知用户的情况下,把这些信息上传到企业后台服务器进行保存。

第二,App通过采集一些手机设备特征来对某一个特定的手机设备进行跟踪,即便用户在隐私模式下使用手机,App仍然能够通过一些技巧来标识设备。由此一些网站或者App就能将用户在不同时段的行为进行关联分析,然后对用户的行为进行跟踪预测。

第三,App使用需要用户提供个人信息,比如打车App能知道用户的地理位置,电商App能知道用户的购物记录、浏览记录以及快递地址。

第四,还有一类App属于手机厂商预装的应用,这些应用通常都具有比较高的系统权限,能访问到比较多的手机信息,而部分信息就会被传回厂商后台进行分析和保存,这一类的信息泄露风险相当高。

2017年,公安部破获一起盗卖公民信息的特大案件,有包括在京东、QQ上的物流信息、交易信息、个人身份等信息在内的近50亿条隐私信息泄漏。其中一名主要嫌犯是正处于试用期的京东网络安全工程师郑某鹏。有消息称,郑某鹏加入京东之前曾在国内多家知名互联网公司工作,长期与盗卖个人信息的犯罪团队合作,从所在公司盗取个人信息,然后在网上贩卖。

除企业方面主动泄露用户信息外,黑客入侵也是信息外泄的重要渠道。郭宇表示,拥有高质量用户数据的企业往往会成为黑客们的香饽饽。黑客通过各种非法技术手段可以侵入到企业内网,窃取内部数据库的数据。此外,一旦这些企业的App后台程序存在严重漏洞的话,黑客就可以轻而易举地将大批量的用户数据拖走,也即“拖库”。

当用户数据进入到黑产领域,这些数据会经过很多次清洗、转卖,达到不同的犯罪团伙手中,实施诈骗、敲诈勒索、网银盗窃等各种犯罪活动。“利用多维度的用户数据,黑客可以对用户进行精准画像,毫不夸张地说,可能黑客比我们还了解我们自己。”郭宇称。

应取之有道,用之有度

自2019年以来,公安部加大整治侵犯公民个人信息违法犯罪力度,已查处整改100款违法违规App及其运营的互联网企业。2019年,由于违法违规采集个人信息而被查处的APP达到683款。

2019年年底,国家网信办、工信部、公安部、国家市场监管总局等联合发布《App违法违规收集使用个人信息行为认定方法》,明确了六大违规行为,为监督管理部门认定App违法违规收集使用个人信息行为提供参考。

“国家在逐步采取高压政策,但是就目前来说,企业泄露用户数据的情况还是较为普遍。”在郭宇看来,现有的立法对于如何界定哪些数据是合法数据、哪些采集方式合法合规,并没有相关的细则。另一方面,对于企业泄露数据来说,还存在着技术取证等多方面的难点。因此,App企业对用户信息的侵犯仍是“现在进行时”。

“对App企业而言,更多的数据意味着未来更有利于开展业务、改进用户体验、提升竞争力,并且存在一些合法与非法的牟利途径,这驱使着App企业尽可能多地获取用户数据。”郭宇说。

个人信息保护的立法工作备受社会各界关注。2017年6月1日生效的《网络安全法》,首次在法律层面规定了个人信息保护的基本原则。其明确指出,收集适用信息应经用户明示同意,不得收集无关信息,不得向他人提供个人信息,经过处理无法识别特定个人且不能复原的除外,不得非法出售个人信息。

和《网络安全法》同日施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的将入罪。

此外,全国人大常委会法工委发言人岳仲明在法工委记者会上表示,将在2020年制定《个人信息保护法》。

在前述一位计算机软件研究领域的专家看来,2019年有数据企业出现了高管被抓的情况,使部分App企业感到“如坐针毡”,“以前企业拿着这些数据变现赚钱,现在非常怕员工泄露数据”,曾经的摇钱树俨然成了烫手山芋。

中国社会科学院大学互联网法治研究中心执行主任刘晓春认为,对于个人信息的保护很有必要;但另一方面,使用互联网时,很多时候需要用户提供个人信息,才能更好地去获得生活的便利。因此,不能一味强调保护,也不能一味强调产业发展,而需要在保护个人信息与保障数据产业的发展和流动上做好平衡。

在刘晓春看来,刑法中,“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的将入罪”这一规定过于严厉。在民法、行政法并没有形成体系的情况下,刑法先行,其带来的问题是,对数据产业造成一种威慑,形成寒蝉效应。

刘晓春认为,在立法层面,最重要的是把基础的规则搭建好,比如说个人信息的概念的界定。另外,要比较清晰地去界定个人的权利、政府的权力。在此基础之上,及时总结行业当中能够形成共识的一些保护方式,把它提炼成为法律规则,但是对于一些无法形成共识,或者说实际上社会效益不见得有那么大的一些规则要缓行,需要充分考虑其带来的产业和社会成本。

“立法上要给企业留出在各个应用场景里面去发展的可能性,既要有确定的基础制度,又要留出场景化和具体的发展的弹性和可能性、包容性。”刘晓春说。

1月10日,全国政协召开网络议政远程协商会,议题正是“加强大数据时代个人信息保护”。参会的政协委员对于如何界定个人信息、相关的立法的严格程度展开讨论,他们普遍认为,依法监管十分必要,但也需要给行业留出一定的发展空间。

国家计算机病毒应急处理中心通报的24款APP

未经用户同意收集个人隐私信息

深圳航空(版本5.3.1)

遨游旅行(版本5.6.2)

筐鲜生采购端(版本1.2.1)

未向用户明示申请的全部隐私权限

12306买票(版本2.3.11)

订票助手12306高铁抢票(版本8.1.2)

抢火车票(版本8.0.0)

高铁票务(版本8.1.2)

高铁管家(版本7.3.1)

铁友火车票-12306抢票(版本9.0.0)

飞常准(版本4.8.1)

航旅纵横(版本5.1.3)

东方航空(版本7.3.13)

山航掌尚飞(版本4.10.1)

飞行加(版本3.4.11)

快票出行(版本2.6.8)

12306买火车票(版本8.5.89)

搜狗浏览器(版本5.25.9)

搜狗搜索(版本7.3.5.2)

民生银行(版本5.12)

兴业银行(版本5.0.4)

内蒙古农信(版本2.4.6)

内蒙古银行(版本2.0.4)

海峡银行(版本2.4.8)

鄂尔多斯银行(版本3.1.0)