时间:2023-08-15|浏览:213
提高个人信息保护觉悟靠大家。
数据安全问题,自去年到现在都是大家热议的焦点。7月24日,工信部再次通报了一批侵害用户权益的APP名单,这已经是自5月来通报的第三批了,其中不乏天弘基金、小鹅花钱(微众银行小程序)、华夏基金管家、博时基金、买单吧(交通银行信用卡APP)等知名金融企业的APP。根据工信部要求,这些APP必须在7月30日之前完成整改,否则将开展相关处置工作。
值得一提的是,稍微留意这些APP所涉及的问题,我们会发现这几乎是各类APP应用的“通病”:超范围收集个人信息、私自手机个人信息、账号注销难、私自共享信息给第三方、不给权限不让用、强制用户使用定向推送功能、过度索取权限……
是不是似曾相识?是不是也曾深受其扰?
相信工信部通报的这批名单,只是第三批,而不是最后一批。有此类问题的APP实在是太多了。
很多APP是在你安装的时候,就给你选项授权采集包括地理位置、安装列表,金融类则通常还涉及通讯录、通话记录等敏感信息。此前,关于数据采集边界的问题,我们也曾在历史文章中探讨过,多数业内人士都认为,现有的APP数据采集其实并非全出于本身服务需要,这些APP背后的企业之所以想方设法采集有关无关的数据,主要目的是为了业务延伸。
借用一位数据安全行业资深从业者的话:有的APP,不仅超范围采集数据,还需要强制授权抓取相关数据,用户不同意就无法使用,这其实比PC时代的强制弹窗还流氓。
这种行业乱象何时休?所幸,从去年始于魔蝎科技等企业的大数据行业风波,到今年315被央视点名的SDK问题,再到近期工信部分批点名通报,数据安全乱象终于被推至台前,真正引起大家重视。
01
积极信号与监督难点
7月24日,与第三批侵害用户权益APP通报同日下发的,还有《工业和信用化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(下简称《通知》),列出了明确的整治目标:加强监督检查,督促相关企业强化APP个人信息保护,及时整改消除违规收集、使用用户个人信息和骚扰用户、欺骗误导用户、应用分发平台管理责任落实不到位等突出问题,净化APP应用空间。2020年8月底前,上线运行全国APP技术检测平台管理系统,12月10日前完成覆盖40万款主流APP检测工作。
《通知》明确的整治人物也非常全面,包括APP、SDK违规处理用户个人信息方面;设置障碍、频繁骚扰用户方面;欺骗误导用户方面;应用分发平台责任落实不到位方面。
虽然《通知》给了消费者一剂强心针,但从实际操作层面来看,数据安全管理涉及的“边界”问题,往往难以精准把握,这也是为何近年来安全计算迅速在业内走红的原因。
举个人话版例子:
根据《信息安全技术移动互联网应用(APP)手机个人信息基本规范》(草案),企业收集个人信息应遵循“最少信息”原则,但具体到操作层面,什么才是“最少”?
以金融借贷类的最少信息收集范围为例,很多企业的收集范围显然是超出上述范围的。经过工信部这一轮专项整治后,不少企业应该会有所收敛,但不少企业条款依然有“概括性”表述,消费者对这类偏向概括授权的条款防不胜防,陷入被动。如某些APP“可获得您联系人的相关信息”的表述,即属于概括性表述。具体是指多少相关联系人?是包含整个通讯录的联系人,还是仅仅是两个紧急联系人?这里的差距就很大了。
再举个更行业的例子:
SDK厂商放在过去,是一个很吃香的所谓“大数据厂商”,这些服务大体上包括:通知类SDK、埋点日志类SDK、游戏语音类SDK、驱动类SDK、智能识别类SDK、设备指纹SDK、支付SDK等。
APP应用的迅速铺开,SDK有不小贡献。但是,SDK厂商如果只靠卖SDK,盈利能力是有限的,所以很多SDK厂商都会有关联的大数据公司,做数据类的增值业务。
这就涉及中间截留数据的问题,而SDK厂商能不能中间截留数据?这在业内看来,一直没有太明确的界限。SDK本身并不是一个完整的软件服务,用户更多的情况下其实对此是未知和陌生的。
举例来说,用户下载了应用市场上的某个APP,提示授权抓取地理位置等数据,对用户来说,只会意
用戶喜愛的交易所
已有账号登陆后会弹出下载
非小号行情