App泄露用户信息早已不是什么新鲜事。今年6月,工信部网站发布《关于侵害用户权益行为的App通报(2020年第一批)》,在16款未完成整改的App名单中不乏e代驾、当当等知名应用,且相当一部分涉及将用户信息“私自共享给第三方”。
根据12321网络不良与垃圾信息举报受理中心接到的投诉情况看,个人信息收集使用规则、权限申请、个性化服务以及账号注销等方面,都有大量用户投诉。随着大众对个人信息价值认识觉醒,不少用户开始反感与自己“心有灵犀”的应用推送,毕竟在“默契”背后隐藏的或许是对个人隐私信息的侵犯。
最大风险产生在数据流通、共享环节
“公民的位置、信用、交易等信息被源源不断收集、存储在网络空间,信息泄露的危害也越来越大。如何规范网络运营者收集、使用个人信息行为,遏制个人信息滥用及衍生的诈骗等,需要政府、行业、企业和个人的通力合作。”在日前举办的中国互联网大会“个人信息保护”论坛上,中国互联网协会副理事长黄澄清这样说。
近年来,小程序、快应用等蓬勃发展。这些即时应用不需安装、即点即用,还具备了传统App完整的应用体验。中国信息通信研究院泰尔终端实验室信息安全部主任宁华说,一些企业内部管理不够完善,防护能力不足导致数据容易泄露。比如,企业人员管理技术不完善,缺乏对管理、开发人员的安全防护培训等。
另外,收集、使用个人信息难感知、难取证现象依然存在。宁华认为,个人信息经常在用户不知情的情况下被收集、使用。比如,用户在搜索过程中输入信息、在谈话中聊天聊内容,都在以用户可感知形式呈现在了一些App的个性化推荐中。
百度集团法务部负责人李妍洁也认为,人工智能时代,模型训练不能离开数据,而往往最大风险产生于数据的流通和共享之中。“如何在保护个人信息安全前提下,实现数据流通、共享,成为了一大挑战”。
定向推送背后是“懂你”还是“害你”
日前,央视新闻报道手机App“偷窥”乱象,有App十几分钟内访问照片和文件两万多次,涉及移动教学软件“优学院”、办公软件“TIM”等多款产品。
“未经用户同意,部分App存在频繁调用API接口(操作系统留给应用程序的调用接口)获取用户信息现象。我们测试发现,部分应用在后台运行情况下,按每5分钟、30分钟或1小时的间隔调用API,这种行为并不存在于合理的应用场景中,也没有出具必要的情况说明。”宁华说。
工信部20号令第11条规定,不得收集其提供服务所必需以外的信息,不能将用户个人信息用于其提供服务之外的目的;工信部337号文中也规定,超范围收集个人信息,如果是非服务所必须或合理应用场景,不应该存在超范围、超频次读取通讯录、位置信息、身份证、人脸等行为。
针对人们常说的“App窃听用户隐私”行为,宁华认为,从产业发展趋势看,基于神经网络语音识别、芯片技术迅速发展,语音识别正趋于本地化、免唤醒、低功耗,部分App正在利用上述技术“窃听”隐私并做定向推送。
“我们也在对个人信息保护出现的新问题进行重点排查,包括集成第三方服务时责任界定、完善权限申请目的告知能力、优化调用行为记录等。”宁华认为,可以采用以合作协议、合同等方式界定双方责任,在权限管控方面优化终端权限授予机制,推动权限开放最小化;同时,完善应用权限申请使用机制,尽量移出不必要的第三方依赖权限,涉及日历、通信录、通话记录、短信、电话、位置等敏感信息,推动权限申请目的告知一体化。
近年来,泰尔终端实验室正在加强设备唯一识别码防护,制定移动终端设备、蓝牙MAC地址、特定Cookie设备的识别码标准,以及推动构建移动互联网应用签名认证机制,通过电子签名技术实现应用防篡改。
破解责任界定不清,监管尚须“道高一丈”
目前,个人隐私问题的主体责任不清晰、举证困难等,正在成为整治中面临的常见现象。另外,在违法违规收集使用个人信息方面,很多恶意应用也在通过打擦边球方式,在命名、图标样式方面与热门应用类似,一些小众分发平台监测审核力度参差不齐,导致了平台出现恶意应用比例相对较高。
“开发者、监测机构、分发平台、终端系统等,缺乏完整的数据信任链条,目前系统在安装、使用应用时很难进行鉴别,对于普通用户来说,更缺乏相应能力识别恶意应用,只能依赖分发平台和终端安装时的相应提示。”宁华说。
不容忽视的是,现在部分第三方SDK(应用软件开发工具集合)同时被多家应用集成使用,其在收集使用方面与软件应用一样都具备同样能力。宁华坦言,在集成SDK方面,应用通常缺乏有效技术和管理手段,在发生个人信息保护问题时,很难第一时间确定原因,也存在责任不清或相互推委现象。
在业界看来,移动应用开发者在集成或接入第三方服务时,应该明确双方在公开处理个人信息规则,明示处理个人信息目的、方式、范围以及在争取用户同意等方面,不应该因责任界定不清,导致监管乏力。
九龙治水之下可适当引入“问责制”
今年以来,《数据安全法》《个人信息保护法》等法律法规陆续被列入全国人大常委会审议日程;前段时间,国家四部委再次联合开展App违法违规收集使用个人信息专项整治行动。未来,随着个人信息保护工作进入深水区,后续加强立法、制定监管政策、保障跨境数据流动等,都将成为行业常态。
“目前‘九龙治水’格局下,不同部门都有相应执法权,但却是分散的执法体系。”中国互联网协会个人信息保护工作委员会主任委员周汉华说,工信、市场监管、公安、网信、教育、医疗卫生、金融等部门都负有相应责任,但当前管理格局导致某些情况下执法责任边界不明确,容易出现推卸责任的情况。
在阿里巴巴集团法务部法律研究中心副主任顾伟看来,需要在法律层面引入相应问责制。比如,明确要求企业需要履行相应的个人信息保护原则,实现企业对个人信息保护的主动“履职”。
据初步统计,目前已有140多个国家出台个人信息保护法,各国个人信息保护执法管理机构也都纷纷加强信息滥用以及泄露事件的处罚力度。“最新调研显示,GDPR实施两年以来数据保护部门共实施231次罚款,罚金都是‘天文数字’。在这样的监管力度下,相信会有更多重视个人信息保护的行动开展。”李妍洁说。周汉华也认为,目前最好的结果是能够设立独立的个人信息保护机构,从而解决政企不分、政监不分的传统管理弊端。
根据12321网络不良与垃圾信息举报受理中心接到的投诉情况看,个人信息收集使用规则、权限申请、个性化服务以及账号注销等方面,都有大量用户投诉。随着大众对个人信息价值认识觉醒,不少用户开始反感与自己“心有灵犀”的应用推送,毕竟在“默契”背后隐藏的或许是对个人隐私信息的侵犯。
最大风险产生在数据流通、共享环节
“公民的位置、信用、交易等信息被源源不断收集、存储在网络空间,信息泄露的危害也越来越大。如何规范网络运营者收集、使用个人信息行为,遏制个人信息滥用及衍生的诈骗等,需要政府、行业、企业和个人的通力合作。”在日前举办的中国互联网大会“个人信息保护”论坛上,中国互联网协会副理事长黄澄清这样说。
近年来,小程序、快应用等蓬勃发展。这些即时应用不需安装、即点即用,还具备了传统App完整的应用体验。中国信息通信研究院泰尔终端实验室信息安全部主任宁华说,一些企业内部管理不够完善,防护能力不足导致数据容易泄露。比如,企业人员管理技术不完善,缺乏对管理、开发人员的安全防护培训等。
另外,收集、使用个人信息难感知、难取证现象依然存在。宁华认为,个人信息经常在用户不知情的情况下被收集、使用。比如,用户在搜索过程中输入信息、在谈话中聊天聊内容,都在以用户可感知形式呈现在了一些App的个性化推荐中。
百度集团法务部负责人李妍洁也认为,人工智能时代,模型训练不能离开数据,而往往最大风险产生于数据的流通和共享之中。“如何在保护个人信息安全前提下,实现数据流通、共享,成为了一大挑战”。
定向推送背后是“懂你”还是“害你”
日前,央视新闻报道手机App“偷窥”乱象,有App十几分钟内访问照片和文件两万多次,涉及移动教学软件“优学院”、办公软件“TIM”等多款产品。
“未经用户同意,部分App存在频繁调用API接口(操作系统留给应用程序的调用接口)获取用户信息现象。我们测试发现,部分应用在后台运行情况下,按每5分钟、30分钟或1小时的间隔调用API,这种行为并不存在于合理的应用场景中,也没有出具必要的情况说明。”宁华说。
工信部20号令第11条规定,不得收集其提供服务所必需以外的信息,不能将用户个人信息用于其提供服务之外的目的;工信部337号文中也规定,超范围收集个人信息,如果是非服务所必须或合理应用场景,不应该存在超范围、超频次读取通讯录、位置信息、身份证、人脸等行为。
针对人们常说的“App窃听用户隐私”行为,宁华认为,从产业发展趋势看,基于神经网络语音识别、芯片技术迅速发展,语音识别正趋于本地化、免唤醒、低功耗,部分App正在利用上述技术“窃听”隐私并做定向推送。
“我们也在对个人信息保护出现的新问题进行重点排查,包括集成第三方服务时责任界定、完善权限申请目的告知能力、优化调用行为记录等。”宁华认为,可以采用以合作协议、合同等方式界定双方责任,在权限管控方面优化终端权限授予机制,推动权限开放最小化;同时,完善应用权限申请使用机制,尽量移出不必要的第三方依赖权限,涉及日历、通信录、通话记录、短信、电话、位置等敏感信息,推动权限申请目的告知一体化。
近年来,泰尔终端实验室正在加强设备唯一识别码防护,制定移动终端设备、蓝牙MAC地址、特定Cookie设备的识别码标准,以及推动构建移动互联网应用签名认证机制,通过电子签名技术实现应用防篡改。
破解责任界定不清,监管尚须“道高一丈”
目前,个人隐私问题的主体责任不清晰、举证困难等,正在成为整治中面临的常见现象。另外,在违法违规收集使用个人信息方面,很多恶意应用也在通过打擦边球方式,在命名、图标样式方面与热门应用类似,一些小众分发平台监测审核力度参差不齐,导致了平台出现恶意应用比例相对较高。
“开发者、监测机构、分发平台、终端系统等,缺乏完整的数据信任链条,目前系统在安装、使用应用时很难进行鉴别,对于普通用户来说,更缺乏相应能力识别恶意应用,只能依赖分发平台和终端安装时的相应提示。”宁华说。
不容忽视的是,现在部分第三方SDK(应用软件开发工具集合)同时被多家应用集成使用,其在收集使用方面与软件应用一样都具备同样能力。宁华坦言,在集成SDK方面,应用通常缺乏有效技术和管理手段,在发生个人信息保护问题时,很难第一时间确定原因,也存在责任不清或相互推委现象。
在业界看来,移动应用开发者在集成或接入第三方服务时,应该明确双方在公开处理个人信息规则,明示处理个人信息目的、方式、范围以及在争取用户同意等方面,不应该因责任界定不清,导致监管乏力。
九龙治水之下可适当引入“问责制”
今年以来,《数据安全法》《个人信息保护法》等法律法规陆续被列入全国人大常委会审议日程;前段时间,国家四部委再次联合开展App违法违规收集使用个人信息专项整治行动。未来,随着个人信息保护工作进入深水区,后续加强立法、制定监管政策、保障跨境数据流动等,都将成为行业常态。
“目前‘九龙治水’格局下,不同部门都有相应执法权,但却是分散的执法体系。”中国互联网协会个人信息保护工作委员会主任委员周汉华说,工信、市场监管、公安、网信、教育、医疗卫生、金融等部门都负有相应责任,但当前管理格局导致某些情况下执法责任边界不明确,容易出现推卸责任的情况。
在阿里巴巴集团法务部法律研究中心副主任顾伟看来,需要在法律层面引入相应问责制。比如,明确要求企业需要履行相应的个人信息保护原则,实现企业对个人信息保护的主动“履职”。
据初步统计,目前已有140多个国家出台个人信息保护法,各国个人信息保护执法管理机构也都纷纷加强信息滥用以及泄露事件的处罚力度。“最新调研显示,GDPR实施两年以来数据保护部门共实施231次罚款,罚金都是‘天文数字’。在这样的监管力度下,相信会有更多重视个人信息保护的行动开展。”李妍洁说。周汉华也认为,目前最好的结果是能够设立独立的个人信息保护机构,从而解决政企不分、政监不分的传统管理弊端。
#网警发布# 警惕!APP已成个人信息泄露重灾区
现在,我们手机中都安装了各种App,的确方便了我们的工作、生活,但是也获取了我们大量的个人信息。一些App的推送能“精准”到你在想什么,它就给你推送什么!App的这种“正合我意”是怎么实现的?个人信息安全有没有风险呢?
近日,市民王先生最近有个疑惑,和朋友只在线上闲聊过的东西,第二天就出现在自己手机应用的推送里。王先生说:朋友聊椰枣,过了一天我就刷到了关于椰枣的推荐视频。我觉得很惊讶,我除了说,没有任何搜索记录,咋就给我推荐了?过于精准的推送内容,让王先生感觉“后背发凉”。而这并不是王先生一个人的感受。手机用户李先生:有的App需要把通讯录等信息都授权,我都不知道为什么要授权这些信息。手机用户刘女士:输入自己的手机号发送验证码之类的,第二天或者过几天就会有不知名的一些电话打进来,推销一些东西。面对越来越精准的推送,用户有着 “被窃听”的焦虑,个人信息也确实存在过度获取的可能。精准推送怎么实现?
专家介绍,App获取的第一个信息,往往就是手机的IMEI号,也就是移动设备标识号。这个唯一的识别码,相当于手机的身份证。不管是经过用户同意“拿走”,还是不经允许“偷走”,App一旦获得了移动设备标识号,就为个性化推送奠定了基础。对大量App测试后发现,App获取的信息不仅能自己用,甚至有部分App会把信息传给第三方。
#烟台网警提醒#
越来越多新的技术手段正在降低用户信息获取的成本和风险,有关部门定期针对App违法获取个人信息的行为进行曝光,针对App的各项隐私政策也在不断细化和规范。专家分析,因为获取成本高、法律风险大,短期内,大家不必过于担心自己的语音、上传的图片等隐私信息被收集。
现在,我们手机中都安装了各种App,的确方便了我们的工作、生活,但是也获取了我们大量的个人信息。一些App的推送能“精准”到你在想什么,它就给你推送什么!App的这种“正合我意”是怎么实现的?个人信息安全有没有风险呢?
近日,市民王先生最近有个疑惑,和朋友只在线上闲聊过的东西,第二天就出现在自己手机应用的推送里。王先生说:朋友聊椰枣,过了一天我就刷到了关于椰枣的推荐视频。我觉得很惊讶,我除了说,没有任何搜索记录,咋就给我推荐了?过于精准的推送内容,让王先生感觉“后背发凉”。而这并不是王先生一个人的感受。手机用户李先生:有的App需要把通讯录等信息都授权,我都不知道为什么要授权这些信息。手机用户刘女士:输入自己的手机号发送验证码之类的,第二天或者过几天就会有不知名的一些电话打进来,推销一些东西。面对越来越精准的推送,用户有着 “被窃听”的焦虑,个人信息也确实存在过度获取的可能。精准推送怎么实现?
专家介绍,App获取的第一个信息,往往就是手机的IMEI号,也就是移动设备标识号。这个唯一的识别码,相当于手机的身份证。不管是经过用户同意“拿走”,还是不经允许“偷走”,App一旦获得了移动设备标识号,就为个性化推送奠定了基础。对大量App测试后发现,App获取的信息不仅能自己用,甚至有部分App会把信息传给第三方。
#烟台网警提醒#
越来越多新的技术手段正在降低用户信息获取的成本和风险,有关部门定期针对App违法获取个人信息的行为进行曝光,针对App的各项隐私政策也在不断细化和规范。专家分析,因为获取成本高、法律风险大,短期内,大家不必过于担心自己的语音、上传的图片等隐私信息被收集。
小程序系统开发电销必备地图号码采集分配拨号标记备注管理系统开发
1、侧图标;快捷展示是否有过颜色标记/导出/拨号/备注/废弃等操作,简单明了
2、右侧拨号:快捷拨号,同时记录并增加活跃度;
3、导出菜单:将联系方式快捷保存到手机通讯录;
4、标记菜单:类OSX操作,按个自喜好,分类到对应文件夹;
5、备注菜单:为联系人添加备注,详见后文;
6、删除菜单:将联系人废弃;
7、请注意:点击标题进入详情,点电话/标签/地址呼出菜单
点击【标记】弹出菜单,可将联系人按颜色分组,共红/橙/绿/蓝/灰,具体颜色代表含义由操作者个性化设定,方便道别即可,操作成功后会在联系人左边图标处显示。
上方显示地图,为上门拜访的业务准备的功能,后续会加入导航;中间2块显示详情信息,方便拜访或拨号前参考;下方显示备注列表;此页面相当于对联系人作出的最详细总结报表。
1、上方联系人详情:避免在跳转后忘记所备注的目标;
2、右边快捷拨号:备注和拨号经常同时进行;
3、下方备注的增删改查。
分类栏部分:
1、分类栏,主要用于快捷批量操作
2、未处理:可以快速从后台拉取未被其它人操作过的数据;
3、已导出/已备注/颜色标记/回收站与首页的分类功能相同;
4、菜单右边的数字为文件夹中联系人的总数会随操作实时更新。
通讯录部分:
1、点击任一文件夹进入通讯录批量管理,点击标题和右箭头进入详情,其它位置选择操作;
2、下方可以将选择的多个联系人,批量标记/删除。
个人中心做了非常详尽的统计:
1、每个用户初次使用会分配积分,后台可以配置初始积分数额积分可以1比1拉取联系人,无积分则无法增加新联系人;
2、所有操作均可以增加活跃度,具体一次加多少后台可以配置
3、个人中心会实时记录工作人员的各项数据,并记录每天的变化情况,个人中心会显示今天和昨天两天战绩。
后台//
地图AK
活跃权重
初始金币
城市选择
采集中心
采集关键词
采集去重
快捷分组
用户统计
金币充值
1、侧图标;快捷展示是否有过颜色标记/导出/拨号/备注/废弃等操作,简单明了
2、右侧拨号:快捷拨号,同时记录并增加活跃度;
3、导出菜单:将联系方式快捷保存到手机通讯录;
4、标记菜单:类OSX操作,按个自喜好,分类到对应文件夹;
5、备注菜单:为联系人添加备注,详见后文;
6、删除菜单:将联系人废弃;
7、请注意:点击标题进入详情,点电话/标签/地址呼出菜单
点击【标记】弹出菜单,可将联系人按颜色分组,共红/橙/绿/蓝/灰,具体颜色代表含义由操作者个性化设定,方便道别即可,操作成功后会在联系人左边图标处显示。
上方显示地图,为上门拜访的业务准备的功能,后续会加入导航;中间2块显示详情信息,方便拜访或拨号前参考;下方显示备注列表;此页面相当于对联系人作出的最详细总结报表。
1、上方联系人详情:避免在跳转后忘记所备注的目标;
2、右边快捷拨号:备注和拨号经常同时进行;
3、下方备注的增删改查。
分类栏部分:
1、分类栏,主要用于快捷批量操作
2、未处理:可以快速从后台拉取未被其它人操作过的数据;
3、已导出/已备注/颜色标记/回收站与首页的分类功能相同;
4、菜单右边的数字为文件夹中联系人的总数会随操作实时更新。
通讯录部分:
1、点击任一文件夹进入通讯录批量管理,点击标题和右箭头进入详情,其它位置选择操作;
2、下方可以将选择的多个联系人,批量标记/删除。
个人中心做了非常详尽的统计:
1、每个用户初次使用会分配积分,后台可以配置初始积分数额积分可以1比1拉取联系人,无积分则无法增加新联系人;
2、所有操作均可以增加活跃度,具体一次加多少后台可以配置
3、个人中心会实时记录工作人员的各项数据,并记录每天的变化情况,个人中心会显示今天和昨天两天战绩。
后台//
地图AK
活跃权重
初始金币
城市选择
采集中心
采集关键词
采集去重
快捷分组
用户统计
金币充值
✋热门推荐