【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

从 Android 10 的隐私保护,我们聊聊隐私安全这件事

  • 2019-12-02
  • 本文字数:2879 字

    阅读完需:约 9 分钟

从Android 10的隐私保护,我们聊聊隐私安全这件事


最近,将手机操作系统升级到 Android 10 后,笔者发现了一些 App 的“流氓”行为。


一个是谷歌。笔者爱逛 Google Play,专门搜集好玩的游戏。但是,下载游戏前,笔者会打开游戏视频,看看效果。点击视频,通过手机浏览器打开,进入 Youtube 官网游戏播放页面。一旦开始播放视频,页面就会出现提醒“Youtube 请求使用您的摄像头”。


我只是看一支游戏视频,您干嘛要调用我的摄像头?如果摄像头被调用,那么你的脸或其他信息可能被收集。基本上每次请求,我都会拒绝。但是,回想起以前,这种行为或许在“背地里”进行,那么就无需权限许可。如果真是这样,想想可怕…



左侧谷歌,右侧百度


另一个是百度。不久前,笔者在手机浏览器上搜索关键词,页面提醒“百度需要获取您的地理位置”,下方有“拒绝”和“许可”两个选项。


我又想不通,搜索一个关键词,还要“获取地理位置信息”吗?


一直以来,Android 平台上的权限管理经常被“诟病”,“权限流氓”非常活跃,比如,申请一些与自身功能不相干的权限、借助权限肆意调用系统硬件资源(像后台启动相机或麦克风),甚至不给权限就拒绝提供服务…


但是,2019 年,Android 10的发布将让这种现象得到改观。


据悉,Android 10 的一大亮点就是主打隐私保护,这主要体现在两个方面:


一是设备标识的改进。Android 10 去掉 IMEI。IMEI,中文名叫国际移动设备识别码,即通常所说的手机序列号,相当于移动电话的“身份证”。在移动电话网络中,通过 IMEI 可以识别每一部独立的手机。


想想,IMEI 如此重要,因此也成为无数 App 千方百计想获取的东西。


一直以来,很多国产 App 启动时,强求电话权限才让启动。简单说,不给电话权限不让用,这简直是蛮横的“流氓行为”。


在 Android 10 中,无论是新应用还是老应用都无法通过恶名昭著的电话权限来获取设备标识信息。通过限制设备标识符的获取,Android 10 则可以有效保护设备 ID 和 SIM 卡 ID。


因此,针对 Android 10 开发的新应用,无法获取设备标识。而拒绝适配 Android 10 的旧应用,如果依旧尝试获取电话权限,获得的设备标识数值也只是空值null


二是位置信息保护升级。在 Android 10 中,系统新增了“位置信息后台访问权限”,这是一种更精细的位置权限授予机制。



例如,你打开天气应用,在弹出位置信息弹窗时,你有三种选择:


1.#拒绝;


2.#始终允许;


3.#仅在应用使用过程中允许。


一般而言,最恰当的选择是“仅在应用使用过程中允许”,这样既可保护你的隐私信息,又能满足当前需求。每个人都不想“我什么都没干,你却在收集我的位置信息”。


这种粒度更细的位置权限授予方式,不仅给用户在位置信息授权上有更大的自由,而且还能从一定程度上遏制后台定位造成的待机耗电问题。


无疑,Android 10 为用户提供了更好的隐私安全保护。但是,从更大的背景看,我们现在是该认真对待网民隐私安全。


根据中国互联网络信息中心(CNNIC)统计数据显示,截至 2019 年 6 月,我国手机网民规模已达 8.47 亿,网民通过手机接入互联网的比例高达 99.1%。


随着移动互联网的发展、智能手机的不断普及,移动互联网应用程序(App)得到广泛应用。据工信部统计数据显示,2018 年,我国市场上监测到的 App 总量达到 449 万款,第三方应用商店分发累计数量超过 1.8 万亿次。



移动互联网服务便捷、即时、普惠的特点在 App 得到充分体现,部分 App 已经成为广大网民生活中的“必需品”。而 App 成为线上线下数据交汇的重要入口,全天候参与用户生产生活,收集大量个人信息,安全问题不容忽视。


事实上,2019 年,笔者观察到的是:一方面,互联网网民对隐私安全的意识不断提高;另一方面,则是政府和监管部门的“强监管”和“严要求”。在这双重因素的驱动下,个人隐私保护正在进入新阶段。


在这个新阶段,很多互联网企业因违法违规收集个人信息被监管部门点名批评和曝光。


今年 7 月,广东省公安机关持续开展 2019 年第二季度超范围收集用户信息 App 清理整治工作,共监测发现 1048 款 App 存在超范围收集用户信息。


其中,“酷狗音乐”、“艺龙旅行”、“语文 100 分”等 42 款 App,存在超范围读取用户通话记录、短信或彩信,收集用户通讯录、用户设备已知账号,超权限使用用户设备麦克风等安全问题。


而最近闹得沸沸扬扬的考拉征信则因侵犯公民个人信息被查。考拉征信违规出卖查询接口,并非法缓存公民个人身份信息,供下游公司查询牟利。


根据警方调查,考拉征信涉嫌非法提供身份证返照查询 9800 多万次,获利 3800 万元。


由此可见,互联网网民的个人信息,被非法收集和利用,已经成为部分企业的牟利工具。


如果从更细粒度看,个人信息的六大环节中,包括识别、追踪、画像、推荐、决策和共享,每个环节都会存在安全问题。


识别:2019 年 315 晚会上,央视曝光“探针盒子”私自收集个人隐私;

追踪:美团、饿了么“窃听门”事件

决策:大数据杀熟


同样,针对个人隐私信息治理,监管部门则在 2019 年“重拳出击”。


2019 年 1 月 25 日,中央网信办、工信部、公安部及市场监管总局四部门联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》,预示着我国在 APP 隐私层面的治理进入了一个新的高度。


11 月 4 日,11 月 4 日下午,工业和信息化部信息通信管理局组织召开 App 侵害用户权益行为专项整治工作启动部署会,将重点对违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账户注销设置障碍开展规范整治工作。


当然,更重要的是要有相应的法律法规来保障。在这方面,欧盟早已实施《GDPR》(通用数据保护条例),成为个人数据保护的“先行者”。这部法律不仅对个人数据赋予极大的保护,而且对违法企业进行严惩。


2019 年 7 月 8 日,英国信息监管局发表声明说,英国航空公司因违反《GDPR》被罚 1.8339 亿英镑(约合 15.8 亿元人民币)。


而在美国最受关注的则是2018年加州消费者隐私法案(《CCPA》)。它旨在充分保护加利福尼亚州消费者的隐私权,提升个人信息安全水平以达到充分保护隐私权的目的。


《CCPA》给予消费者五项重要权利:


1.有权知晓所收集个人信息的种类;


2.有权知晓已被收集的信息是否被披露及出售,以及披露和出售的对象;


3.有权拒绝出售个人信息;


4.有权访问他们的个人信息;


5.即使行使上述权利,也有享有平等地被提供服务和价格的权利。


据悉,《CCPA》将于 2020 年 1 月 1 日正式生效。加州不仅是硅谷所在地,汇集着谷歌、Facebook、惠普、英特尔、苹果、思科、英伟达、甲骨文和特斯拉等科技大公司,而且对全美、乃至全球经济的影响非常大。因此,《CCPA》的实行也将带来巨大的影响。


在国内,针对个人隐私保护的法律法规也在不断出台中,比如正在制定过程中的《个人信息保护法》和《数据安全法》


记得,之前有一次看新闻,美国有家公司将一个人的信息定价为 3000 美元。而在国内,或许还没这么高。当然,我们先不管这个价格是否合理。重要的是,对每个人而言,你的个人信息(包括隐私)非常重要。


在个人隐私信息方面,笔者是个坚定地“保守主义者”。既然你无法知道别人或组织机构收集你的个人隐私信息用来干什么,为什么不谨慎一点呢?


参考资料:


Android 10 里有哪些「用了就回不去」的好功能?


2019-12-02 09:178213
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 333.5 次阅读, 收获喜欢 1794 次。

关注

评论 1 条评论

发布
用户头像
无条件支持Google。
2020-06-20 07:51
回复
没有更多了
发现更多内容

Java多线程案例之阻塞队列

未见花闻

7月月更

如何提高网站权重

源字节1号

微信小程序 软件开发 网站开发

设计你的安全架构OKR

I

安全架构师 安全架构 企业安全 安全治理

redisson bug分析

wgy

Java redis redisson

视频化全链路智能上云?一文详解什么是阿里云视频云「智能媒体生产」

阿里云视频云

人工智能 媒体 音视频

【鲲鹏BoostKit】OminiRuntime ——高效统一的大数据分析Runtime底座

Geek_2d6073

终于可以一行代码也不用改了!ShardingSphere 原生驱动问世

SphereEx

数据库 ShardingSphere ShardingSphere-JDBC

基本磁盘与动态磁盘 RAID磁盘冗余阵列区分

Albert Edison

7月月更

Python|数据结构——字典和集合

AXYZdong

Python 7月月更

用Java写学生登陆认证系统

魏铁锤

关于静态类型、动态类型、id、instancetype

NewBoy

前端 移动端 iOS 知识体系 7月月更

CSS 基于文字的图片马赛克你见过吗

南城FE

CSS 前端 马赛克 7月月更

SAP Fiori 应用索引大全工具和 SAP Fiori Tools 的使用介绍

Jerry Wang

SAP Fiori SAP UI5 ui5 7月月更

ORACLE进阶(四)表连接讲解

No Silver Bullet

oracle 7月月更 表连接

案例 ①|主机安全建设:3个层级,11大能力的最佳实践

青藤云安全

网络安全 主机安全 网络安全、攻防演练

CRMEB 商城系统如何助力营销?

CRMEB

Scala 基础 (五):面向对象(上篇)

百思不得小赵

scala 大数据 oop 7月月更

渲大师携手向日葵,远控赋能云渲染及GPU算力服务

Finovy Cloud

渲染 GPU算力

提前解锁 2 大直播主题!今天手把手教你如何完成软件包集成?|第 29-30 期

OpenAnolis小助手

云原生 直播 龙蜥大讲堂 SIG 双周会 CSI 与 open-local

《数字经济全景白皮书》保险数字化篇 重磅发布

易观分析

保险数字化

beegfs高可用模式探讨

姚华

HPC beegfs 并行文件系统

LeetCode-155. 最小栈(java)

bug菌

Leet Code 7月月更

小程序在产业互联网中的作用

Geek_99967b

小程序 小程序容器

Android 查看签名

沃德

程序员 7月月更

AddressSanitizer 技术初体验

焱融科技

内存泄露 存储 文件存储 分布式文件存储

三步就能在OpenHarmony中实现车牌识别

OpenHarmony开发者

OpenHarmony

LSF 集群全面监控!浅析 HPC 基于龙蜥操作系统的迁移替代解决方案

OpenAnolis小助手

开源 解决方案 龙蜥操作系统 常青藤开源科技 HPCinsights

“整洁架构”和商家前端的重构之路

得物技术

架构 前端 重构

node の SQLite

空城机

sqlite Node 7月月更

C#/VB.NET 给PDF文档添加文本/图像水印

在下毛毛雨

C# .net PDF 添加水印

A5000 vGPU显示模式切换

姚华

显卡、gpu

从Android 10的隐私保护,我们聊聊隐私安全这件事_安全_万佳_InfoQ精选文章