最近,将手机操作系统升级到 Android 10 后,笔者发现了一些 App 的“流氓”行为。
一个是谷歌。笔者爱逛 Google Play,专门搜集好玩的游戏。但是,下载游戏前,笔者会打开游戏视频,看看效果。点击视频,通过手机浏览器打开,进入 Youtube 官网游戏播放页面。一旦开始播放视频,页面就会出现提醒“Youtube 请求使用您的摄像头”。
我只是看一支游戏视频,您干嘛要调用我的摄像头?如果摄像头被调用,那么你的脸或其他信息可能被收集。基本上每次请求,我都会拒绝。但是,回想起以前,这种行为或许在“背地里”进行,那么就无需权限许可。如果真是这样,想想可怕…
左侧谷歌,右侧百度
另一个是百度。不久前,笔者在手机浏览器上搜索关键词,页面提醒“百度需要获取您的地理位置”,下方有“拒绝”和“许可”两个选项。
我又想不通,搜索一个关键词,还要“获取地理位置信息”吗?
一直以来,Android 平台上的权限管理经常被“诟病”,“权限流氓”非常活跃,比如,申请一些与自身功能不相干的权限、借助权限肆意调用系统硬件资源(像后台启动相机或麦克风),甚至不给权限就拒绝提供服务…
但是,2019 年,Android 10的发布将让这种现象得到改观。
据悉,Android 10 的一大亮点就是主打隐私保护,这主要体现在两个方面:
一是设备标识的改进。Android 10 去掉 IMEI。IMEI,中文名叫国际移动设备识别码,即通常所说的手机序列号,相当于移动电话的“身份证”。在移动电话网络中,通过 IMEI 可以识别每一部独立的手机。
想想,IMEI 如此重要,因此也成为无数 App 千方百计想获取的东西。
一直以来,很多国产 App 启动时,强求电话权限才让启动。简单说,不给电话权限不让用,这简直是蛮横的“流氓行为”。
在 Android 10 中,无论是新应用还是老应用都无法通过恶名昭著的电话权限来获取设备标识信息。通过限制设备标识符的获取,Android 10 则可以有效保护设备 ID 和 SIM 卡 ID。
因此,针对 Android 10 开发的新应用,无法获取设备标识。而拒绝适配 Android 10 的旧应用,如果依旧尝试获取电话权限,获得的设备标识数值也只是空值null。
二是位置信息保护升级。在 Android 10 中,系统新增了“位置信息后台访问权限”,这是一种更精细的位置权限授予机制。
例如,你打开天气应用,在弹出位置信息弹窗时,你有三种选择:
1.#拒绝;
2.#始终允许;
3.#仅在应用使用过程中允许。
一般而言,最恰当的选择是“仅在应用使用过程中允许”,这样既可保护你的隐私信息,又能满足当前需求。每个人都不想“我什么都没干,你却在收集我的位置信息”。
这种粒度更细的位置权限授予方式,不仅给用户在位置信息授权上有更大的自由,而且还能从一定程度上遏制后台定位造成的待机耗电问题。
无疑,Android 10 为用户提供了更好的隐私安全保护。但是,从更大的背景看,我们现在是该认真对待网民隐私安全。
根据中国互联网络信息中心(CNNIC)统计数据显示,截至 2019 年 6 月,我国手机网民规模已达 8.47 亿,网民通过手机接入互联网的比例高达 99.1%。
随着移动互联网的发展、智能手机的不断普及,移动互联网应用程序(App)得到广泛应用。据工信部统计数据显示,2018 年,我国市场上监测到的 App 总量达到 449 万款,第三方应用商店分发累计数量超过 1.8 万亿次。
移动互联网服务便捷、即时、普惠的特点在 App 得到充分体现,部分 App 已经成为广大网民生活中的“必需品”。而 App 成为线上线下数据交汇的重要入口,全天候参与用户生产生活,收集大量个人信息,安全问题不容忽视。
事实上,2019 年,笔者观察到的是:一方面,互联网网民对隐私安全的意识不断提高;另一方面,则是政府和监管部门的“强监管”和“严要求”。在这双重因素的驱动下,个人隐私保护正在进入新阶段。
在这个新阶段,很多互联网企业因违法违规收集个人信息被监管部门点名批评和曝光。
今年 7 月,广东省公安机关持续开展 2019 年第二季度超范围收集用户信息 App 清理整治工作,共监测发现 1048 款 App 存在超范围收集用户信息。
其中,“酷狗音乐”、“艺龙旅行”、“语文 100 分”等 42 款 App,存在超范围读取用户通话记录、短信或彩信,收集用户通讯录、用户设备已知账号,超权限使用用户设备麦克风等安全问题。
而最近闹得沸沸扬扬的考拉征信则因侵犯公民个人信息被查。考拉征信违规出卖查询接口,并非法缓存公民个人身份信息,供下游公司查询牟利。
根据警方调查,考拉征信涉嫌非法提供身份证返照查询 9800 多万次,获利 3800 万元。
由此可见,互联网网民的个人信息,被非法收集和利用,已经成为部分企业的牟利工具。
如果从更细粒度看,个人信息的六大环节中,包括识别、追踪、画像、推荐、决策和共享,每个环节都会存在安全问题。
识别:2019 年 315 晚会上,央视曝光“探针盒子”私自收集个人隐私;
追踪:美团、饿了么“窃听门”事件
决策:大数据杀熟
同样,针对个人隐私信息治理,监管部门则在 2019 年“重拳出击”。
2019 年 1 月 25 日,中央网信办、工信部、公安部及市场监管总局四部门联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》,预示着我国在 APP 隐私层面的治理进入了一个新的高度。
11 月 4 日,11 月 4 日下午,工业和信息化部信息通信管理局组织召开 App 侵害用户权益行为专项整治工作启动部署会,将重点对违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账户注销设置障碍开展规范整治工作。
当然,更重要的是要有相应的法律法规来保障。在这方面,欧盟早已实施《GDPR》(通用数据保护条例),成为个人数据保护的“先行者”。这部法律不仅对个人数据赋予极大的保护,而且对违法企业进行严惩。
2019 年 7 月 8 日,英国信息监管局发表声明说,英国航空公司因违反《GDPR》被罚 1.8339 亿英镑(约合 15.8 亿元人民币)。
而在美国最受关注的则是2018年加州消费者隐私法案(《CCPA》)。它旨在充分保护加利福尼亚州消费者的隐私权,提升个人信息安全水平以达到充分保护隐私权的目的。
《CCPA》给予消费者五项重要权利:
1.有权知晓所收集个人信息的种类;
2.有权知晓已被收集的信息是否被披露及出售,以及披露和出售的对象;
3.有权拒绝出售个人信息;
4.有权访问他们的个人信息;
5.即使行使上述权利,也有享有平等地被提供服务和价格的权利。
据悉,《CCPA》将于 2020 年 1 月 1 日正式生效。加州不仅是硅谷所在地,汇集着谷歌、Facebook、惠普、英特尔、苹果、思科、英伟达、甲骨文和特斯拉等科技大公司,而且对全美、乃至全球经济的影响非常大。因此,《CCPA》的实行也将带来巨大的影响。
在国内,针对个人隐私保护的法律法规也在不断出台中,比如正在制定过程中的《个人信息保护法》和《数据安全法》
记得,之前有一次看新闻,美国有家公司将一个人的信息定价为 3000 美元。而在国内,或许还没这么高。当然,我们先不管这个价格是否合理。重要的是,对每个人而言,你的个人信息(包括隐私)非常重要。
在个人隐私信息方面,笔者是个坚定地“保守主义者”。既然你无法知道别人或组织机构收集你的个人隐私信息用来干什么,为什么不谨慎一点呢?
参考资料:
前InfoQ编辑
分布式云行业实践指南(2023)
业内首个分布式云行业实践方法论、工具箱。
评论 1 条评论