百加说车
当前位置:首页 - 励志 >

隐私与便利 鱼和熊掌如何得兼

2019-04-01来源:家居中国网


       当前,智能终端、应用分发平台以及应用软件的迅猛发展,为用户带来了前所未有的丰富体验。然而,随着技术的日新月异,智能终端产业的个人信息保护问题日益凸显,信息泄露、信息过度收集使用、权限滥用等问题严重威胁到用户切身利益。

  历时3个月,对100款APP现场体验后,中国消费者协会发布了100款APP个人信息收集与隐私政策测评报告。报告指出,APP普遍存在涉嫌过度收集个人信息、无隐私条款、条款不完整以及不合理格式条款等问题。

  泰尔终端实验室、互联网协会、电信终端产业协会近日也联合发布了《智能终端产业个人信息保护白皮书》(以下简称《白皮书》)。《白皮书》着眼于智能终端产业新的发展阶段,阐述了个人信息保护现状和面临的挑战,基于业界最佳实践,在终端设备、分发平台、应用开发等方面提出个人信息保护建议,并倡议产业界落实企业主体责任,加强行业自律,强化产业协作体系,共同构筑智能终端产业个人信息保护良好生态。

  泰尔终端实验室副主任马鑫表示:“这本基于智能终端产业的个人信息保护白皮书,其理念就是用户可知、可控、用户授权同意、权限申请的合法、必要和最小化原则,以及产业链各方的自律、协同原则和社会监督原则。”

  智能终端安全状况不乐观

  马鑫说,终端产业发展非常快,中国信息通信研究院发布的数据显示,今年1-9月份,智能终端出货量达到2.87亿部,其中安卓操作系统占89.8%,IOS系统占10%左右。从安卓系统的版本上来看,有4%是安卓9、47%是安卓8、25%是安卓7、15%是安卓6,之前的版本是9%,安卓生态碎片化比较严重。

  从IOS系统来看,IOS12版占50%、11版占39%,也就是说,有接近90%的IOS终端用的是近一年的新操作系统。这样看来,IOS在版本的整合性方面和版本控制力方面,相对来说比安卓系统要好一些。

  据悉,泰尔终端实验室监控的应用中,有敏感隐私窃取、资费损耗、远程控制、妨碍滋扰等行为的达299万款。其中最多的是敏感隐私窃取,高达11.86%。从高风险应用所占比例来看,游戏、娱乐类应用有40%属于有高风险情况,其中21%是系统工具类、17%是生活服务类。也就是说,用户使用最广泛的应用中,存在很多个人信息保护的风险问题。

  过度读取个人信息现象严重

  《白皮书》显示,现在个人信息保护面临的挑战主要有以下五个方面:一是用户信息过度搜集和难以识别、难以举证;二是权限申请过度,规范难,判别难;三是低API等级应用,规避安卓的安全机制的问题;四是设备物理识别码的防护意识不足;五是隐私与便利选择两难,产业协作能力不足。

  主要是权限申请过度现象非常严重。《白皮书》显示,有97.37%的应用要申请读取电话权限,有84.15%要申请位置权限。马鑫指出,过度权限一方面让使用者产生很多疑虑,另一方面造成很大的攻击面,对个人信息保护非常不利。

  加大权限调用可知可控力度

  马鑫指出,要想做好智能终端设备的个人信息保护,就必须加大权限调用的可知可控力度,提高设备号码的识别防护能力,完善应用管控保障机制,落实信息收集使用告知同意规定,重点加强生物特征数据保护,加强基础保障能力建设。

  据悉,早在2013年,泰尔终端实验室就发布了《移动智能终端安全能力技术要求和测试方法》,其主导思想就是对应用的可知可控。如何让用户对终端设备的权限调用可知呢?马鑫说:“应该是以明确的方式告诉用户这个应用要调用哪些权限。”

  可控是什么呢?就是无论用户选择同意或者拒绝,应用都能正常运行,即便用户拒绝被调用,也不应该影响对其他功能,尤其是对主功能的使用。马鑫解释说,但在低于版本API(操作系统留给应用程序的调用接口)23等级的情况下,一般是一揽子授权:即用户在拒绝某一项调用的时候,这个应用一般就装不上了,因此API版本要提升。

  泰尔终端实验室的专家建议,要从告知时机、告知方式和告知内容等方面落实信息收集、使用告知同意规定,要清晰、易于操作。比如告知应在用户使用应用之前,当应用权限有了变化之后,也要在搜集用户信息或者使用前进行告知。马鑫说,现在很多应用是在已经开始收集动作后才告知用户,用户不管点同意还是不同意,收集行为实际上已经发生了。

  告知的方式要易于用户去感知,内容要清晰、明确,不能用很多专业术语或模棱两可的用语,以免用户无法选择。

  提高设备识别码的防护能力

  以前,个人设备识别码只是一个与用户关系不大的东西,现在,智能移动设备识别码与应用结合后,就能进行用户画像。马鑫解释说,这虽然并不违法违规,但当很多应用绑在用户识别码上之后,用户使用这个设备所进行的各项操作、各种行为轨迹、各种情况就都会被掌握,这些数据集合起来的用户画像,就涉及到非常严重的个人信息保护问题,个人的任何隐私就都可能暴露。因此,现在个人设备识别码的问题越来越重要,而且成为非常敏感的个人信息。泰尔终端实验室建议应将识别码匿名化,并建立设备识别码替代机制。此外,还要严格限制企业获取设备识别码。

  马鑫认为,开发者对应用权限申请和个人信息收集、使用负有主体责任,应该在应用的需求分析、设计、开发、上架、运营、维护和更新的全生命周期中,高度重视个人信息保护工作,维护用户合法权益。比如采用高等级的API开发应用,适配最新操作系统和外部代码,遵循合法正当必要的原则来申请权限,采用单项同意授权、获取敏感信息收集使用授权、采取加密传输机制、谨慎使用外部存储区域,以及贯彻全生命周期的安全理念。

  对于比较敏感的信息,建议采取单项同意的方式。如果要对一般个人信息进行使用收集的话,只要明确告知用户应用的范围、查询的方式、更正的信息和渠道,以及拒绝提供有哪些后果就可以了。但在收集和调用敏感信息的时候,则要用弹窗或界面等形式告知。因为这些是直接关系到个人隐私的敏感信息,所以建议在概括同意的基础上,一定要进行单项的授权和同意。从应用分发角度来讲,建议完善开发者的政策和分发协议,落实开发者及应用资质的审核要求,充分明示应用的相关信息,建立分发平台上架机制,探索应用在运行期间的管控方式,建立投诉和反馈通道,以及建立应用下架的响应机制等。

  完善分发平台上架机制,就是一定要对应用进行检查、检测和审查之后才能上架。根据工业和信息化部407号文件规定,应用分发者在分发应用的过程中,应该明确包括版本号的更新日期、大小等信息。

  用户应充分了解隐私政策

  马鑫建议消费者选择信息明示比较清晰的手机,使用前要充分了解权限管理机制和隐私政策。特别是隐私政策比较多、比较细,很多东西藏在里面或者不明确,产业链应该把隐私政策表述得清晰明确,让消费者能够非常清楚地知道,包括概括同意和单项同意的问题。

  消费者要善于使用手机的设置功能,增强安全意识,不要root(获得手机应用的最高权限)手机。但很多消费者没有这种意识或能力,这就需要产业界各方以明确、简单、易行的方式让用户使用,让用户了解到个人信息保护的方式。

  另外,要促进公众监督,及时响应用户关切的问题。用户投诉渠道一定要畅通、明确、简捷。加强行业自律,强化产业协作体系建设,也是保护用户个人信息安全不可或缺的手段。(来源:中国消费者报)



更多精彩请




转载文章地址:http://www.nlcha.com/lizhi/265.html
(本文来自百加说车整合文章:http://www.nlcha.com)未经允许,不得转载!
标签:
相关推荐
网站简介 联系我们 网站申明 网站地图

版权所有:www.nlcha.com ©2017 百加说车

百加说车提供的所有内容均是网络转载或网友提供,本站仅提供内容展示服务,不承认任何法律责任。