中國(guó)西藏網(wǎng)訊 9月17日，在2019年國(guó)家網(wǎng)絡(luò)安全宣傳周的個(gè)人信息保護(hù)分論壇上，中國(guó)信息通信研究院安全研究所所長(zhǎng)魏亮向記者介紹了如何應(yīng)對(duì)App個(gè)人信息安全風(fēng)險(xiǎn)。

圖為2019年網(wǎng)絡(luò)安全博覽會(huì)上App個(gè)人信息保護(hù)展臺(tái)“共創(chuàng)安全”展板

　　現(xiàn)狀如何？10月底之前對(duì)主流App進(jìn)行安全檢查

　　目前,在群眾的生活中，App已經(jīng)成為生活的必需品。只要是智能手機(jī)上，都會(huì)下載一些社交的、生活類的、地圖導(dǎo)航類等各種App。魏亮列舉了一連串的數(shù)字，在移動(dòng)互聯(lián)網(wǎng)時(shí)代，我國(guó)手機(jī)網(wǎng)民有8.47億，截至2018年約有449萬(wàn)款A(yù)pp，第三方應(yīng)用下載1.8萬(wàn)億次。

　　隨著互聯(lián)網(wǎng)技術(shù)的開發(fā)和App應(yīng)用，強(qiáng)制授權(quán)、過(guò)度授權(quán)、超范圍收集個(gè)人信息導(dǎo)致一些個(gè)人信息被濫用或者惡意使用，給人們的生活帶來(lái)一些不便，甚至給財(cái)產(chǎn)帶來(lái)?yè)p失。魏亮說(shuō)，“現(xiàn)在不單個(gè)人用戶注意到了這個(gè)問(wèn)題，相關(guān)的部門也注意到了。”今年1月，中央網(wǎng)信辦、工信部、公安部、市場(chǎng)監(jiān)管總局聯(lián)合開展綜合治理，指導(dǎo)成立了App專項(xiàng)治理工作組，開發(fā)舉報(bào)平臺(tái)，進(jìn)行App違法違規(guī)收集個(gè)人信息的專項(xiàng)治理行動(dòng)。

　　“工信部在電信和互聯(lián)網(wǎng)行業(yè)保護(hù)安全提升工作方案中也要求，10月底之前要對(duì)全部的基礎(chǔ)電信企業(yè)，50家重點(diǎn)互聯(lián)網(wǎng)企業(yè)，200款主流App進(jìn)行安全檢查。App安全已經(jīng)受到了關(guān)注，已經(jīng)付諸行動(dòng)。”

　　問(wèn)題來(lái)了！關(guān)掉GPS真的就不會(huì)被收集位置信息嗎

　　魏亮羅列了一些App應(yīng)用獲取個(gè)人信息的典型問(wèn)題。

　　第一種，隱蔽地收集個(gè)人信息。魏亮介紹，“我們?cè)诿襟w和測(cè)評(píng)中看到，部分App存在未經(jīng)個(gè)人同意的情況就開始收集、上傳個(gè)人信息。比如說(shuō)手機(jī)號(hào)、MAC地址、賬號(hào)、密碼等個(gè)人信息，有些可能不在意，但是賬戶密碼涉及到個(gè)人資產(chǎn)。很典型的是獲取系統(tǒng)的高危權(quán)限等，隱蔽地收集個(gè)人信息。”

　　第二種，超出用戶心理預(yù)期。把GPS關(guān)了，那它不收集手機(jī)的位置信息了吧？魏亮直接指出這種想法是錯(cuò)誤的，“實(shí)際上它還能通過(guò)wifi知道我的位置，這就超出預(yù)期了?！?/p>

　　第三種，誤導(dǎo)用戶同意后收集個(gè)人信息。幾乎每個(gè)智能手機(jī)用戶都會(huì)遇到的這樣的情況，安裝某些軟件或者充值時(shí)，收到提示信息顯示“允許開啟手機(jī)通訊錄權(quán)限，以便讀取聯(lián)系人電話號(hào)碼，進(jìn)行充值”。魏亮說(shuō)：“這就是一個(gè)誤導(dǎo)，它要獲取你的通訊錄信息?！?/p>

　　第四種，第三方SDK存在安全風(fēng)險(xiǎn)。魏亮坦言，“第三方SDK自身存在安全漏洞，第三方SDK成為惡意代碼傳播途徑，SDK隱蔽收集個(gè)人信息……App也不清楚，這是使用了第三方SDK存在的風(fēng)險(xiǎn)。大量的App都嵌入SDK，存在一些風(fēng)險(xiǎn)，比如說(shuō)Facebook。”

圖片為魏亮在論壇上發(fā)表演講

　　如何解決？各方努力共建良好生態(tài)

　　魏亮舉例，在App使用過(guò)程中，即使用戶不喜歡廣告，也不能很簡(jiǎn)單粗暴的禁止廣告，“因?yàn)閺V告是一個(gè)很大的產(chǎn)業(yè)，有了這些廣告可以給你提供更便利的服務(wù)和信息，簡(jiǎn)單粗暴的禁止是不現(xiàn)實(shí)的，可能最后是一個(gè)平衡”。

　　他表示“一刀切”的做法不可取，“一刀切很簡(jiǎn)單，但對(duì)產(chǎn)業(yè)的傷害是非常嚴(yán)重的。App個(gè)人信息安全復(fù)雜多樣，涉及多個(gè)主體，解決好個(gè)人信息的問(wèn)題，要構(gòu)建一個(gè)生態(tài)，需要政府部門、相關(guān)企業(yè)、App企業(yè)、SDK企業(yè)、手機(jī)企業(yè)、應(yīng)用商店企業(yè)、行業(yè)組織、研究機(jī)構(gòu)共同處理。”

　　“要加快立法，細(xì)化個(gè)人信息收集使用規(guī)范，現(xiàn)在的法律規(guī)范雖然有相關(guān)內(nèi)容，但不能滿足需求。”魏亮認(rèn)為，推動(dòng)個(gè)人信息保護(hù)法的出臺(tái)，明確個(gè)人信息保護(hù)的義務(wù)、權(quán)利，加強(qiáng)對(duì)違法違規(guī)行為的追究，同時(shí)也是對(duì)數(shù)據(jù)的所有權(quán)，數(shù)據(jù)資產(chǎn)保護(hù)等問(wèn)題的分析研判，厘清法律邊界，梳理相關(guān)立法線條。

　　在App個(gè)人信息保護(hù)過(guò)程中，做好安全升級(jí)，貫徹隱私保護(hù)的設(shè)計(jì)理念必不可少。“不管是App廠家也好、SDK廠家也好，研發(fā)的過(guò)程中，編碼的過(guò)程中就要關(guān)注到隱私保護(hù)的理念，貫徹到代碼和設(shè)計(jì)思路和整體架構(gòu)中，這樣才能夠保護(hù)到一些個(gè)人信息，提高個(gè)人信息保護(hù)的水平?！背酥猓毫琳J(rèn)為，應(yīng)該加快技術(shù)革新，加強(qiáng)數(shù)據(jù)安全技術(shù)研發(fā)?！氨热缯f(shuō)防竊密、防篡改、防泄漏、數(shù)據(jù)脫敏、關(guān)鍵數(shù)據(jù)審計(jì)、流動(dòng)追溯和數(shù)據(jù)備份等安全技術(shù)的研發(fā)和商業(yè)部署，更好的保護(hù)個(gè)人信息，此外還要運(yùn)用大數(shù)據(jù)、人工智能，提升安全防護(hù)的能力?！保ㄖ袊?guó)西藏網(wǎng) 記者/王茜 攝影/王茜）