剛和朋友說想買件襯衣，購物App就推薦了多個品牌的襯衣，仔細一看，款式和顏色還都是你常穿的。想在手機上刷個劇，打開視頻App，推送的劇目都是你喜歡的類型……大數(shù)據(jù)時代，看似沒有感情的手機App，卻可能比你本人更了解你，原因就是各種App暗中進行的個人信息搜集。商家在未經(jīng)用戶允許的情況下搜集個人信息，不僅侵犯個人隱私，甚至會威脅人身安全。

7月9日，國家網(wǎng)信辦依據(jù)《網(wǎng)絡安全法》相關規(guī)定，通知應用商店下架“滴滴企業(yè)版”等25款App，要求相關運營者整改違法違規(guī)收集使用個人信息問題。此前，網(wǎng)絡安全審查辦公室發(fā)布公告，對“運滿滿”“貨車幫”“BOSS直聘”啟動網(wǎng)絡安全審查。為了確保關鍵信息基礎設施供應鏈安全，維護國家安全，國家互聯(lián)網(wǎng)信息辦公室會同有關部門修訂了《網(wǎng)絡安全審查辦法》，正在面向社會公開征求意見。

中國信息安全技能競賽專家委員會專家楊蔚認為，數(shù)據(jù)集中化和權限集中化的背后，對數(shù)據(jù)安全的管理與保護提出了更高的要求，也是行業(yè)新的挑戰(zhàn)。“App在合理合法的原則下來收集個人信息是有必要的，數(shù)據(jù)流動起來才有價值。限制數(shù)據(jù)采集無法保護數(shù)據(jù)安全，正確使用和妥善保護其實更加重要。這就需要國家的監(jiān)管審查、企業(yè)的重視執(zhí)行和個人的防范同時發(fā)力。”

App的悄然采集，讓個人信息在暗中“裸奔”

打開招聘軟件，填寫簡歷上傳，包括出生年月、身份證號、地址、學歷、工作經(jīng)歷等個人關鍵信息就會留存在軟件的后臺系統(tǒng)中。使用打車軟件下單叫車，App會定位你所在的位置，記錄你每一次的出行軌跡和起點終點。各種App的出現(xiàn)，為大數(shù)據(jù)時代的生活帶來了諸多便捷。然而，隱藏在背后的采集個人信息行為卻讓網(wǎng)民信息存在“裸奔”風險。

楊蔚，中國信息安全技能競賽專家委員會專家，他的另外一個身份是北京眾安天下科技有限公司CEO。他曾對個人信息安全做過專門的研究。他告訴記者，目前，市面上的多數(shù)App都有不同程度地采集個人信息的行為。比如，App在實名認證過程中采集了用戶的身份信息、銀行卡信息，如果App運營商對相關信息未做處理就進行存儲，就會導致大量個人信息泄露。“多數(shù)APP為了確認用戶存活數(shù)，都會采用短信驗證的方式來確定是否為唯一注冊。如果App服務商對用戶的手機號處理不當，就會導致用戶手機號碼泄露。此外，App運營廠商為了存活量，幾乎每一款App都會收集用戶IMEI、設備ID等信息，這也屬于個人信息采集的一種。”楊蔚說。

還有一些App會打著安全的旗號，通過購物支付、手機解鎖、刷臉開門等渠道，采集用戶的人臉識別信息。楊蔚介紹，人臉信息是用戶的弱隱私特征，存在唯一性。然而，人臉識別應用五花八門，也沒有統(tǒng)一的行業(yè)標準，大量的人臉數(shù)據(jù)都被存儲在各應用運營方或是技術提供方的中心化數(shù)據(jù)庫中。數(shù)據(jù)是否脫敏、安全是否到位、哪些用于算法訓練、哪些會被合作方分享，外界一概不知。

不久前，“人臉識別時一定要穿衣服，攝像頭拍到的可能不止是臉……”話題以1.7億的閱讀量躍上熱搜，將網(wǎng)友帶進了大型“社死現(xiàn)場”。從事后臺審核的工作人員在進行人臉識別審核時，經(jīng)常會看到很多人在洗澡、和另一半擁抱、沒穿衣服等各種“奇奇怪怪”的場景。

部分網(wǎng)友質疑平臺方未能提醒用戶“人臉識別系統(tǒng)后臺人工審核時，可以看到攝像頭全景”。專家分析,從技術角度來說，人臉識別的圖像被其他人看到的可能性是客觀存在的。而一旦服務器被入侵，高度敏感的人臉數(shù)據(jù)就會面臨泄露風險。

有買有賣，泄露的數(shù)據(jù)一步步匯入黑色產(chǎn)業(yè)鏈

個人信息的直接泄露，會造成什么樣的后果?對于泄露的數(shù)據(jù)如何一步步匯入黑色產(chǎn)業(yè)鏈，楊蔚進行了解釋：“這些信息非常有價值，有人買就有人賣。既然下游有人愿意花錢，那自然就會有黑客去攻擊這些目標。黑客非法獲取這些信息，拿到數(shù)據(jù)以后，就會有人接手。這里面還有大量二道販子的存在，在中間賺差價。”

楊蔚說，這個鏈條上的人分工特別明確，而且都是“專業(yè)”級別的團隊操作。“有些人會專門去聯(lián)系相關的培訓機構或詐騙團伙，從而把手上的數(shù)據(jù)賣到下游。而下游這些團隊，有專人負責詐騙的話術編寫培訓、線上通過第三方支付平臺洗錢、線下ATM機提款等，分工非常明確。大量詐騙案件由此產(chǎn)生。”

而被App收集到的用戶IMEI、設備ID等信息一經(jīng)泄露，設備造假會變得更加容易。大多數(shù)App都會索要存儲權限，一旦存儲權限給予App后，App就可以任意讀寫甚至刪除存儲卡中的內容。

這意味著App服務商能夠對用戶手機端上的數(shù)據(jù)采集、應用管理等擁有了更高的權限，一旦相關服務商存在重大漏洞，有可能被惡意攻擊者獲取海量信息，后果不堪設想。同時，也對App服務商的數(shù)據(jù)管理提出了更高的要求。很多數(shù)據(jù)泄露事件的根源不僅僅來自黑客攻擊，內鬼竊取數(shù)據(jù)的事件甚至高于黑客攻擊。

給用戶畫像，打上標簽后推送低劣廣告

老人通過智能手機看新聞、小說時，手機屏幕總會自動蹦出一些“安全提示”：“病毒”“垃圾”“內存嚴重不足”。信以為真的老人往往會按照提示清理手機，但“安全提示”越清理越多，手機越用越慢。

今年的央視“3·15”晚會調查揭露，老人手機上的清理類軟件，藏著這樣的安全陷阱。楊蔚分析，這是另一種相對隱蔽的、通過信息泄露來獲取利益的方式——廣告誘導。

記者實驗發(fā)現(xiàn)，在一款閱讀軟件里，正常閱讀過程中出現(xiàn)了“安全清理”提示，點擊后，一款名叫“智能清理大師”的App自動下載成功，但清理過程中仍會跳出“清理手機緩存”提醒，點擊后，手機又下載安裝了另一款清理軟件。在不斷地“提醒、下載、清理”過程中，更多App被自動安裝。

楊蔚分析，這些App表面上是在清理手機垃圾，背地里則在大量獲取手機數(shù)據(jù)信息，對使用者進行用戶畫像，打上標簽，再將各種低劣廣告源源不斷地推送給用戶。“也有一些App在對用戶畫像信息進行加工后，把結果賣給上下游合作機構進行變現(xiàn)。還有些App可能通過手機定位或手機號碼來判斷用戶所在區(qū)域、地理位置，推斷用戶安全意識和IT技能相對較弱，繼而精準投放一些廣告或者推薦一些流氓軟件從中獲利。”楊蔚說。

國家層面監(jiān)管外，企業(yè)也須提高保護用戶信息意識

App信息安全問題層出不窮，影響到的不僅僅是個人。碎片化的信息一旦聚合起來，通過大量算法進一步加工，能得出很多影響決策的結論，甚至會影響到國家安全。

針對個人信息泄露問題，工信部開展了縱深推進App侵害用戶權益專項整治行動，先后多次向社會通報和下架了多款侵害用戶權益行為App。而在今年315國際消費者權益日主題活動上，工信部表示，將繼續(xù)開展App問題治理，進一步強化消費者個人信息保護。

“這兩年，國家網(wǎng)信辦、公安部、工信部都在針對App開展專項檢查、抽查，力度很大。”楊蔚說。

在法律層面，有關數(shù)據(jù)安全的要求也越來越多。此前，國家網(wǎng)信辦已經(jīng)發(fā)布了《數(shù)據(jù)安全管理辦法》，為個人數(shù)據(jù)安全加把鎖。今年6月，第十三屆全國人民代表大會常務委員會第二十九次會議通過了《中華人民共和國數(shù)據(jù)安全法》，將于今年9月1日正式實施。

除了國家層面的監(jiān)管，企業(yè)也必須要提高保護用戶信息的意識。在數(shù)字經(jīng)濟時代，做好個人信息保護是企業(yè)應當堅守的基本底線，也是企業(yè)長久健康發(fā)展的基礎支撐。

但在信息安全的道路上，企業(yè)自身也面臨著一些難題。楊蔚分析，當App所屬企業(yè)的規(guī)模還未壯大時，企業(yè)對于信息安全、產(chǎn)品規(guī)范、數(shù)據(jù)收集和保護的投入能力都很有限，于是導致了更多的安全隱患和問題。有些企業(yè)并非主動向外泄露用戶信息，而是產(chǎn)品本身不完善，給犯罪團伙提供了可乘之機。“這種情況在中小企業(yè)中尤為明顯，頭部企業(yè)的信息安全做得相對比較好。”楊蔚說。

若將信息安全的把關責任都歸在用戶身上，楊蔚認為，這也不合理。“企業(yè)將上傳個人信息設置為使用產(chǎn)品的前置條件，用戶若要使用App，必須同意上傳這些信息。雖然國家要求App在注冊階段告知采集信息可能帶來的風險，但App官方擬定的條款非常專業(yè)，且密密麻麻，絕大多數(shù)用戶沒有耐心看完，且也未必有能力看懂這些條款，只能直接點選‘同意’。這樣的大環(huán)境，使得用戶在保護個人信息時十分被動。”

“個人認為，App在合理合法的原則下來收集個人信息是有必要的，數(shù)據(jù)流動起來才有價值。目前，我們國家的數(shù)據(jù)安全監(jiān)管的重心放在數(shù)據(jù)合法采集上面。但實際上，數(shù)據(jù)即使被合法采集，也不代表它是安全的。即便是用戶同意采集，數(shù)據(jù)也會有可能被倒賣、被濫用。限制數(shù)據(jù)采集無法保護數(shù)據(jù)安全，正確使用和妥善保護其實更加重要。只考慮數(shù)據(jù)的合法采集，是遠遠不夠的。應該考慮的是，采集后的數(shù)據(jù)用什么樣的方法和機制來保護其安全，并且及時發(fā)現(xiàn)危害安全的行為，進行相應的處置。”楊蔚說。

個人信息保護·監(jiān)管建議

對違法行為加大處罰力度，強化威懾作用

為了有效提升公民個人信息保護水平，楊蔚建議，國家應加速推進個人信息保護法律的制定，強化政府相關部門對個人信息安全的監(jiān)管，加大公安機關對涉公民個人信息違法犯罪的打擊力度，強化互聯(lián)網(wǎng)企業(yè)的行業(yè)監(jiān)督、行業(yè)自律，不斷增強公民個人信息保護意識。

首先，監(jiān)管部門應持續(xù)性加強對個人信息采集的監(jiān)管力度。數(shù)據(jù)安全監(jiān)管機構定期對各行業(yè)領域涉及的企業(yè)機構開展監(jiān)督執(zhí)法，督促企業(yè)落實法律數(shù)據(jù)安全合規(guī)性評估要求。在個人數(shù)據(jù)保護方面，監(jiān)管機構對標數(shù)據(jù)保護法，對企業(yè)違反合規(guī)性評估要求的行為進行執(zhí)法處罰。企業(yè)應該基于法律法規(guī)和相關標準要求，積極開展數(shù)據(jù)安全自評。

目前，新出臺的《數(shù)據(jù)安全法》已經(jīng)確立了數(shù)據(jù)分類分級管理、數(shù)據(jù)安全審查、數(shù)據(jù)安全風險評估、監(jiān)測預警和應急處置等基本制度，為國家數(shù)據(jù)安全保護提供了有力的法律保障，并指明數(shù)據(jù)安全保護的方向。不過，數(shù)據(jù)安全保護和個人信息保護的法定義務以及具體制度執(zhí)行還需要監(jiān)管機構來保障落實。因此，對于數(shù)據(jù)安全保護不僅要建立事前預防、事中監(jiān)督和事后處理的監(jiān)管制度，還需要綜合運用抽查審計、事件通報、行政處罰和刑事制裁等監(jiān)管手段，加大對違法行為的處罰力度，強化處罰的威懾作用。

個人信息保護·防范建議

拒絕App“霸王條款”舉報不符要求的數(shù)據(jù)采集

國家能做的，是監(jiān)管、審查和對個人信息保護的推動，但最終還是要落實到企業(yè)自身的重視和執(zhí)行當中。

楊蔚認為，企業(yè)端應承擔保護用戶信息的責任，減少對用戶信息的采集，加強自身的網(wǎng)絡安全建設，借助專業(yè)的安全機構、民間安全力量對企業(yè)系統(tǒng)網(wǎng)絡環(huán)境進行評估，建議采取安全眾測、滲透測試的方式來對系統(tǒng)進行全面的安全檢查等。

一方面，企業(yè)自身要對自身產(chǎn)品及業(yè)務進行評估;另外一方面是要尋求專業(yè)機構和安全力量的幫助，協(xié)助完善產(chǎn)品安全能力，保障用戶數(shù)據(jù)隱私安全。他建議：“針對當前的數(shù)據(jù)安全的形勢，應該以數(shù)據(jù)為中心、以組織為單位、以能力成熟度為抓手，來開展數(shù)據(jù)安全治理。其目的不只是為了合規(guī)，更是為控制風險、提升能力。只有這樣，才能更好地適應變化，真正保護好數(shù)據(jù)安全。”

對于用戶，楊蔚也給出了防范個人信息被過度采集的建議。比如：盡量從正規(guī)渠道下載手機App。關閉手機App的隱私使用權限，為不同類型的手機App設置不同的賬號密碼。在外不要隨意連接免費無線網(wǎng)絡，晚上睡覺關閉網(wǎng)絡通訊。臨時使用的權限用完盡量關閉。

如遇App設置“不開啟權限不能用”的霸王條款，可以先去“違法和不良信息舉報中心”舉報，然后適當更換同類App。長時間不用的App盡量卸載，防止被其他App調用，從而導致敏感信息泄露。“總之，個人用戶要學會說‘不’，遇到不符合要求或者嚴重采集數(shù)據(jù)的情況應及時舉報。”

“個人認為，App在合理合法的原則下來收集個人信息是有必要的，數(shù)據(jù)流動起來才有價值。目前，我們國家的數(shù)據(jù)安全監(jiān)管的重心放在數(shù)據(jù)合法采集上面。但實際上，數(shù)據(jù)即使被合法采集，也不代表它是安全的。即便是用戶同意采集，數(shù)據(jù)也會有可能被倒賣、被濫用。限制數(shù)據(jù)采集無法保護數(shù)據(jù)安全，正確使用和妥善保護其實更加重要。只考慮數(shù)據(jù)的合法采集，是遠遠不夠的。應該考慮的是，采集后的數(shù)據(jù)用什么樣的方法和機制來保護其安全，并且及時發(fā)現(xiàn)危害安全的行為，進行相應的處置。——中國信息安全技能競賽專家委員會專家楊蔚”(記者何雅君)