绥化信息港

当前位置: 首页 >历史

新华社短视频软件违规爬取个人信息亟待强化

来源: 作者: 2019-05-15 00:13:51

原标题:隐私难设防:APP爬取个人信息手段多样

截至去年12月,我国民范围为8.29亿,全年新增民5653万,互联普及率达59.6%。智能化、大数据在方便人们生活的同时,个人隐私保护问题也日益凸显。

去年,猎豹浏览器默认开通监听用户外拨;华住旗下5亿条酒店用户个人信息疑似泄漏今年,抖音因涉嫌私自调取用户隐私数据,被其他互联平台取消第三方登录授权;央视315曝光社保掌上通App通过获取用户授权,肆意收集用户隐私信息

互联时期,我们的隐私到底还剩多少?

获得用户隐私手法隐蔽

根据用户反馈的情况,第三方研究机构IDF实验室检测发现,与抖音同属北京字节跳动科技有限公司(以下简称字节跳动)的资讯类APP今日头条,在技术上采取了至少两个非正常操作,使其获取了用户的好友信息。

近日,一篇名为《法学博士生维权:我为何起诉抖音、多闪侵犯我的隐私权?》的文章出现在微博、知乎等社交平台,引发广泛关注。

该博主经过比对发现,在通讯录未包含任何信息,他个人也没有明确同意它们收集使用通讯录的情况下,字节跳动旗下产品抖音和多闪两款APP依然向他推荐很多好友。而且,在未经明确同意下,抖音就向多闪提供了博主在抖音上的个人信息。

博主凌先生在文章中写到,抖音用户规模多达上亿,收集和使用的用户信息量巨大,为牟取本身产品利益,擅自泄露和使用用户的个人信息,让人不寒而栗。

对此,字节跳动回应称,抖音多闪产品在运营进程中,合规合法,一直在法律允许范围内收集、使用、同享个人信息。

字节跳动还表示,推荐好友功能是抖音的基本功能之一,抖音相关页面上出现的被推荐人,是基于用户明确授权上传的通讯录信息、粉丝、关注、共同好友等信息,向用户推荐的好友或可能认识的人,与好友毫无关系。

但是,采访了多位抖音用户,他们均表示遇到过凌先生所反应的情况。北京市民刘先生告诉,当用户使用号授权登录抖音后,其好友会陆续出现在抖音推荐的可能认识的人里,随后用户通讯录中的好友也陆续出现在抖音的产品推荐中。抖音甚至会将用户的二度好友,即好友的好友,也推荐给用户。

今年1月,白帽黑客专家、IDF实验室联合创始人万涛指出,通过摹拟用户分享环境运用抓包工具监测发现,如果用户甲在朋友圈分享了一条来自今日头条的,当甲的好友乙和丙都打开看过这条后,今日头条就悄悄记录下乙和丙都是甲的好友,进而将这组社交关系分享给本公司的抖音等APP平台,使乙和丙出现在抖音推荐的可能认识的人里。

其违规原理在于,正常的软件在设置cookie(站为辨别用户身份进行数据追踪的数值设定)参数时一般仅为5至7天,而今日头条将这一数值设定为10年,这1隐蔽的设定使其可以长时间更新关注用户的好友关系变动情况。万涛说。

与此类似,此前两款社交软件陌陌脉脉也曾因侵犯用户隐私数据而被告上法庭,尽管法院终判决两家企业侵权。然而,技术与监管漏洞并没有因此得到根治。

权责不明维权举报难

去年8月,中国消费者协会发布的《APP个人信息泄露情况调查报告》显示,超八成受访者曾遭受个人信息泄露问题,其中常见情形为推销、短信骚扰、诈骗、垃圾邮件。而根据全国消协组织受理消费者投诉情况统计,去年上半年,电商、社交软件等平台非法收集消费者个人信息的现象已成投诉新热点。

不仅是抖音陌陌等APP有涉嫌爬取用户隐私的行为。近日,多家媒体报道,一种以WiFi探针为主要技术手段的广告营销设备悄然兴起。不少用户喜欢使用各种免费WiFi,常常开着WiFi搜索附近可用的络,而此类设备会搜寻附近装备的Mac地址偷盗用户信息,并通过大数据生成用户图象,为随后的推行、骚扰做铺垫。有些设备甚至可以强制用户弹窗,并冒充已连接WiFi在置顶界面投放无法消除的狗皮膏药式广告。

调查发现,当前,不明确的边界、日益隐蔽的技术和低威慑力的罚单,正成为互联用户隐私攻防战的3大新型难题。

隐私保护的权利与义务权责不明,管理的主体不清。数据是互联公司的重要资产,平台有保护自己的数据安全,也有权利保障用户的个人隐私不受侵犯。中国社会科学院信息化研究中心秘书长姜奇平指出,保护的权利和非常明确,而相应的法理边界又十分模糊,这在一定程度上会成为侵权者模糊事实的保护伞。

今年1月25日,中央信办、工信部、公安部、市场监管总局四部门联合发声,要求APP运营者搜集使用个人信息,应遵循合法、正当、必要的原则,不收集与所提供服务无关的个人信息,对违法违规情节严重的,需依法暂停相干业务、停业整顿等。

在重拳整治的同时,部分业内人士仍对侵权技术手段日趋隐蔽的问题表示担忧。万涛认为,虽然大多数代码工程师都可以通过抓包软件发现上述违规侵权的参数,但是类似的修改可能藏在数以万计的程序代码中,正常的监测流程根本没法发现。而这一类明显违规的窃取行为,即便发现也难以直接定性为违法违规,仅仅能被认为非常规,由于大多数违法行为实际应用逻辑和判定参数都只存在于侵权方的内部系统中,外部工程师无法全部获取相关侵权证据的线索,因此维权和举报都十分困难。

高投入维护与低成本侵权矛盾日益激化。业内人士表示,一方面是用户隐私保护需要耗费大量的人力及物力,同时,相关技术需要不断对抗升级,法律风险日趋扩大。而另一方面,侵权方在快速获取数据后可以产生没法计算的经济和社会效益,同等条件下的违法本钱又微不足道。

界定模糊 制度建设需加速

根据我国刑法以及院在2011年颁布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,非法获得计算机信息系统数据,情节严重的,甚至构成刑事犯罪。对于非法获得数据触及公民个人信息的,涉嫌构成侵犯公民个人信息罪。

在媒体曝光社保掌上通和WiFi探针等产业链后,3月16日,工信部刊文表示,已时间责令基础电信企业即刻关停报道中企业拨打骚扰的语音专线,停止违规号码透传,加强通讯资源规范管理。

工业和信息化部还表示,为防范各类通信资源被用于扰民,将会同相干部门组织开展全面排查清理,严格规范语音专线管理,严查利用透传技术虚拟主叫号码的违规行为,对未通过鉴权的呼叫一概拦截。

另外,为加强APP个人信息保护,工业和信息化部将配合中央信办、公安部、市场监督管理总局等部门做好APP违法违规收集使用个人信息专项治理行动。采取日常技术检测和专项检查等多种方式加强监管,加大对各类违规行为的处置和曝光力度,积极推进个人信息保护立法工作,切实规范用户个人信息的收集、使用行为。

尽管如此,仍有专家认为,在实际操作过程中,一些涉及专业技术的问题在法律法规中尚存在界定不清晰的情况,致使相干法律法规在履行层面面临很多困难。

以此次与抖音和本日头条的事件为例,公众号实验室创始人方可成认为,抖音和关于好友关系获取的争议核心在于cookie这个记录了用户数据的技术元素。本日头条将浏览器的cookie值设置为10年,这是一个非正常的时间范围,不仅如此,今日头条还通过将用户cookie值及分享者的信息回传到自己的服务器,从而留存用户信息。

事实上,开放接口不应允许回传cookie。在我所参与的技术开发工作中,从来没有这样的操作。译言创始人、曾任美国甲骨文公司工程师赵嘉敏说。

主管部门应进一步健全相关公开透明的隐私提醒制度,例如要求企业公布上述提示信息,以保证用户信息安全的知情权,同时加快法律法规的更新频率和加强依法监管,确保维权申诉渠道畅通无阻。方可成说。

长平经济研究所履行所长王长勇建议,支付宝微博等作为互联的数据平台企业,应对下游企业设置准入管制或者设置准入权,从而使平台成为一个自律监管者,进而强化数据安全的可靠性地位。

来源新华社《经济参考报》

益母颗粒什么时候用
益母颗粒适合什么人吃
中药调理月经量少

相关推荐