近日,针对媒体报道相关手机应用软件存在侵犯用户个人隐私的问题,工信部信息通信管理局约谈了百度、支付宝、今日头条,要求三家企业立即进行整改。互联网时代,只要是使用手机,就会留下痕迹,手机APP收集用户数据,几乎就是公开的。记者了解到,无处不在的授权背后,是手机APP肆意收集着用户信息,而这些海量信息被用于数据画像,他们甚至可以比用户更了解自己。

个人信息被收集,用于精准营销个人信息被收集,用于精准营销

  打开手机设置中的应用管理权限,此前从没有关注过应用管理权限的市民小高着实吓了一跳。在手机应用管理权限中,有电话、通讯录、相机、位置、存储、读取短信等各种权限,而每个权限下面,被授权的手机APP都有二十几个。

  “有些授权我甚至都不知道是什么意思。”小高说。比如说在电话权限中,有读取手机状态和身份这一条,小高手机中有51个程序有访问的需求,而小高授权了其中45个。“可是我都不知道读取手机状态和身份是什么意思,而且我也不知道我在什么时候授权了这些APP。”

  像小高一样,很多“手机控”在下载安装APP时不会注意看授权权限条款,便直接同意安装,就是这么一个简单的动作,APP会完成访问通讯录、读取通话记录、读取短信记录、读取位置信息、监听手机通话等一系列行为,一不留神用户的隐私就泄露了。

  只要你掏出手机打开APP,今天去了哪儿、电话号码是多少、实时位置信息,在手机上进行的一切动作,都被悄无声息地记录在册。

  看上去这些数据似乎没什么用,但是汇聚在一起就有巨大的商业价值。

  比如说,通过访问通讯录,一方面可以利用通讯录来推广会员注册,另外一方面,也是更重要的作用,就是获取用户的社会关系资源,从而分析用户的社交圈子和人脉,通过购物、旅行等行为分析用户的收入、爱好,进而有针对性地营销。

  “这叫做数据画像,通过分析用户行为、特征爱好的信息,这些互联网公司几乎可以比用户更了解自己,在此基础上可以做到精准营销。”主要从事企业的信息安全和IT运维管理的山东瑞宁信息技术股份有限公司董事长汉京宁说。

  而数据画像不仅可以做到精准营销,另外还有很多价值,比如说风险防控。这对于互联网金融来说更加重要,通过对用户的收入、消费等进行分析,可以判断用户的信用等级,从而判断是否可以进行贷款。

  用户对话和行为,或被偷偷“直播”

  在互联网社会,想要防范个人信息的泄露,几乎没有什么好办法。“想要享受到互联网的便捷性,就会用到各种互联网的工具,只要用到工具就会留下痕迹,别人就会收集信息,这是必然的。”汉京宁说。

  这就是一个矛盾,一些互联网公司利用自己的垄断地位设定一些霸王条款,如果拒绝,就无法享受到便利的服务,而如果不拒绝,就要承担信息泄露的风险。

  不过,这些已经是明面上的规则,还有很多用户并不知道的机构也在获取信息。几乎所有APP都有推送功能,而这部分功能有很大一部分是外包给第三方公司进行的。当用户下载APP使用时,用户的数据不仅仅被该APP采集,还被这些第三方数据公司采集。这些过程,用户自己却是不知道的。

  而这些第三方公司靠的就是贩卖数据赚钱。这些数据可能会通过数据交易流向数据分析公司,也可能流向非法地下产业,被不法组织获取。

  “所有被授权访问麦克风、相机的手机都有可能变成一部监听设备。”汉京宁提到。

  当用户使用淘宝的搜图功能,当使用百度的语音搜索功能,当用户授权这些APP访问相机、麦克风时,几乎就将手机变成了一个随时可以开启监听功能的监听器。只要授权访问了相机和麦克风,就可以通过远程操控在用户不知情的情况下,打开麦克风和相机,将手机变成一部监听器,用户每天的对话和行为可能在不知不觉中就被“直播”了。

  逐项关闭隐私授权,可减少个人信息泄露

  在数据价值和产权没有明确分类和清晰界定的时候,数据收集者的动机可能被隐藏,数据安全和各类隐私存在着一定的风险。

  数据安全与个人隐私的保障更多地需要技术供应商考虑,但个人隐私绝不只是靠厂家解决。不能把希望寄托于互联网企业身上,它们既是数据管理者又是使用者,而企业永远是逐利的。

  一方面用户自己要有保护隐私的意识。“有一些没有必要的APP要求访问通讯录、相册时,完全可以不用安装,我们在日常生活中必需的APP其实用不了那么多。”汉京宁说。

  此外,普通用户也可以选择尝试一项一项地去关闭隐私授权,直到关掉的授权影响应用的正常使用。刘明还建议第三方机构对各类应用的隐私获取情况进行打分和排名,给用户用脚投票的机会。

  而另一方面还需要国家进行数据监管。通过立法保护用户隐私,以及对大企业的垄断进行安全审查。

  汉京宁介绍,安全审查包括很多方面,首先就是收集信息的渠道是否合法,其次是合法的数据保存是否可靠,内控管理手段是不是到位,有没有泄密的可能。另外,就是这些数据分析未来的用途,是否会侵犯到消费者的隐私,这也是需要进行控制的。

  目前,国家已经通过了《中华人民共和国网络安全法》,在这部法律中提到,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。也已经明确规定,收集个人信息的企业要有数据保护意识,发生泄密和丢失都会负法律责任。