工信部今年累计巡查4.8万余款App,专项检查200余款;76.9%受访者对App收集个人信息存在困扰或担心
9月20日,2020国家网络安全宣传周App个人信息保护主题发布活动在京召开。中央网信办、工信部、公安部、市场监管总局四部委以及App专项治理工作组在会上公布了今年以来App专项治理工作的有关进程。
工信部网络安全管理局处长尚铁力表示,工信部2020年累计巡查4.8万余款App,专项检查了200余款App,加大了检查和公开曝光力度。公安部网络安全保卫局处长赵云霞表示,今年以来,公安部依托网民举报、巡查发现,依法处置了7000余款存在违法违规行为的App。
会上,App专项治理工作组组长程多福表示,今年工作组主要从标准规范制定、推动自动化检测工具、宣传教育三个方面展开工作。“因为现在市场上APP的量是百万级的,我们要推动自动化检测的工具作为今年的一个重点方向,下一步这一块会有比较大的亮点。”
新京报贝壳财经记者了解到,对于App在个人信息保护方面的安全性,除了制定标准、推动自动化检测工具进行检测外,进行安全认证也是一大途径。而2019年3月,市场监管总局和中央网信办发布了关于APP认证的公告,承担认证工作的是中国网络安全审查技术与认证中心。
中国网络安全审查技术与认证中心主任魏昊表示,2019年3月起,有25家企业的75款产品提出申请,28款产品被接受认证申请,涉及地图导航、网上购物等行业。“受理后的认证过程中,由于整改方面不合格,有10款产品终止认证过程,最后18款产品通过了认证。”
此外,App专项治理工作组还公布了在网络安全周活动期间发起的“App安全意识调查”问卷,问卷结果显示,近半数受访者会仔细阅读隐私政策,三成受访者只会大致阅览隐私政策,两成受访者不阅读隐私政策。有76.9%的受访者对App收集使用个人信息的来源、目的、方式、范围存在困扰或担心。
会上,App专项治理工作组还邀请各界代表就大众普遍关心的“追踪和画像的度在哪里”展开观点交锋。知名歌手、演员王源作为公众人物代表和青少年倡导者倡导App对于青少年上网行为应当“少一点追踪、多一点关怀”。21世纪报道系首席运营官虞伟、TalkingData CEO 崔晓波、梆梆安全CEO阚志刚也分别代表媒体、产业界和安全界分享了相关观点。
问题:公众人物和普通用户在App操作的动作都会被App追踪,你认为这样的行为是可以被接受的吗?
王源:作为公众人物确实会在很多情况下遭到追踪,包括线上也包括线下。线下的追踪可以主观感知到,但APP的追踪更加紧密,用户的任意一个操作都可能被记录甚至被汇总起来,在我不知道且未告知我的情况下,我觉得严格来说是侵犯隐私了,这还可能会带来电话骚扰、短信轰炸甚至个人账号安全的威胁。我可接受的追踪是在一定范围内用户可知的追踪。
问题:SDK很多时候就是在追踪用户的动作,形成用户画像,您如何看待收集信息度的把握?
崔晓波:首先以追踪个体为目的数据收集行为是不可取的,我们必须遵循法律。而收集数据的过程中有两个最重要的原则,一个是(目的)正当性,如果侵犯了比如王源同学的行踪就肯定不存在正当性;第二个是必要性,我们经常会看到有一些App做越权的收集,这也不可取。在应用方面应该遵循最小化的应用原则。
虞伟:想不被追踪应该是没有可能的,关键是不被追踪到什么程度。我认为要看公司的商业目的是怎样的,现在App操作的动作会被汇总,我觉得汇总行为要被严格限制,要依法依程序对App收集的信息进行汇总和分析。
阚志刚:从技术角度来讲,App汇总信息肯定是可以的,但是从另一个层面,目前越来越多的个人信息都在被做黑产的汇总,当黑产人员把这些信息汇总在一起的时候,有可能会得到比某一个商业公司更加全面的用户画像来进行追踪。这种行为是不可以的,如果用在正常的商业行为上,我作为个人可以接受,因为给我带来了很多便利性。
问题:现在人脸以及手机设备号成为了容易被追踪的特征,你怎么看?
王源:我也发现这两年人脸识别越来越普遍了,带来了很多便利,但是很多人脸识别的结果是面向大众的,应用场景并不是涉及公共安全的场景,现在很多摄像头都具备了这样的功能,几乎每一个人都会遇到被人脸识别的场景,但是每天遮上脸也不是办法。现在戴口罩都能被识别出来,在这种情况下,要通过人脸识别的方法追踪个人行为,对个人的隐私来说是有很大的影响,这种方式如果是大范围地应用于日常的话我不太赞成。
虞伟:无论是人脸还是手机设备号,这两个其实是一类性质,应该严格被限制,没有非特定的需要不应该进行收集,尤其是人脸。即使是在特定场景下,收集了人脸的信息,我们也要特别关注它保存多长期限会进行删除,比如说以前正常的摄像头也有一周或两个月自动删除的设置,此外,收集完的人脸数据不能再共享。
问题:目前商家会使用用户画像对人群进行分类,你是否知道你粉丝成员的大概画像?你怎么看待用户画像?
王源:说到粉丝,我经常会听到别人说妈妈粉、姐姐粉之类的,我觉得这就是给一些特定的粉丝人群画像。因为我不是相关的网络企业,所以我没有办法去特别准确地给我的粉丝画像,但我觉得画像就像是给粉丝贴标签,比如说你年纪大一点,已经结婚了有孩子就叫妈妈粉,或者你比我年纪大一点就叫姐姐粉。如果标签贴得适当的话,可以帮助朋友了解兴趣爱好,帮助商家了解需求。但我感觉现在的大数据画像好像已经超过了普通标签的概念,我生活中遇到过此类情形,就是刚刚聊到什么或者刚刚搜过什么,马上购物软件就会推送什么,刚开始用我还觉得挺方便的,但是到后来想想会觉得有一点后怕,即:这种画像的积累次数越多,会不会个人信息就暴露越多?会不会有一些个人信息会被恶意的人员去利用了?而软件不会因为你是青少年而对你减少画像。青少年在网络空间中相对是更脆弱的,更应得到保护。
问题:App会不会监听?可否从安全角度分析一下聊一个天马上就推送类似的东西这种情况?
阚志刚:监听不但包括对用户操作动作的监听,例如今天用了什么手机,什么时间用的,还包括对用户所看的浏览内容的监听,例如今天看了什么新闻、广告;而对说话或者通信、语音的监听则是非常之可怕,这被称作间谍软件。正当的企业对客户画像可以理解,但必须把画像的结果进行很强的保护。比如说我们四家企业分别对一个用户进行画像,都要有义务跟责任把画像的数据保存好,而不是说四家企业一商量把画像进行汇总,这样的话就形成一个画像的叠加,最终在用户身上的标签就有可能有两千多个,甚至把用户身上的一些特点“画出来”,这非常之可怕。
问题:既然给用户画像、贴标签不可避免,能不能给用户一个权力去控制这个标签的颗粒度,甚至删除某些标签呢?你觉得怎样是合适的?
崔晓波:我觉得现在核心的问题是没有标准、不透明。很多互联网公司出于商业方面的考虑不愿公开标准,整个环节不透明,所以把画像开放给消费者或者个人去看不现实。为什么?因为同样的标签可能在不同的公司代表不同的含义。我觉得最有可能的还是以政府或者行业协会为主导,对于某一类行业标签里的定义还得做一些分级或者分类的管理。此外,在应用环节还要进行监管,因为现在大数据杀熟很明显,打了标签之后会存在各种价格歧视,可能会出现各种各样的问题,需要监管部门进行管理。解决了上述问题后,才能谈把更多的控制权交还给消费者。
问题:对于青少年的标签控制,你有什么期待?
王源:我觉得青少年相对于成年人,对于网络世界还是缺乏一些判断和识别能力的,如果是明知道青少年是这样的情况还是去引诱他们上网,就是把用户标签纯粹作为利益最大化的工具,这不太好。现在也有很多App上线了青少年模式,避免对青少年进行大量的画像,这是很好的。我觉得App要对青少年上网少一点追踪多一点关怀,每一位青少年在上网的过程中也要在家长的指导下保护好自己的个人隐私,避免自己受到伤害。(新京报贝壳财经记者 罗亦丹)