【透视网络黑产系列之“个人信息安全”】
光明网记者 李政葳
“App个人信息举报”微信公众号上线以来,截止目前共收到15000条举报,“有的是帐号无法注销,有的是不给权限不让用,而举报最多的是有关通讯录问题。”在近日举办的中国互联网大会个人信息保护论坛上,12321网络不良与垃圾信息举报受理中心主任郝智超这样说。
最新数据显示,我国4G用户总数达12亿,占移动电话用户总数3/4以上,增值电信企业超7万家,互联网企业超500万家,移动应用程序在架数量超400万款。
如今,与移动互联网密切相关的精准诈骗层出不穷。“究竟是谁动了我的通讯录?”郝智超现场抛出的疑问,其实,也正是广大用户的疑问。
多数开发者理念:“有没有用,拿来再说”
之前,举报中心曾联合监测机构对月活数Top100移动应用进行摸底排查,发现有72款申请了通讯录读取权限,其中20款申请修改权限,52款为直读权限,但其中有20款即读又写。
“通讯录的问题,值得关注一下。”郝智超等对通讯录权限做了分析,并大致归结为五个问题:
一是申请权限。“72款申请读取权限,发现其中12款监测完所有功能,却找不到拿通讯录去干什么,20款申请修改权限,但其中11款也没找到修改通讯录什么。”郝智超表示,该问题明显暴露出开发者获取个人信息过于随意,“有没有用,先拿来再说”,几乎成了所有开发者的理念。
二是明文回传通讯录。郝智超说,虽然在Top100里没发现这一问题,但对其他的App监测发现,有17款存在明文回传通讯录,即“没有加密”。
三是不给通讯录权限就不让用,即“强制授权”。在Top100的App里也不存在该问题,但结合用户举报发现,有3款App当用户关闭通讯录权限时,应用也不能使用。“其中一款说一周内整改完成,一款说自动放弃、不再更新,应用商店自动下架,由于时间关系第三款还没有联系上”。
四是通讯录中写入自己App客服电话。郝智超说:“PC时代有些软件修改人们电脑主页、开机启动时,在收藏夹里把自己网址写进去,我们认为这是轻微流氓行为”。
五是未注明通讯录使用用途。“这是一个很明显的问题。”郝智超说,申请通讯录的72款App里有50款通过隐私协议能够看到,有22款通过通讯录可联系好友,但里面根本没说拿通讯录干什么。
多半网贷利用通讯录违规催收
“通讯录是否属于个人隐私”,虽然从表面上看这是法律问题,但从12312举报中心情况看,用户通讯录被泄露后果不堪设想。
郝智超说,曾接到过很多“换号”垃圾短信投诉,开始以为是用户私人之间发短信告知,后来才发现这是诈骗短信。“不法分子拿到A的通讯录后,冒充A给B发短信,并且知道A和B的关系,成功率很高。甚至还有用户提供线索说:趁他坐飞机期间,冒充他发了几百条信息,结果几十个人回电话确认,发现确实原号码是关机状态,结果朋友们就信了。”
郝智超坦言,通讯录已经成为暴力催收、敲诈勒索等行为的源头,多半网贷利用通讯录进行违规催收。“这种诈骗成功情况很多,几乎每天都用户联系说‘被骗了’。其中,三四线城市的中小学男性教师、医生、公务员等是高发人群。”
“2018年以来共检测89家应用商店23万款应用软件,下架了224款违规应用软件,抽查251项互联网服务个人信息保护情况,责令57家违规企业整改并公开曝光。”工信部信息通信管理局副局长鲁春丛针对个人信息泄露,总结了三个特点:一是移动互联网成为个人信息安全保护主阵地;二是类似社交、出行、购物、理财、医疗等与生活密切相关的服务领域,更容易引发个人信息权益受害;三是不法分子组织更加周密、技术手段更隐秘、利益规模更庞大。
根据评议结果采取曝光、下架等措施
“要畅通用户维权渠道,电信用户申诉机构、不良信息举报中心等及时受理,处理用户个人信息保护方面的申诉举报,指导互联网信息服务投诉平台用户提供绿色的投诉渠道。”鲁春丛说。
记者了解到,在涉及“App个人信息举报”中,App超范围收集个人信息、强制捆绑其他功能、过度索要系统权限、隐私政策不合理等,都受理范围。
郝智超介绍,2019年初,他们组织开展两次专家评审会,监管部门、科研部门、法律服务机构、公众监督机构、电信用户委员会代表参加,就用户举报并通过技术监测发现的个人信息问题,结合相关互联网企业意见进行集体评议,会后曝光了近30款疑似存在过度收集和未经同意使用个人信息的App,对部分APP通过应用商店自律机制进行下架处理。
“针对通讯录问题将继续联系相关企业排查问题,听取企业意见说明、敦促整改,必要时召开包含相关企业人员在内的专家评议会,根据评议结果采取曝光下架等后续处置措施。”郝智超说。
如今,数据安全和个人信息保护成为业界两大热词。郝智超说,要配合主管部门保障数据安全:一是解决“该不该拿、怎么拿、拿得对不对”的问题,二是拿来之后“存没存好、保管没保管好、有没有出问题”。“会配合工信部开展数据安全和个人信息事件的监测跟踪,建立网络数据违纪违规行为举报平台等”。
论坛期间,中国互联网协会联合业界,制定了《用户个人信息收集使用自律公约》,当天28家到场企业自愿签署公约。中国互联网协会副理事长黄澄清表示,在企业对用户个人信息收集使用主动告知、账号注销、匿名化处理以及数据共享、交易、承接等方面进行规范。
“针对通讯录问题研究透后,可根据情况实时推出针对开发者、运营者安全行动指引。”郝智超还提到,对于举报中心来说,排在第一位的是民生属性。即保障用户的知情权和选择权,一揽子授权不行,不给权限不让用也不行,“用户不爽的地方,就是我们的关注点”。