名词解释
网络黑产,指以互联网为媒介、以网络技术为主要手段,给计算机信息安全和网络空间秩序,甚至、社会政治稳定带来潜在威胁或重大安全隐患的非法行为。相较于此,灰产则常常游走于法律边缘的灰色地带,因此比黑产更加难以界定,治理与打击力度也更加难以把握。
移动互联网时代,隐私问题已成为悬在消费者头上的一把达摩克利斯之剑。
日前,APP专项治理工作组发布了一份个人信息专项治理公告,共有40款APP在个人信息收集使用方面存在问题,且未公开有效方式。而此前几日,另有30款APP同样因隐私问题被该工作组通报,并被要求限期整改。
国际金融报记者梳理发现,这70款APP涉及金融、交通、快递、掌上学习以及互联网医疗等领域,尽管多家相关企业回复记者称,“目前正在整改”但有业内人士分析认为,由于利益链条千丝万缕,隐私安全问题或沉疴难起。
记者调查发现,在收集用户信息上,已然形成了贩卖数据的黑灰产业链,一些厂商甚至与黑灰产业团伙“合谋”寻求最大化的利益空间。
据一名接近黑灰产业链的知情人士透露,整个市场每年因售卖数据信息获利超过千亿元。而灰产的主要手段就是瞄准了厂商跑量安装APP的市场需求,“一个安装量的价格从几毛钱到几元不等”。
一周70款APP被通报
7月17日,韵达快递和上海二三四五网络科技有限公司相关负责人均回应《国际金融报》记者:“目前,已经针对相应问题进行整改。”
此前,中国银行手机银行、二三四五、韵达快递、北京交通等30款APP就因违反《网络安全法》关于收集使用个人信息的规定,被通报整改。
其中,中国银行手机银行、春雨医生、北京预约挂号、北京交通等10款APP违反《网络安全法》第四十一条“公开使用收集个人信息规则”的要求,无隐私政策;天天酷跑、探探、猎豹安全、人人、全能相机等20款APP要求用户一次性同意开启多个可收集个人信息权限,不同意则无法安装使用,同样违反了《网络安全法》的相关要求。
中国政法大学知识产权中心特约研究员、北京志霖律师事务所副主任赵占领在接受《国际金融报》记者采访时表示,无隐私政策是指APP没有制定和颁布收集、使用用户个人隐私的政策,这本身就是违法的。强制获取权限的做法违反了网络安全法的规定,收集、使用用户个人信息应当经过用户的同意,而且应当遵循必要性原则,所收集的个人信息与所的产品功能或服务有一定关联性。如果这个产品本身的基本功能并不需要这些个人信息,那就属于违法行为。
“痛点”普遍存在
7月16日,在APP专项治理工作组通报的40款APP中,与互联网金融相关的APP总数达16个,占40%。公开数据显示,金融借贷类APP收集用户通讯录等,占比约为31.2%,这一收集范围遭到业内的一片质疑。
移动互联网与应用安全国家工程实验室高级安全研究员朱易翔对《国际金融报》记者表示,金融类APP理论上不需要收集用户通讯录等信息,尤其是近年来,金融借贷类APP上逾期现象频发,导致欠款者的家人朋友被疯狂催债的案例屡见不鲜,读取通讯录信息应该更加谨慎。
朱易翔分析认为,正常情况下对于外卖APP而言,手机设备上的照片、媒体内容和文件是不必要的信息,但目前这类收集颇为普遍。“这也是一个模糊地带,应用APP可以在技术上一个小的功能,从而让数据搜集变得合理。”
央视“3·15晚会”也曾提到这一“痛点”即大部分手机上的APP在使用前,都必须强迫用户同意自己的定位、麦克风、照相机等权限可以被APP使用。除此之外,部分APP还存在窃取个人隐私等有害行为。
不过,相关的整治行动也早已展开。6月1日,全国信息安全标准化技术委员会发布《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》下称《规范》首次明确,不应强制读取用户的通讯录。
拿金融借贷类APP来说,根据《规范》要求,这类APP所收集的必要信息有手机号码、信息、身份信息、银行账户信息、个人征信信息、紧急人信息、借贷交易记录等七项。其中“紧急人信息”仅限两人,用于逾期不还情况下进行催款,且应允许手动输入,而非强制读取通讯录。
赵占领表示,违规收集个人用户信息主要包括五个方面:没有公示、制定用户个人信息保护的相关规则;收集用户信息范围过大,超出必要的范围;没有经过用户的同意、收集用户的信息;过度索权、强制授权;用户的个人信息没有注销的途径和方式。
重庆圣世律师事务所律师陈翰笙对《国际金融报》记者称,APP通过此种方式收集用户信息,应当遵循合法、正当、必要原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。如果用户感到被侵权时,可以按照《侵权法》提起侵权诉讼,要求停止侵害、赔偿损失、消除影响。
已成行业潜规则?
对于国内市场APP的这种信息收集偏好,朱易翔称,主要因为从互联网发展到移动互联网期间,国家政策法规对信息安全保护的缺位,给市场留下了空白。
互联网专家、天使投资人郭涛对《国际金融报》记者表示,大数据时代,数据是一切商业模式的基石,众多不法互联网企业为自身商业利益大肆收集、争抢用户个人信息,度收集用户数据对用户进行精准画像,挖掘用户潜在需求,并相关数据类产品或直接向第三方开放用相关数据来牟利。
一名信息安全公司的从业人员陈华(化名)告诉记者,这个问题其实已经存在很久,但一直无法得到根本性解决,核心还在于利益驱使。对于企业来说,只要收集信息能够带来价值,这种动力就会始终存在,尤其是在国内法律缺位的情况下。
“另一方面,目前在国内,安卓手机在手机市场占据主流。而安卓相较于苹果iOS,更加开放,更具开源性。它在研发、发布APP时,无法做到像iOS那样有严格的审核、把关。比如,在iOS内,如果一款APP强制抓取超出本服务的用户个人信息,这类APP就无法发布、上线。”陈华表示,即便是安卓本身,国内外也存在差异。在国内,很多厂商都推出了自己的应用市场,对安卓进行了一定的改造。安卓市场缺乏统一性,又没有相应的审核机制,这是造成信息安全问题长期存在的缘由。
牟利上千亿元
值得注意的是,部分“越权”获取用户信息,已衍生出规模庞大的黑灰产业链。据中国互联网协会此前发布的报告,每年我国网民因诈骗信息、个人信息泄露等遭受的经济损失近千亿元。
一名接近黑灰产业链的知情人士李晨(化名)则对《国际金融报》记者透露:“就整个市场而言,估计远超一千亿。”
据李晨介绍,黑灰产业组织往往盯紧热门APP,通过“爬虫”的方式来获取APP Top100或Top 50,对这些APP进行“反编译”计算机术语,是指对他人软件的目标程序进行逆向研究分析,以推导出他人软件产品的源代码并更改相应源代码。随后,将APP投放到大量的应用市场来获取利益。
“灰产的牟利方式是推动APP提升安装量,具体情况按照客户源而有所不同,一般情况下,一个海外安装量平均下来能获利1-2元,一个国内客户平均获利3-5角。”李晨称。
据其介绍,灰产之所以能够这样操作,是因为目前国内手机市场的大环境为其了极大的便利。一方面,国内各类应用市场层出不穷,具有较大影响力的就有应用宝、360手机助手、百度手机助手、华为应用市场、小米应用商店、vivo应用商店、阿里分发市场等,不知名的应用市场更是数以百计。这些门类多样的应用市场,为灰产投放“改装后”的APP了广阔的空间。
“很多APP的广告推广是以行业内的广告联盟来完成,真正依靠自己企业推广的只占少部分。”李晨介绍称,这一比例大约为。由此便形成了一条APP广告推广链条,即广告主(APP企业方)-行业中介广告联盟-二级分销市场-分销市场,层层转利。
“但在这一过程中,用户信息的泄漏却是多方位的,既有可能来自于APP者内部,也有可能发生在黑灰产组织进行‘反编译’的过程中。”李晨称。
治理需多管齐下
对于隐私安全这一沉疴积弊的治理,业界普遍认为是一项性工程,需要“多管齐下”
郭涛表示,前几年,立法相对滞后,非法收集和买卖用户数据的现象非常泛滥,自2015年刑法修正案增加非法获取公民个人信息罪后,买卖用户数据现象有了较大的收敛;自2017年网络安全法实施后,企业过度收集用户数据现象也有所改善。目前,很多企业都是以打一些擦边球的形式来收集。
郭涛认为,《网络安全法》的颁布,对于整个互联网良性健康发展起到了重要作用,有关部门应该强化,简化举报流程,对过度收集、使用用户信息的APP进行严肃处理。
朱易翔则表示,立法行政手段是其一,市场或许才是更为行之有效的办法。“如果哪一天,那种强制收集用户信息、拥有霸王条款的APP,在市场上不被接受了,那么良性规范化的APP才有可能被重视,这类APP也才会越来越多。当然,这需要企业具备一定的社会,也需要用户具备主动筛选的意识,同时也需要法律、行政政策的引导。这会是一个相对漫长的过程。”
“大数据的发展本身就依赖于数据的合理使用,而且消费者也会感到很多困扰,例如,弄不清哪些时候需要开启权限,哪些时候不需要开启,所以应该给企业一定的收集信息的自主性。此外,在给予自主性的同时,要更加严格地去审看企业对信息的收集和使用流程,是否有数据伦理,或者对数据后续的处理和利用是否规范、是否合规,这才是的重点。”丁晓东表示。
本文相关词条概念解析:
收集
【释义】:①搜集;罗致:搜罗宏富|搜罗人才。②也作“搜逻”。巡逻搜索:搜罗一月余,不战师自罢|我归彼出疲奔命,备北惊南厌搜逻。
用户
用户,广泛的含义是使用者,即使用你的产品或服务的一方。一般是指城镇、农村接受社会某种有偿服务的客户。如:供水、宽带、通信、供暖、煤气等客户。用户分为电脑登录用户,每一个电脑登陆用户都是采用个人的设置。用户:某一种技术、产品、服务的使用者,使用某种产品的人。用户:在计算机里还指人、帐号、进程等。信息通信技术的发展使得创新不再是科学家和技术研发人员的专利,用户对与科技创新的重要性被日益认识,用户参与的创新2.0(面向知识社会的下一代创新)模式正在逐步显现,用户需求、用户参与、以用户为中心被认为是新条件下创新的重要特征,用户成为创新2.0的关键词,用户体验也被认为是知识社会环境下创新2.0模式的核心。