数据和隐私安全问题:无法根治
根据雅虎财经的一项调查显示,在经过一年动荡的争议以及公众对此评价,Facebook(又称Meta)被冠以年度最差公司。接受调查的人表达了对Facebook的不满,包括但不限于对审查制度的担忧,关于Instagram对心理健康影响的报道,以及隐私。
主要还是隐私,扎克伯格甚至说,Facebook在今年最后一个季度增长乏力,部分原因在于ATT(应用跟踪透明化)。
Facebook的隐私安全问题从2018年那场数据门事件一直到现在仍然有“余震”,回顾一下Facebook关于泄露用户数据事件的历程:
2018年3月17日,媒体曝光Facebook上超5000万用户信息在用户不知情的情况下,被一家服务特朗普竞选团队的数据公司“剑桥分析”获取并违规滥用。而Facebook在很多年前就意识到了将自身用户数据用于研究目的的第三方应用的存在;
2018年3月28日,Facebook宣布今后6个月终止与多家大数据企业合作(包括安客诚、益百利、甲骨文云数据和WPP集团),以更好地保护用户隐私;
2018年4月5日,Facebook首席官在官网发布声明目前共有8700位用户的个人资料泄露给了剑桥分析公司。
在用户信息泄露之后,一些存档的数据或者云端没更改输出源导致泄露数据仍然会上涨,而且数据泄露对个人的危害也是十分严重——会被假冒个人消费、违法犯罪、施以诈骗等。除了Facebook,前段时间国内知名出行APP滴滴也因为存在严重违法违规收集使用个人信息问题被下架,但我们使用的APP大部分会要求获取用户权限(通讯录、位置、存储等)才能使用。
Z时代中使用的5G、云计算、人工智能等技术和应用都以海量数据为基础打造科技生态,数据量也正呈爆发式增长。据IDC预测,2025年全球数据量将高175ZB。其中,中国数据量增速最为迅猛,预计2025年将增至48.6ZB,占全球数据圈的27.8%,平均每年的增长速度比全球快3%,中国将成为全球最大的数据圈。
而不断出现的数据安全问题引起了大家的关注,近些年数据安全的问题也越来越受重视。
个人信息怎么泄露的?
我们日常在使用应用程序时,会出现请求获取权限使用的情况,比如导航类APP会要求获取用户的位置信息以定位附近的地图;摄影类APP会要求获取相机相册信息以使用拍摄功能等。而大部分这些信息被应用程序获取之后,会暂存或一直存在对应APP的一个云端,以便调用。所以个人信息数据通常是主动或被动的方式泄露出去的。
现在各种新应用、新程序层出不穷,使用的基本都会要求获取用户权限,而越来越多的移动应用也引起了质量参差不齐、破解篡改现象普遍、分销渠道混乱等问题。
为什么用户信息这么容易泄露?
1、目前应用开发的门槛较低。不同于传统软件应用,移动应用或者小程序只需要少数人力和时间就能完成开发和投入市场运营,因此现在仍然有许多中小企业和个人开发者涌入市场。但产品质量参差不齐,每年入市的未经第三方权威部门进行安全检测的应用软件高达上万款,因此用户信息泄露和安全保护问题频频发生。
2、正版软件被大量破解或篡改。国内用户大部分会在正版产品出现之后寻求“免费破解版”,破解或篡改后夹带恶意代码的软件也能正常安装。因此根据这个市场需求就出现了许多“免费版”、“破解版”、“通关版”的应用,部分公司为了扩大利润空间甚至发布夹带病毒木马、广告吸费、后门遥控、隐私窃取等恶意代码的第三方版本应用,严重危害用户权益。
3、大型企业的数据运维和存储不当。一些大型公司和上市企业在进行数据管理和数据安全时没有进行安全监测和漏洞筛查,导致获取的用户信息容易被黑客盗取。且部分强制获取的用户信息,并没有得到加密保护,存在一些安全系数不高的文件或者云端中,没有保障用户隐私安全。
政策护卫信息安全
不断爆出的用户隐私安全问题,也引起了国家政策的注意。据不完全统计,近5年来国家、地方省市以及各行业监管部门关于数据安全、网络安全已至少颁布52部相关法律法规。
2015年颁布的《国家安全法》将数据安全纳入国家安全的范畴。2016年发布,于2017年正式实施的《网络安全法》引入了网络数据的概念。围绕基本法制定的配套法规制度与相关国家规定也在加快制定出台,包括数据跨境流动、个人信息保护、新技术新应用数据安全等多个方面,部分具体法律法规如下图。
资料来源:零壹智库、数据安全治理白皮书
注:该表只列举了部分法律法规,列举顺序为数据安全相关度优先、重要性优先、时间优先的原则列举。
除了政策管控数据安全,同时也要求一些应用程序不得强制获取用户信息,“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则,收集与其提供的服务无关的个人信息”皆属于违规收集用户信息行为。
同时,国家也在监测移动应用是否存在不合规行为。但目前,国家计算机病毒应急处理中心近期通过互联网监测发现17款移动应用存在隐私不合规行为,违反网络安全法、个人信息保护法相关规定,涉嫌超范围采集个人隐私信息。其中包括哈啰出行、58同城、和讯财道APP等。
我们在不断解决用户数据的控制权问题、第三方对用户数据的使用问题、用户数据的可携带权问题,但数据安全问题依旧无法根治。目前《规范》只是“技术标准”,法律效力不足,要真正从技术层面,在技术可行且不影响终端和服务正常的情况下,App 应优先在用户终端中存储、使用所收集的个人信息。以实现服务所必需的最低合理频率向后台服务器发送个人信息。
以后,移动应用不能过度收集用户信息,个人隐私也不再裸奔。
参考来源:
零壹财经:5年政策梳理:数据安全的监管路径与体系建设