Categories
程式開發

從Android 10的隱私保護,我們聊聊隱私安全這件事


從Android 10的隱私保護,我們聊聊隱私安全這件事 1

最近,將手機操作系統升級到Android 10後,筆者發現了一些App的“流氓”行為。

一個是谷歌。筆者愛逛Google Play,專門蒐集好玩的遊戲。但是,下載遊戲前,筆者會打開遊戲視頻,看看效果。點擊視頻,通過手機瀏覽器打開,進入Youtube官網游戲播放頁面。一旦開始播放視頻,頁面就會出現提醒“https://m.youtube.com/請求使用您的攝像頭”。

我只是看一支遊戲視頻,您幹嘛要調用我的攝像頭?如果攝像頭被調用,那麼你的臉或其他信息可能被收集。基本上每次請求,我都會拒絕。但是,回想起以前,這種行為或許在“背地裡”進行,那麼就無需權限許可。如果真是這樣,想想可怕…

從Android 10的隱私保護,我們聊聊隱私安全這件事 2

左側谷歌,右側百度

另一個是百度。不久前,筆者在手機瀏覽器上搜索關鍵詞,頁面提醒“https://m.baidu.com/需要獲取您的地理位置”,下方有“拒絕”和“許可”兩個選項。

我又想不通,搜索一個關鍵詞,還要“獲取地理位置信息”嗎?

一直以來,Android平台上的權限管理經常被“詬病”,“權限流氓”非常活躍,比如,申請一些與自身功能不相干的權限、借助權限肆意調用系統硬件資源(像後台啟動相機或麥克風),甚至不給權限就拒絕提供服務…

但是,2019年,Android 10的發布將讓這種現象得到改觀。

據悉,Android 10的一大亮點就是主打隱私保護,這主要體現在兩個方面:

一是設備標識的改進。Android 10去掉IMEI。 IMEI,中文名叫國際移動設備識別碼,即通常所說的手機序列號,相當於移動電話的“身份證”。在移動電話網絡中,通過IMEI可以識別每一部獨立的手機。

想想,IMEI如此重要,因此也成為無數App千方百計想獲取的東西。

一直以來,很多國產App啟動時,強求電話權限才讓啟動。簡單說,不給電話權限不讓用,這簡直是蠻橫的“流氓行為”。

在Android 10中,無論是新應用還是老應用都無法通過惡名昭著的電話權限來獲取設備標識信息。通過限制設備標識符的獲取,Android 10則可以有效保護設備ID和SIM卡ID。

因此,針對Android 10開發的新應用,無法獲取設備標識。而拒絕適配Android 10的舊應用,如果依舊嘗試獲取電話權限,獲得的設備標識數值也只是空值null

二是位置信息保護升級。在Android 10中,系統新增了“位置信息後台訪問權限”,這是一種更精細的位置權限授予機制。

從Android 10的隱私保護,我們聊聊隱私安全這件事 3

例如,你打開天氣應用,在彈出位置信息彈窗時,你有三種選擇:

1.#拒絕;

2.#始終允許;

3.#僅在應用使用過程中允許。

一般而言,最恰當的選擇是“僅在應用使用過程中允許”,這樣既可保護你的隱私信息,又能滿足當前需求。每個人都不想“我什麼都沒幹,你卻在收集我的位置信息”。

這種粒度更細的位置權限授予方式,不僅給用戶在位置信息授權上有更大的自由,而且還能從一定程度上遏制後台定位造成的待機耗電問題。

無疑,Android 10為用戶提供了更好的隱私安全保護。但是,從更大的背景看,我們現在是該認真對待網民隱私安全。

根據中國互聯網絡信息中心(CNNIC)統計數據顯示,截至2019年6月,我國手機網民規模已達8.47億,網民通過手機接入互聯網的比例高達99.1%。

隨著移動互聯網的發展、智能手機的不斷普及,移動互聯網應用程序(App)得到廣泛應用。據工信部統計數據顯示,2018年,我國市場上監測到的App總量達到449萬款,第三方應用商店分發累計數量超過1.8萬億次。

從Android 10的隱私保護,我們聊聊隱私安全這件事 4

移動互聯網服務便捷、即時、普惠的特點在App得到充分體現,部分App已經成為廣大網民生活中的“必需品”。而App成為線上線下數據交彙的重要入口,全天候參與用戶生產生活,收集大量個人信息,安全問題不容忽視。

事實上,2019年,筆者觀察到的是:一方面,互聯網網民對隱私安全的意識不斷提高;另一方面,則是政府和監管部門的“強監管”和“嚴要求”。在這雙重因素的驅動下,個人隱私保護正在進入新階段。

在這個新階段,很多互聯網企業因違法違規收集個人信息被監管部門點名批評和曝光。

今年7月,廣東省公安機關持續開展2019年第二季度超範圍收集用戶信息App清理整治工作,共監測發現1048款App存在超範圍收集用戶信息。

其中,“酷狗音樂”、“藝龍旅行”、“語文100分”等42款App,存在超範圍讀取用戶通話記錄、短信或彩信,收集用戶通訊錄、用戶設備已知賬號,超權限使用用戶設備麥克風等安全問題。

而最近鬧得沸沸揚揚的考拉徵信則因侵犯公民個人信息被查。考拉徵信違規出賣查詢接口,並非法緩存公民個人身份信息,供下游公司查詢牟利。

根據警方調查,考拉徵信涉嫌非法提供身份證返照查詢9800多萬次,獲利3800萬元。

由此可見,互聯網網民的個人信息,被非法收集和利用,已經成為部分企業的牟利工具。

如果從更細粒度看,個人信息的六大環節中,包括識別、追踪、畫像、推薦、決策和共享,每個環節都會存在安全問題。

識別:2019年315晚會上,央視曝光“探針盒子”私自收集個人隱私;

追踪:美團、餓了麼“竊聽門”事件

決策:大數據殺熟

同樣,針對個人隱私信息治理,監管部門則在2019年“重拳出擊”。

2019年1月25日,中央網信辦、工信部、公安部及市場監管總局四部門聯合發布了《關於開展App違法違規收集使用個人信息專項治理的公告》,預示著我國在APP隱私層面的治理進入了一個新的高度。

11月4日,11月4日下午,工業和信息化部信息通信管理局組織召開App侵害用戶權益行為專項整治工作啟動部署會,將重點對違規收集用戶個人信息、違規使用用戶個人信息、不合理索取用戶權限、為用戶賬戶註銷設置障礙開展規範整治工作。

當然,更重要的是要有相應的法律法規來保障。在這方面,歐盟早已實施《GDPR》(通用數據保護條例),成為個人數據保護的“先行者”。這部法律不僅對個人數據賦予極大的保護,而且對違法企業進行嚴懲。

2019年7月8日,英國信息監管局發表聲明說,英國航空公司因違反《GDPR》被罰1.8339億英鎊(約合15.8億元人民幣)。

而在美國最受關注的則是2018年加州消費者隱私法案(《CCPA》)。它旨在充分保護加利福尼亞州消費者的隱私權,提升個人信息安全水平以達到充分保護隱私權的目的。

《CCPA》給予消費者五項重要權利:

1.有權知曉所收集個人信息的種類;

2.有權知曉已被收集的信息是否被披露及出售,以及披露和出售的對象;

3.有權拒絕出售個人信息;

4.有權訪問他們的個人信息;

5.即使行使上述權利,也有享有平等地被提供服務和價格的權利。

據悉,《CCPA》將於2020年1月1日正式生效。加州不僅是矽谷所在地,匯集著谷歌、Facebook、惠普、英特爾、蘋果、思科、英偉達、甲骨文和特斯拉等科技大公司,而且對全美、乃至全球經濟的影響非常大。因此,《CCPA》的實行也將帶來巨大的影響。

在國內,針對個人隱私保護的法律法規也在不斷出台中,比如正在製定過程中的《個人信息保護法》和《數據安全法》

記得,之前有一次看新聞,美國有家公司將一個人的信息定價為3000美元。而在國內,或許還沒這麼高。當然,我們先不管這個價格是否合理。重要的是,對每個人而言,你的個人信息(包括隱私)非常重要。

在個人隱私信息方面,筆者是個堅定地“保守主義者”。既然你無法知道別人或組織機構收集你的個人隱私信息用來幹什麼,為什麼不謹慎一點呢?

參考資料:

Android 10 裡有哪些「用了就回不去」的好功能?