随着移动互联网的发展,人们的衣食住行都离不开各种各样的APP。近日,工业和信息化部针对APP超范围、高频次索取权限,非服务场景所必需收集用户个人信息,欺骗误导用户下载等违规行为进行了检查,并对未按要求完成整改的APP进行了公开通报。

对于用户个人而言,不良APP收集的信息更便于诈骗分子实施精准诈骗,从而侵害个人财产安全,中国人民大学信息资源管理学院副教授朝乐门在接受人民网财经采访时提示,大家尤其要重视个人生物特征信息的保护,如人脸、指纹和DNA等,这些信息一般都是唯一且不变的,一旦被不法分子过度采集和滥用将会产生很大隐患。

不良APP到底如何盗取个人信息?

APP在丰富大家生活的同时,也给个人信息安全带来了威胁和风险。很多网友提出疑问,这些不良APP到底是怎么侵害个人信息安全的?

对此,朝乐门表示,不良APP通过采集个人信息,之后经过转卖或直接转交给算法,由算法给用户“贴标签”或“预测用户行为”,进而分析结果,以达到不良商业目的。

“部分APP在申请系统权限时未告知申请目的或告知方式不明确,甚至存在强制收集信息的情况。”朝乐门说,很多APP惯用的套路是“不授权就不给用”,用户不授权则无法正常进入APP或无法正常使用该功能,或者存在越界获取权限问题。

一些情况下用户会被要求提供个人信息或系统权限,但这些权限实际上和用户使用此款APP的功能并不相关,甚至存在用户不想使用时也无法正常卸载的状况。朝乐门举例说,用户在打开APP使用到一些功能时,部分APP强制收集的个人信息或系统权限不是其正常运行或实现相关功能必须要用到的,比如影音类APP强制索要位置权限,游戏类APP读取联系人权限等。

针对部分APP侵害用户个人信息的具体场景,中国人民公安大学侦察学院副教授王晓伟进一步解释道,有些APP在未提供实际功能的情况下,仍声明了相关敏感权限,或者超出了现有功能索取非必要权限。有些APP则是在使用低敏感度信息或者低限度权限就能够实现相关功能的情况下,仍然索要高敏感度信息、高限度权限,或者在使用部分信息就能实现其功能的情况下,却收集了全部信息或高频收集信息,甚至有的还会收集其功能必须的信息以外的其他场景信息。

怎么让个人信息不再“裸奔”?

“当机器在‘计算’你的同时,用户的个人信息就相当于在被动‘裸奔’。”朝乐门举例说,如果用户被机器贴上的标签是“高收入/20-30岁/已婚/无房”,那么该用户接到的电话、看到的广告、浏览到的新闻以及刷到的视频等很可能都与买房子相关。用户被这些APP采集到的信息越多,机器“计算”变得越准,背后的隐患越大。

如何防止个人信息泄露?王晓伟建议,相关部门要不断完善法律法规,进一步明确APP收集使用个人信息的标准和要求,加强对个人信息的立法保护;要加大教育宣传,使APP运营者、应用商店等责任主体明确自己的主体责任,使公众了解自己的正当权益;加强专项检查和治理,加强对APP上架、应用的审核;加大处罚力度,对发现的违规违法行为,尤其是在规定时间内整改不到位的,采取严厉的处罚措施。

对于用户个人来说,要增强自己的防范意识。王晓伟提醒,大家要绷紧个人信息保护这根弦,不要下载和使用非正规的APP,不要在来源不明的APP上填写个人信息,不授权非正规APP获取地理位置、读取手机内存、通讯录等敏感信息权限,以免泄露个人信息。

“大家还要养成个人信息整理习惯,就像刷牙洗脸一样,定期检测手机上安装过的APP及其版本的安全性,清点曾授权过的对摄像头、麦克风、通讯录、相册、银行账户等信息等的访问权限。”朝乐门说。

从技术角度来看,朝乐门认为,数据捕获或输入端的技术控制尤为重要,当个人信息被采集到设备时,就需要引入数据水印、不可复制、不可篡改、可溯源、可跟踪和可审计的技术,这在研究中称之为“数据连续性”。

个人信息受到侵犯时该怎么办?

“当用户发现APP存在违规收集使用个人信息行为,或者自己的信息被泄漏和非法使用,比如在网购后接到了冒充网店客服的诈骗电话,可以向公安、市场监管、消费者协会、互联网管理等部门进行投诉和举报。”王晓伟说,如果用户因此遭受了经济损失,要及时向公安机关报案。

在个人信息受到侵犯时,很多人担心维权成本高、举证困难等问题。对此,朝乐门表示,我国在个人信息保护方面支持“举证责任倒置”原则,由涉嫌侵权方承担举证责任,个人不需要提供证据。

《中华人民共和国个人信息保护法》自2021年11月1日起施行,其中第六十九条明确规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。

最后,王晓伟提醒大家记得下载“国家反诈中心APP”,这是国家层面为了防诈推出的官方APP,它能对诈骗行为进行提前预警,当用户收到可疑人员来电、短信,或可疑短信内容包含的网址、安装可疑APP应用时,它会智能预警,大大降低用户受骗的可能性。