1.000'den fazla uygulama kullanıcı bilgilerini aşırı topluyor, gizliliğinizi kim koruyacak?
Günümüzde akıllı telefonlar, insanların yemek yemesi, uyuması ve telefonlarıyla tuvalete gitmesi için yaşamlarının bir gereği haline geldi. İnsanlar akıllı telefon kullanıyor ve çeşitli uygulamalar indiriyor. Kolaylık sağlarken, bu uygulamalar insanların kişisel bilgi sızıntısı için bir "huni" haline geldi. Bu "huniden" kullanıcıların cep telefonu numaraları, adres defterleri, arama kayıtları, SMS kayıtları ve diğer özel bilgileri sızdırılmıştır.
Bu şirketler neden kişisel bilgilerinizi topluyor? "Paha biçilemez" olduğu için kişisel bilgilerinizin değerli olduğunu söylemek daha doğrudur. Hepimizin bildiği gibi, İnternet çağında veri en büyük değere sahiptir ve endüstriyel çağın "petrolü" ile karşılaştırılabilir. Sanayi çağında insanlar petrol elde etmek için madencilik yapmaya devam ediyor; İnternet çağında veri elde etmek için bazı şirketler çılgınca kullanıcı bilgilerini topluyor.
Sadece bir şeyler yemek istiyorsanız, telefonunuz tavsiyesini açacaktır; ne almak istediğinizi söyler söylemez, bir reklam çıkacaktır; ev satın alma uygulamasına göz attıktan hemen sonra, kredili kredi araması gelir ... Benzer bir karşılaşma varsa, o zaman Özel bilgileriniz sızdırılmış olabilir.
Son zamanlarda, Guangdong Eyaleti Kamu Güvenliği Bürosu, 2019'un ikinci çeyreğinin ötesinde kullanıcı bilgilerini toplayan uygulamaların temizliğini ve düzeltmesini gerçekleştirmeye devam etti. Toplam 1.048 uygulama izlendi ve kapsamın ötesinde kullanıcı bilgileri toplama davranışlarına sahip olduğu bulundu.
Kısacası, her gün 1.000'den fazla uygulama gizlice kişisel bilgilerinizi (telefonunuza yüklenen) topluyor. Telefon görüşmelerinizden, metin mesajlarınızdan, arama geçmişinizden konuma vb. Tüm bu bilgiler yukarıdaki uygulamalar tarafından toplanır ve düşünmek için sırtınızı ürpertir.
Bu 1048 uygulamadan 42'sinin, menzil dışındaki kullanıcı arama kayıtlarını, SMS veya MMS mesajlarını okuma, kullanıcı arama kayıtlarını toplama, kullanıcı cihazlarında bilinen hesaplar ve aşırı ayrıcalıklara sahip kullanıcı cihazı mikrofonlarını kullanma gibi olağanüstü güvenlik sorunları olduğu bildirildi.
Yazarın daha aşina olduğu bazı uygulamalara bir göz atalım (ayrıntılar için ekli tabloya bakın):
1. Elong Travel (sürüm 9.54.2)
Kullanıcı bilgilerinin kapsamlı bir şekilde toplanması - görev bilgilerini al, bu sabit API seviyesi 21'de kullanımdan kaldırılmıştır ve artık uygulanmaz; kullanıcı iletişim verilerini okuyun.
Kullanıcı sözleşmesi ve gizlilik politikası-bir kullanıcı sözleşmesi var, bir gizlilik politikası var, erişimi kolay, okunması kolay değil.
2. Kugou Music (Sürüm 9.2.2)
Kapsam okumalı kullanıcı takvim verilerinin ötesinde kullanıcı bilgilerini toplayın; kullanıcı iletişim verilerini okuyun
Kullanıcı sözleşmesi ve gizlilik politikası-bir kullanıcı sözleşmesi var, bir gizlilik politikası var, erişimi kolay, okunması kolay değil.
3. Çin Kalıcı Takvim (sürüm 7.5.2)
Kapsamın ötesinde kullanıcı bilgilerini toplayın - kullanıcının iletişim verilerini okuyun; uygulamanın ses kaydetmesine izin verin
Kullanıcı sözleşmesi ve gizlilik politikası-bir kullanıcı sözleşmesi var, bir gizlilik politikası var, erişimi kolay, okunması kolay değil.
4. China Resources Trust (sürüm 1.7.6)
Kapsam okumalı kullanıcı cihaz durumu ve kimliğinin ötesinde kullanıcı bilgilerini toplayın; kullanıcı metin mesajlarını okuyun; uygulamaların ses kaydetmesine izin verin; uygulamaların sistem ayarlarını okumasına veya yazmasına izin verin
Kullanıcı sözleşmesi ve gizlilik politikası-Giriş sayfasında bir kullanıcı sözleşmesi vardır ancak iş mantığı ile izinler arasındaki ilişki belirtilmemiştir.
5. Çok noktalı (sürüm 4.2.1)
Kapsamlı kullanıcı bilgileri toplama - kullanıcının bilgisi olmadan takvim etkinlikleri ekleme veya değiştirme ve konuklara e-posta gönderme; kullanıcı takvim etkinliklerini ve ayrıntılarını okuma; uygulamaların herhangi bir zamanda kayıt yapmak için mikrofonu kullanmasına izin verme; kullanıcının cihazındaki metin mesajlarını okuma İçerik; kullanıcı adres defterini değiştir.
Kullanıcı sözleşmesi ve gizlilik politikası-gizlilik politikası ve kullanıcı sözleşmesi yok
Bazı uygulamalar kişisel kullanıcı bilgilerini toplamak için başvurmuş olsa da, kullanıcı belirli izinleri açmayı kabul etmezse, uygulamanın yükleyemeyeceği veya çalıştıramayacağı izinlerin sayısı. Yazar bu uygulamaya "holiganlık" diyor.
"Kişisel Bilgilerin Toplanması ve Kullanılması için Yüz Yaygın Uygulama Uygulama İzin Listesi" ne göre, 10 maddeye bölünmüş 26 küçük cep telefonu bilgi izni vardır: takvim, arama geçmişi, kamera, adres defteri, konum, mikrofon, telefon, sensör, SMS ve depolama kategori.
Bunlar arasında, kişisel bilgilerin toplanmasıyla ilgili izinlerin sayısı.Yazar, sırasıyla 13 ve üzeri izinlere sahip mobil uygulamaların sayısını sayar (ayrıntılar için ekli tabloya bakın)
Ping An Pratt & Whitney (sürüm 6.0.0) -16 izin
Ping An Golden Butler (5.03.0) -15 izinler
360 Mobile Guard (8.1.0) -23 izinler
Tencent Mobile Manager (7.14.0) -22 izinleri
QQ Sync Assistant (6.9.11) -19 izinleri
Baidu Netdisk (9.6.8) -17 izinleri
WiFi Master Key (4.3.59) -13 izinleri
Dingding (4.6.25) -13 izinler
Tuniu Travel (10.6.0) -13 izinler
China Construction Bank (4.1.5) -13 yargı bölgesi
Industrial and Commercial Bank of China (4.1.0.4.0) -13 izinler
Unicom cep telefonu iş salonu (6.1) -18 izinler
China Mobile (5.3.0) -17 izinleri
Çok sayıda zil sesi (8.7.47.0) -14 izin
Araba Evi (9.10.5) -14 izinler
Siber Güvenlik Kanunun 41. maddesine göre: Kişisel bilgileri toplarken ve kullanırken, ağ operatörleri yasallık, adalet ve gereklilik ilkelerine uyacak, kuralları kamuya açık bir şekilde toplayacak ve kullanacak, bilgi toplama ve kullanım amacını, yöntemini ve kapsamını açıkça ifade edecek ve toplanan kişinin onayını alacaktır. Ağ operatörleri, sağladıkları hizmetlerle ilgili olmayan kişisel bilgileri toplamamalıdır.
Şirketler tarafından kişisel kullanıcı bilgilerinin toplanmasının ulusal standart tarafından önerilen "en azından yeterli kişisel bilgi" ilkesine uygun olması mantıklıdır. Birinin en az ve birinin yeterli olduğuna dikkat edin. Aslında, şirket kişisel kullanıcı bilgilerini en az değil, mümkün olduğu kadar topluyor. Bu aslında ulusal standarda aykırıdır.
Örneğin, yukarıda bahsedilen 360 Mobile Assistant ve Tencent Mobile Manager, toplamaya yönelik 20'den fazla kişisel bilgi iznine sahiptir ve neredeyse hepsi tüm mobil izinlerinizi almak ister. Bu tür bir sorun herkesin ilgisini hak ediyor.
Ulusal Bilgi Güvenliği Standardizasyon Teknik Komitesi tarafından yayınlanan "Ağ Güvenliği Uygulama Kılavuzu-Mobil İnternet Uygulamalarının Temel İşletme İşlevleri için Temel Bilgilerin Belirtilmesi" ne göre, mobil İnternet uygulamaları için kişisel bilgilerin toplanması 6 temel ilkeyi takip etmelidir:
1. Yetki ve sorumluluk oybirliği ilkesi Kişisel bilgi toplama, yasa ve yönetmeliklerin gerekliliklerine uygun olacak, kişisel bilgileri toplamak için yasa dışı yöntem ve kanalları kullanmayacak, yasa ve yönetmeliklerle yasaklanmış kişisel bilgileri toplamayacak, kullanıcı ile kişisel bilgi toplama ve kullanma sözleşmesini ihlal etmeyecek ve kişisel bilgi işleme faaliyetleri nedeniyle kişisel bilgileri ele almayacaktır. Bilgi sahibi, bilgi sahibinin meşru hak ve menfaatlerinden kaynaklanan zararlardan sorumlu olacaktır.
2. Açık amaç ilkesi Kişisel bilgilerin toplanmasının ve kullanılmasının amacını, yöntemini ve kapsamını ve toplanan kişisel bilgileri ve başvurulan izinlerin yasal, uygun, gerekli ve açık toplama ve kullanım amaçlarına ve iş işlevlerine sahip olması gerektiğini kullanıcılara açıkça belirtin.
3. Yeterince az ilkesi Sağlanan hizmetlerle ilgisi olmayan kişisel bilgileri toplamayın ve ilgisiz kişisel bilgileri toplama yetkisini açmak için başvurmayın. Yalnızca işletme işlevini yerine getirmek için gerekli olan minimum kişisel bilgi türünü ve miktarını toplayın ve kişisel bilgilerin otomatik olarak toplanma sıklığı, iş işlevinin gerçekten gerektirdiği sıklığı aşmaz.
4. İzin ilkesini seçin Kullanıcı, toplama ve kullanma kurallarının farkında olduktan ve açıkça kabul ettikten sonra, şebeke operatörü kişisel bilgileri toplayabilir. Kişisel bilgi öznelerini, hizmet kalitesinin iyileştirilmesi, kullanıcı deneyiminin iyileştirilmesi, hedeflenen push bilgileri ve yeni ürünler geliştirme gerekçesiyle varsayılan yetkilendirme, işlevsel gruplama vb. Şeklinde kişisel bilgilerin toplanmasını kabul etmeye zorlamayın veya yanlış yönlendirmeyin. Kişisel bilgi sahibi gerekli bilgiler dışındaki diğer bilgileri toplamayı reddettiği veya geri aldığı için temel iş işlevlerini sağlamayı reddetmeyin veya sık sık kullanıcı izni istemeyin.
5. Açıklık ve şeffaflık ilkesi Kişisel bilgilerin açık, belirli, basit ve erişilebilir bir şekilde toplanması ve kullanılmasıyla ilgili kuralları yayınlayın ve dış denetimi kabul edin.
6. Güvenlik ilkelerini sağlayın Kişisel bilgilerin toplanmasının güvenliğini sağlamak ve veri hırsızlığı, yasa dışı gezinme, toplama ve iletim sızıntıları gibi güvenlik risklerine karşı korumak için yeterli güvenlik teknolojisi ve yönetim önlemlerini benimseyin.
Aslında bu ilkelerin gerçekte pek de gözetilmediğini görüyoruz, özellikle en az yeterli ilke ve seçim anlaşması ilkesi. Pek çok uygulama, kişisel bilgilerle ilgili olabildiğince çok izin toplar ve uygulama yüklendiğinde, "gerekli bilgiler dışındaki diğer bilgileri toplama iznini reddettiğinde veya iptal ettiğinde", uygulama "temel iş işlevlerini sağlamayı reddeder veya sıklıkla kullanıcı izni ister".
Şirkete güvenemiyorsanız, mahremiyetinizi korumanız gerekir. Kişisel gizlilik bilgileriyle ilgili olarak yazar, bunu başka bir makalede ayrıntılı olarak tartışacaktır.
Ekle:
1.42 Kapsam dışında kullanıcı bilgileri toplayan uygulamaların listesi
2. Kişisel bilgilerin toplanması ve kullanılması için izin listesine yaygın olarak kullanılan yüzlerce uygulama başvurmaktadır
3. "Ağ Güvenliği Uygulama Kılavuzu-Mobil İnternet Uygulamalarının Temel İşletme İşlevleri için Temel Bilgi Spesifikasyonu (V1.0)" (indirme bağlantısı: www.tc260.org.cn )
