看3·15晚会,论个人信息安全
来源:张奥迪 发布日期:2022.07.05 点击量:
3月15日晚,一年一度的央视3·15晚会正式举行。今年的3·15晚会以“公平守正 安心消费”为主题,继续关注消费领域的违法侵权现象,倡导用诚信之力,筑牢消费之基,共同创造美好生活。
自2017年以来,央视3·15晚会每年都会曝光一些网络安全事件,今年晚会首设3·15信息安全实验室,重点关注网络信息安全和儿童互动产品的信息安全。
中央广播电视总台2022年3·15晚会总导演尹文在接受采访时表示,“3·15晚会不是为了打击谁,而是给一些厂家一个善意的提醒。你在做好产品的同时,别忘了你的软件背后的安全也很重要。信息安全在万物互联时代,比产品本身更重要,这是我们给大家的一个提醒。”
数字经济时代,信息数据已成为新型的生产要素和社会财富,发展数字经济和保障信息安全构成了建设数字中国、实践国家战略相互支撑的两个方面。同时,随着数字化的进一步发展,网络、数据与个人的连接越来越紧密,网络安全、信息安全对于人身安全的意义,也越来越重要。
本次3·15晚会首设的3·15信息安全实验室,通过场景实验的方式帮助大家发现那些生活中看不到、没注意、常忽略的信息安全隐患,堵上漏洞、防范风险,营造放心、安心的消费环境。3·15晚会对于信息安全、网络安全问题的重视程度正在逐年提升。
此次3·15晚会揭露的九类消费问题中,有三大案例与个人信息安全相关:
当下随着手机越来越智能化,手机网络就成了人们必不可少的选择。手机应用市场上,提供“免费WiFi连接”服务的应用程序也比比皆是。
3·15信息安全实验室测试人员从应用市场下载并安装了“WiFi破解精灵“后,发现里面罗列着一大排WiFi资源。然而点击多个“免费连接”,却显示破解失败,反而有两个伪装的广告链接中的应用程序自动安装到了手机里。
测试人员发现,秘密就隐藏在刚才点击过的“确认”和“打开”字样的弹窗里,这其实都是伪装的广告链接。一旦用户被诱导点击,没有任何提示,广告链接中的应用程序就会自动安装到手机里。
免费WiFi没连上,手机被莫名其妙的应用程序占满,且这一类应用程序还在后台收集包括地理位置在内的手机用户信息。比如,一款名叫雷达WiFi的应用程序,一天之内就可以收集这款测试手机的位置信息多达67899次。
比免费Wi-Fi更隐蔽的信息窃取方式——用手机浏览网页,没有留下任何联系方式,竟然会收到骚扰电话。这样的“精准”程度,不是一个大数据抓取就能解释的。在3·15的调查中,相关黑产公司介绍,这是因为每个人手机上对应着一个 MAC 号(手机识别码),只要手机浏览了网站就可以匹配到这个手机,这样的数据每条收费3 元。如果通过技术手段获取明文手机号,则每条收费 15 元。此外,经调查发现,像融营通信这样的黑产公司,还会专门为一些电销公司搭建外呼系统、提供外呼线路,通过融营通信外呼系统拨打骚扰电话,可以隐藏真正的主叫号码,防止被投诉,而其会向拨打骚扰电话的公司收取每分钟0.1元左右的通话费。相关人员表示,有很多电销公司在通过他们的系统拨打骚扰电话,只是话术进行了伪装。我国《个人信息保护法》第10条明确规定:任何组织、个人不得非法收集、使用、加工、传输他人个人信息;不得非法买卖、提供或者公开他人个人信息。手机之外,儿童智能手表也成了“行走的偷窥器”。3·15晚会,央视曝光了低配版的儿童智能手表安全问题。工程师对一款儿童智能手表测试后发现,低配儿童智能手表藏有隐患,恶意程序可轻松进入到孩子的智能手表中,孩子的位置、人脸图像、录音等个人信息被非法获取。
而问题的根源,就在于这款智能手表为了降低成本,选用了过于老旧的操作系统。这是一款没有任何权限管理要求的安卓4.4操作系统,距今已将近10年。而它的最新版本已经更新到了安卓12。只要App申请什么样的权限,安卓4.4操作系统就会给App什么样的权限,也不会有任何告知用户和得到用户授权同意的环节。各种App安装后,无需用户授权就可以拿走定位、通讯录、麦克风、摄像头等多种敏感权限。这也就意味着它们能轻易获取孩子的位置、人脸图像、录音等隐私信息。这些厂家选用低版本的操作系统是出于压低成本的考虑,但是它忽略了用户使用的安全性,给消费者带来了无穷的后患。3·15信息安全实验室也对其他低配版的儿童智能手表进行了测试。其中一款儿童智能手表使用的是安卓9的操作系统,看起来版本较新。安装App时,系统会弹窗提示是否给予某个权限。可是,一旦拒绝授权,App就会闪退,拒绝提供任何服务。如此,消费者只有两种选择,要么完全不用,要么就拿所有的权限去换取服务。
随着《个人信息保护法》于2021年11月1日正式施行,企业纷纷更新互联网平台应用“隐私政策”,以满足《个人信息保护法》提出的个人信息分类保护、自动化决策规则等新要求。这无疑是当务之急。但是,作为一部基础性法律,《个人信息保护法》对企业个人信息和数据保护提出的新要求远不止如此。《个人信息保护法》第五章对企业(个人信息处理者)义务的直接规定,大部分是有关个人信息管理体系、制度、机制的规定。企业应该意识到,落实《个人信息保护法》,更重要的是落实法律对企业数据合规体系的新规定;监管机构执法,也更看重企业数据合规体系建设和个人信息保护机制实际发挥作用情况。企业在落实《个人信息保护法》,进行个人信息保护与数据合规建设时应重视以下方面:任命个人信息保护负责人,建立健全个人信息保护组织机构等;制定落实《个人信息保护法》相关原则的制度、内部专项合规制度和操作规程、个人信息安全事件应急预案等;建立个人信息分级管理机制、个人信息处理规则公开机制、个人信息保护影响事前评估机制、个人信息处理活动强制记录机制、个人信息保护安全审计机制等;领导层面的重视支持、不同部门的协同支持、员工层面的安全培训与教育等资源保障。此外,企业还应从以下方面加强对个人信息及数据保护的管理:包括企业自主收集的数据和来源于第三方的数据两个方面,企业自主收集数据时应重视移动App的合法合规;应最大程度保护数据的安全,对数据进行梳理,实行分类管理与分级保护;通过加密、去标识化等技术措施对数据进行处理,实行权限管理。 安言是一家在信息安全领域有着丰富经验的咨询服务提供商,致力于帮助企业提高自身信息安全管理水平,完善信息安全管理体系建设,降低经营合规风险,助力企业健康发展,同时安言不断完善自身信息安全领域相关服务,旨在为不同行业用户提供专业、持续、高质量的服务。安言针对个人信息保护领域提供的服务主要包括以下几个方面:依据《个人信息保护法》、《网络安全法》和《数据安全法》相关规定,帮助企业识别数据合规关键风险点;明确现有监管要求下具体场景对应个人信息保护、存储、使用的要求;可依据ISO 27701、GB/T 35273等标准针对个人信息保护现状开展合规评估;通过对个人信息分析,评估客户方整体的信息化策略能否支撑内外部合规需求,进一步开展个人信息的安全影响评估并提出处置建议;建立个人信息保护体系,从而为用户权益的保障和企业的合规经营提供保障。
相关新闻:
