Los métodos de recopilación de privacidad se están volviendo cada vez más ocultos. ¿Cuándo dejarán de estar “filtradas” la información personal de los internautas?
Durante la Semana Nacional de Publicidad de la Ciberseguridad de 2019, Yang Chunyan, inspector de primer nivel y subdirector de la Oficina de Coordinación de Ciberseguridad de la Administración Central del Ciberespacio de China, presentó que en respuesta a la actual autorización forzosa de aplicaciones, reclamos excesivos de derechos y recopilación excesiva de información personal, uso ilegal e ilegal de información personal y otros problemas de seguridad de datos, la Administración Central del Ciberespacio de China redactó las "Medidas de gestión de seguridad de datos", "Medidas de evaluación de seguridad de salida de información personal ", "Aplicaciones de recopilación ilegal y uso de métodos de identificación de información personal" y "Aplicaciones de Internet móvil (App)". Se han solicitado públicamente opiniones sobre una serie de documentos institucionales como los "Estándares básicos para la recopilación de información personal".
Cyber Security Expo muestra herramientas contra el crimen negro (Foto de Li Zhengwei)
La relación entre App, App Store y SDK no se puede ignorar
“App Hay una concentración de datos de usuario. Entre ellos, la tienda de aplicaciones es un canal importante para la distribución de aplicaciones, y muchos fabricantes de dispositivos también preinstalarán aplicaciones, y los SDK de terceros también son una parte importante del desarrollo de aplicaciones. Foro de Protección de la Información” celebrado durante la semana de promoción, dijo China Wei Liang, director del Instituto de Investigación de Seguridad del Instituto de Investigación de Información y Comunicaciones.
Mencionó que desde la perspectiva de un operador, cuanta más información personal recopile una aplicación, más servicios valiosos podrá ofrecer a los usuarios. Por tanto, existe una contradicción natural entre los servicios convenientes y la protección de la información personal. "El proceso de prestación de servicios también debilita la autonomía y el poder de toma de decisiones de la información personal. A través del análisis de big data, esta información puede convertirse en información personal o incluso en información sensible. Por lo tanto, es necesario equilibrar la relación entre la protección de la información personal y servicios convenientes."
Hoy en día, la mayoría de las aplicaciones incluyen un SDK (kit de desarrollo de software). En este sentido, Wei Liang dijo que el uso de SDK puede mejorar la eficiencia y reducir costos. En muchos casos, los fabricantes no quieren utilizar SDK. Por ejemplo, si está creando una aplicación de catering pero no tiene las licencias pertinentes para mapeo y pago, debe utilizar un SDK de terceros; sin embargo, los derechos y responsabilidades en el proceso de recopilación de información posterior requieren más investigación;
Además, no se puede ignorar la relación entre App y App Store. Wei Liang dijo que las tiendas de aplicaciones tienen responsabilidades de gestión de las aplicaciones, pero el alcance y los límites de las responsabilidades de gestión son una cuestión importante. "Mientras la usamos, también descubrimos que la aplicación puede pasar por alto la App Store y puede haber nuevos códigos y nuevos requisitos de derechos después de que se actualice el software".
El fenómeno de la recopilación encubierta y engañosa de información de los usuarios es obvio.
En enero de este año, cuatro departamentos, incluida la Administración Central del Ciberespacio de China, emitieron conjuntamente la "Acción Especial de Control de Datos Ilegales". Anuncio de recopilación y uso de información personal por parte de aplicaciones. Al 31 de agosto, el equipo especial de gobierno recibió más de 8.000 informes del público a través de la cuenta pública de WeChat "App Personal Information Report", seleccionó cerca de 600 aplicaciones con una gran cantidad de usuarios y estrechamente relacionadas con la vida de las personas para su evaluación, y supervisó. 200 aplicaciones con problemas graves. Las aplicaciones restantes fueron rectificadas y más de 800 puntos problemáticos estuvieron involucrados en la rectificación.
Al respecto, He Yanzhe, miembro del Grupo de Trabajo Especial de Gobernanza de Aplicaciones, hizo un resumen: Solo hay unos pocos casos en los que no existe una política de privacidad, principalmente cuando los usuarios deben abrir múltiples permisos. para recopilar información personal al mismo tiempo y al solicitar permisos explicar sincrónicamente el propósito a los usuarios, etc.
En cuanto a los problemas típicos que existen en las aplicaciones, Wei Liang cree que la situación de "recopilación encubierta de información personal" es grave. Algunas aplicaciones comienzan a recopilar y cargar información personal sin el consentimiento personal del usuario, como el número de teléfono móvil, la dirección MAC (dirección LAN), la contraseña de la cuenta, etc. Algunas de ellas obtienen sin darse cuenta permisos de alto riesgo del sistema, etc.
Además, Wei Liang mencionó que también existe el fenómeno de recopilar información personal más allá de las expectativas psicológicas de los usuarios. Por ejemplo, después de que un usuario apaga el GPS, piensa que ya no se recopila información de ubicación personal, pero de hecho, la ubicación aún puede monitorearse a través del WiFi del usuario.
"También hay casos en los que se engaña a los usuarios para que acepten la recopilación de información personal. Por ejemplo, 'Permitir el permiso para abrir la libreta de direcciones del teléfono móvil para leer el número de teléfono del contacto y recargar' Esta es información engañosa. La otra parte quiere obtener el registro de comunicaciones del usuario.
", Dijo Wei Liang.
Los riesgos de seguridad de los SDK de terceros no se pueden ignorar. "Una gran cantidad de aplicaciones tienen SDK integrados, y los propios SDK de terceros tienen vulnerabilidades de seguridad y pueden convertirse fácilmente en un canal para la propagación de códigos maliciosos, especialmente También es difícil para las aplicaciones comprender la situación cuando la información personal se recopila en secreto.
Ren Yan, director del Centro Nacional de Emergencias de Internet, mencionó que muchos SDK de terceros. Las aplicaciones han sido “explotadas” por industrias negras En el primer semestre de este año se han capturado más de 1 millón de programas maliciosos. Un análisis especial de los SDK que obtienen información personal en secreto encontró que hay muchos fenómenos ilegales y pornográficos en 3.600 aplicaciones de chat. La mayoría de estos son SDK maliciosos que roban información personal de los usuarios.
Se necesita autodisciplina empresarial y primero se deben implementar estándares
A juzgar por las aplicaciones móviles que la gente usa a diario, La seguridad de la información personal involucrada es compleja y diversa e involucra a múltiples entidades. “Requiere que los departamentos gubernamentales, las empresas relevantes, las empresas de aplicaciones, las empresas de SDK, las empresas de telefonía móvil, las empresas de tiendas de aplicaciones, las organizaciones industriales, las instituciones de investigación, etc., sean procesadas por igual. . "Cuando se trata de soluciones, Wei Liang dijo esto.
"Es necesario acelerar la legislación y perfeccionar las regulaciones para la recopilación y el uso de información personal. "Wei Liang dijo que las regulaciones legales actuales no pueden satisfacer las necesidades reales. Es necesario promover la promulgación de la ley de protección de la información personal lo antes posible, aclarar los derechos y obligaciones de la protección de la información personal y fortalecer la investigación de violaciones; en Al mismo tiempo, la propiedad de los datos y la protección de los activos de datos deben analizarse y juzgarse sobre otras cuestiones, aclarar los límites legales y ordenar las líneas legislativas.
“Lo primero es a través de medios técnicos, y lo segundo. es a través de medios de gestión científica. El primero cubre la identificación, el uso, el análisis del comportamiento, etc. de los datos para evitar la filtración de información y mejorar la protección sistemática de la información personal; el segundo implica la concienciación sobre la seguridad de los empleados y los sistemas de gestión de soporte técnico. " afirmó Yang Mingfei, experto técnico de Skyguard.
En opinión de Tang Xin, director de la División General de la Oficina de Coordinación de Ciberseguridad de la Administración Central del Ciberespacio de China, las empresas deben ser autodisciplinadas y al mismo tiempo También implementamos "estándares primero". Muchas funciones adicionales de las aplicaciones también recopilan información, pero no se pueden utilizar porque el usuario se niega a proporcionar información, ni se pueden prohibir porque rechaza una o dos autorizaciones. "Esperamos resolver estos problemas. a través de especificaciones estándar."