写点什么

从 Android 10 的隐私保护,我们聊聊隐私安全这件事

  • 2019-12-02
  • 本文字数:2879 字

    阅读完需:约 9 分钟

从Android 10的隐私保护,我们聊聊隐私安全这件事


最近,将手机操作系统升级到 Android 10 后,笔者发现了一些 App 的“流氓”行为。


一个是谷歌。笔者爱逛 Google Play,专门搜集好玩的游戏。但是,下载游戏前,笔者会打开游戏视频,看看效果。点击视频,通过手机浏览器打开,进入 Youtube 官网游戏播放页面。一旦开始播放视频,页面就会出现提醒“Youtube 请求使用您的摄像头”。


我只是看一支游戏视频,您干嘛要调用我的摄像头?如果摄像头被调用,那么你的脸或其他信息可能被收集。基本上每次请求,我都会拒绝。但是,回想起以前,这种行为或许在“背地里”进行,那么就无需权限许可。如果真是这样,想想可怕…



左侧谷歌,右侧百度


另一个是百度。不久前,笔者在手机浏览器上搜索关键词,页面提醒“百度需要获取您的地理位置”,下方有“拒绝”和“许可”两个选项。


我又想不通,搜索一个关键词,还要“获取地理位置信息”吗?


一直以来,Android 平台上的权限管理经常被“诟病”,“权限流氓”非常活跃,比如,申请一些与自身功能不相干的权限、借助权限肆意调用系统硬件资源(像后台启动相机或麦克风),甚至不给权限就拒绝提供服务…


但是,2019 年,Android 10的发布将让这种现象得到改观。


据悉,Android 10 的一大亮点就是主打隐私保护,这主要体现在两个方面:


一是设备标识的改进。Android 10 去掉 IMEI。IMEI,中文名叫国际移动设备识别码,即通常所说的手机序列号,相当于移动电话的“身份证”。在移动电话网络中,通过 IMEI 可以识别每一部独立的手机。


想想,IMEI 如此重要,因此也成为无数 App 千方百计想获取的东西。


一直以来,很多国产 App 启动时,强求电话权限才让启动。简单说,不给电话权限不让用,这简直是蛮横的“流氓行为”。


在 Android 10 中,无论是新应用还是老应用都无法通过恶名昭著的电话权限来获取设备标识信息。通过限制设备标识符的获取,Android 10 则可以有效保护设备 ID 和 SIM 卡 ID。


因此,针对 Android 10 开发的新应用,无法获取设备标识。而拒绝适配 Android 10 的旧应用,如果依旧尝试获取电话权限,获得的设备标识数值也只是空值null


二是位置信息保护升级。在 Android 10 中,系统新增了“位置信息后台访问权限”,这是一种更精细的位置权限授予机制。



例如,你打开天气应用,在弹出位置信息弹窗时,你有三种选择:


1.#拒绝;


2.#始终允许;


3.#仅在应用使用过程中允许。


一般而言,最恰当的选择是“仅在应用使用过程中允许”,这样既可保护你的隐私信息,又能满足当前需求。每个人都不想“我什么都没干,你却在收集我的位置信息”。


这种粒度更细的位置权限授予方式,不仅给用户在位置信息授权上有更大的自由,而且还能从一定程度上遏制后台定位造成的待机耗电问题。


无疑,Android 10 为用户提供了更好的隐私安全保护。但是,从更大的背景看,我们现在是该认真对待网民隐私安全。


根据中国互联网络信息中心(CNNIC)统计数据显示,截至 2019 年 6 月,我国手机网民规模已达 8.47 亿,网民通过手机接入互联网的比例高达 99.1%。


随着移动互联网的发展、智能手机的不断普及,移动互联网应用程序(App)得到广泛应用。据工信部统计数据显示,2018 年,我国市场上监测到的 App 总量达到 449 万款,第三方应用商店分发累计数量超过 1.8 万亿次。



移动互联网服务便捷、即时、普惠的特点在 App 得到充分体现,部分 App 已经成为广大网民生活中的“必需品”。而 App 成为线上线下数据交汇的重要入口,全天候参与用户生产生活,收集大量个人信息,安全问题不容忽视。


事实上,2019 年,笔者观察到的是:一方面,互联网网民对隐私安全的意识不断提高;另一方面,则是政府和监管部门的“强监管”和“严要求”。在这双重因素的驱动下,个人隐私保护正在进入新阶段。


在这个新阶段,很多互联网企业因违法违规收集个人信息被监管部门点名批评和曝光。


今年 7 月,广东省公安机关持续开展 2019 年第二季度超范围收集用户信息 App 清理整治工作,共监测发现 1048 款 App 存在超范围收集用户信息。


其中,“酷狗音乐”、“艺龙旅行”、“语文 100 分”等 42 款 App,存在超范围读取用户通话记录、短信或彩信,收集用户通讯录、用户设备已知账号,超权限使用用户设备麦克风等安全问题。


而最近闹得沸沸扬扬的考拉征信则因侵犯公民个人信息被查。考拉征信违规出卖查询接口,并非法缓存公民个人身份信息,供下游公司查询牟利。


根据警方调查,考拉征信涉嫌非法提供身份证返照查询 9800 多万次,获利 3800 万元。


由此可见,互联网网民的个人信息,被非法收集和利用,已经成为部分企业的牟利工具。


如果从更细粒度看,个人信息的六大环节中,包括识别、追踪、画像、推荐、决策和共享,每个环节都会存在安全问题。


识别:2019 年 315 晚会上,央视曝光“探针盒子”私自收集个人隐私;

追踪:美团、饿了么“窃听门”事件

决策:大数据杀熟


同样,针对个人隐私信息治理,监管部门则在 2019 年“重拳出击”。


2019 年 1 月 25 日,中央网信办、工信部、公安部及市场监管总局四部门联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》,预示着我国在 APP 隐私层面的治理进入了一个新的高度。


11 月 4 日,11 月 4 日下午,工业和信息化部信息通信管理局组织召开 App 侵害用户权益行为专项整治工作启动部署会,将重点对违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账户注销设置障碍开展规范整治工作。


当然,更重要的是要有相应的法律法规来保障。在这方面,欧盟早已实施《GDPR》(通用数据保护条例),成为个人数据保护的“先行者”。这部法律不仅对个人数据赋予极大的保护,而且对违法企业进行严惩。


2019 年 7 月 8 日,英国信息监管局发表声明说,英国航空公司因违反《GDPR》被罚 1.8339 亿英镑(约合 15.8 亿元人民币)。


而在美国最受关注的则是2018年加州消费者隐私法案(《CCPA》)。它旨在充分保护加利福尼亚州消费者的隐私权,提升个人信息安全水平以达到充分保护隐私权的目的。


《CCPA》给予消费者五项重要权利:


1.有权知晓所收集个人信息的种类;


2.有权知晓已被收集的信息是否被披露及出售,以及披露和出售的对象;


3.有权拒绝出售个人信息;


4.有权访问他们的个人信息;


5.即使行使上述权利,也有享有平等地被提供服务和价格的权利。


据悉,《CCPA》将于 2020 年 1 月 1 日正式生效。加州不仅是硅谷所在地,汇集着谷歌、Facebook、惠普、英特尔、苹果、思科、英伟达、甲骨文和特斯拉等科技大公司,而且对全美、乃至全球经济的影响非常大。因此,《CCPA》的实行也将带来巨大的影响。


在国内,针对个人隐私保护的法律法规也在不断出台中,比如正在制定过程中的《个人信息保护法》和《数据安全法》


记得,之前有一次看新闻,美国有家公司将一个人的信息定价为 3000 美元。而在国内,或许还没这么高。当然,我们先不管这个价格是否合理。重要的是,对每个人而言,你的个人信息(包括隐私)非常重要。


在个人隐私信息方面,笔者是个坚定地“保守主义者”。既然你无法知道别人或组织机构收集你的个人隐私信息用来干什么,为什么不谨慎一点呢?


参考资料:


Android 10 里有哪些「用了就回不去」的好功能?


2019-12-02 09:178535
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 353.5 次阅读, 收获喜欢 1799 次。

关注

评论 1 条评论

发布
用户头像
无条件支持Google。
2020-06-20 07:51
回复
没有更多了
发现更多内容

【数据库原理 | MySQL】一文打通 DDL语句 - ARTS 打卡第 一 周

计算机魔术师

商业智能工具 bi工具是什么,瓴羊Quick BI能给企业主带来哪些优势?

对不起该用户已成仙‖

SpringBoot3集成ElasticSearch

Java elasticsearch 架构 springboot SpringBoot3

什么是业务敏捷,如何实现业务敏捷?

CODING DevOps

敏捷开发

什么是主数据管理?企业主数据管理方法论

优秀

主数据管理 主数据

报表分析工具免费试用:瓴羊Quick BI带你快速解析数据

夜雨微澜

QT使用QML实现地图绘制虚线

芯动大师

ASR 语音识别接口封装和分析

非晓为骁

AI 语音识别 ASR AIGC

智能标签系统如何助力智能推送服务

MobTech袤博科技

前端开发 消息推送 APP开发 前端开发工具

Presto 设计与实现(一):开篇

冰心的小屋

数据湖 presto SQL引擎

对线面试官 - TCP 经典面试题

派大星

Java 面试题

文心一言 VS 讯飞星火 VS chatgpt (76)-- 算法导论7.3 1题

福大大架构师每日一题

福大大架构师每日一题

从“智能涌现”到“价值涌现”,讯飞星火又一次“登月”

脑极体

讯飞

20. 异常处理

茶桁

Python 异常

锐炫无畏,助威亚运!英特尔锐炫显卡成为杭州亚运会官方指定图形处理器

E科讯

Apache 官方限定社区周边,Community Over Code 亚洲大会参会礼包抢鲜看!

Apache IoTDB

一个好用的低代码平台应具有哪些素养?

树上有只程序猿

低代码 零代码 应用开发

低代码平台技术分享官丨工作流应用场景之动态驳回

inBuilder低代码平台

TDengine 3.1.0.0 版本成功发布,涉及五大板块功能更新!

TDengine

tdengine 时序数据库

2022年移动游戏收入920亿美元,微信小游戏投放量增长五倍

没有用户名丶

云原生 AI 工程化实践之 FasterTransformer 加速 LLM 推理

阿里巴巴云原生

阿里云 AI 容器 云原生

免费物联网平台好用吗?物联网平台卷蒙圈了,集体不要钱,白嫖的到底能不能用?

Geek_a6511e

物联网平台 物联网 物联网低代码平台 物联网平台选型

提速 40%,融云基于 QUIC 深度优化通信协议

融云 RongCloud

网络 协议 融云 QUIC 通讯

融云出海:两极分化的网红大户「拉美」如何出海制胜

融云 RongCloud

互联网 泛娱乐 出海 社交娱乐 社媒

【Python】一键查询依赖生成文件 requirements.txt

ReturnTmp

线上观看5万+,“芯”有灵“蜥”融合·创新!龙蜥社区走进 Intel MeetUp 回顾来了

OpenAnolis小助手

开源 芯片 intel Meetup 龙蜥社区

【名师代练】带你玩转 RocketMQ,角逐「RocketMQ 首席评测官」

阿里巴巴云原生

阿里云 云原生 Apahce RocketMQ

融云:以对话为场景本质,AIGC 将如何改变游戏规则

融云 RongCloud

人工智能 AI 算法 AIGC 通讯

深度解读智能化编码的技术架构与实践案例

阿里云视频云

云计算 编码 视频云

如何落地复杂系统的架构治理?

码猿外

架构设计 软件架构治理

ARTS 打卡第 6 天

自由

从Android 10的隐私保护,我们聊聊隐私安全这件事_安全_万佳_InfoQ精选文章