写点什么

从 Android 10 的隐私保护,我们聊聊隐私安全这件事

  • 2019-12-02
  • 本文字数:2879 字

    阅读完需:约 9 分钟

从Android 10的隐私保护,我们聊聊隐私安全这件事


最近,将手机操作系统升级到 Android 10 后,笔者发现了一些 App 的“流氓”行为。


一个是谷歌。笔者爱逛 Google Play,专门搜集好玩的游戏。但是,下载游戏前,笔者会打开游戏视频,看看效果。点击视频,通过手机浏览器打开,进入 Youtube 官网游戏播放页面。一旦开始播放视频,页面就会出现提醒“Youtube 请求使用您的摄像头”。


我只是看一支游戏视频,您干嘛要调用我的摄像头?如果摄像头被调用,那么你的脸或其他信息可能被收集。基本上每次请求,我都会拒绝。但是,回想起以前,这种行为或许在“背地里”进行,那么就无需权限许可。如果真是这样,想想可怕…



左侧谷歌,右侧百度


另一个是百度。不久前,笔者在手机浏览器上搜索关键词,页面提醒“百度需要获取您的地理位置”,下方有“拒绝”和“许可”两个选项。


我又想不通,搜索一个关键词,还要“获取地理位置信息”吗?


一直以来,Android 平台上的权限管理经常被“诟病”,“权限流氓”非常活跃,比如,申请一些与自身功能不相干的权限、借助权限肆意调用系统硬件资源(像后台启动相机或麦克风),甚至不给权限就拒绝提供服务…


但是,2019 年,Android 10的发布将让这种现象得到改观。


据悉,Android 10 的一大亮点就是主打隐私保护,这主要体现在两个方面:


一是设备标识的改进。Android 10 去掉 IMEI。IMEI,中文名叫国际移动设备识别码,即通常所说的手机序列号,相当于移动电话的“身份证”。在移动电话网络中,通过 IMEI 可以识别每一部独立的手机。


想想,IMEI 如此重要,因此也成为无数 App 千方百计想获取的东西。


一直以来,很多国产 App 启动时,强求电话权限才让启动。简单说,不给电话权限不让用,这简直是蛮横的“流氓行为”。


在 Android 10 中,无论是新应用还是老应用都无法通过恶名昭著的电话权限来获取设备标识信息。通过限制设备标识符的获取,Android 10 则可以有效保护设备 ID 和 SIM 卡 ID。


因此,针对 Android 10 开发的新应用,无法获取设备标识。而拒绝适配 Android 10 的旧应用,如果依旧尝试获取电话权限,获得的设备标识数值也只是空值null


二是位置信息保护升级。在 Android 10 中,系统新增了“位置信息后台访问权限”,这是一种更精细的位置权限授予机制。



例如,你打开天气应用,在弹出位置信息弹窗时,你有三种选择:


1.#拒绝;


2.#始终允许;


3.#仅在应用使用过程中允许。


一般而言,最恰当的选择是“仅在应用使用过程中允许”,这样既可保护你的隐私信息,又能满足当前需求。每个人都不想“我什么都没干,你却在收集我的位置信息”。


这种粒度更细的位置权限授予方式,不仅给用户在位置信息授权上有更大的自由,而且还能从一定程度上遏制后台定位造成的待机耗电问题。


无疑,Android 10 为用户提供了更好的隐私安全保护。但是,从更大的背景看,我们现在是该认真对待网民隐私安全。


根据中国互联网络信息中心(CNNIC)统计数据显示,截至 2019 年 6 月,我国手机网民规模已达 8.47 亿,网民通过手机接入互联网的比例高达 99.1%。


随着移动互联网的发展、智能手机的不断普及,移动互联网应用程序(App)得到广泛应用。据工信部统计数据显示,2018 年,我国市场上监测到的 App 总量达到 449 万款,第三方应用商店分发累计数量超过 1.8 万亿次。



移动互联网服务便捷、即时、普惠的特点在 App 得到充分体现,部分 App 已经成为广大网民生活中的“必需品”。而 App 成为线上线下数据交汇的重要入口,全天候参与用户生产生活,收集大量个人信息,安全问题不容忽视。


事实上,2019 年,笔者观察到的是:一方面,互联网网民对隐私安全的意识不断提高;另一方面,则是政府和监管部门的“强监管”和“严要求”。在这双重因素的驱动下,个人隐私保护正在进入新阶段。


在这个新阶段,很多互联网企业因违法违规收集个人信息被监管部门点名批评和曝光。


今年 7 月,广东省公安机关持续开展 2019 年第二季度超范围收集用户信息 App 清理整治工作,共监测发现 1048 款 App 存在超范围收集用户信息。


其中,“酷狗音乐”、“艺龙旅行”、“语文 100 分”等 42 款 App,存在超范围读取用户通话记录、短信或彩信,收集用户通讯录、用户设备已知账号,超权限使用用户设备麦克风等安全问题。


而最近闹得沸沸扬扬的考拉征信则因侵犯公民个人信息被查。考拉征信违规出卖查询接口,并非法缓存公民个人身份信息,供下游公司查询牟利。


根据警方调查,考拉征信涉嫌非法提供身份证返照查询 9800 多万次,获利 3800 万元。


由此可见,互联网网民的个人信息,被非法收集和利用,已经成为部分企业的牟利工具。


如果从更细粒度看,个人信息的六大环节中,包括识别、追踪、画像、推荐、决策和共享,每个环节都会存在安全问题。


识别:2019 年 315 晚会上,央视曝光“探针盒子”私自收集个人隐私;

追踪:美团、饿了么“窃听门”事件

决策:大数据杀熟


同样,针对个人隐私信息治理,监管部门则在 2019 年“重拳出击”。


2019 年 1 月 25 日,中央网信办、工信部、公安部及市场监管总局四部门联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》,预示着我国在 APP 隐私层面的治理进入了一个新的高度。


11 月 4 日,11 月 4 日下午,工业和信息化部信息通信管理局组织召开 App 侵害用户权益行为专项整治工作启动部署会,将重点对违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账户注销设置障碍开展规范整治工作。


当然,更重要的是要有相应的法律法规来保障。在这方面,欧盟早已实施《GDPR》(通用数据保护条例),成为个人数据保护的“先行者”。这部法律不仅对个人数据赋予极大的保护,而且对违法企业进行严惩。


2019 年 7 月 8 日,英国信息监管局发表声明说,英国航空公司因违反《GDPR》被罚 1.8339 亿英镑(约合 15.8 亿元人民币)。


而在美国最受关注的则是2018年加州消费者隐私法案(《CCPA》)。它旨在充分保护加利福尼亚州消费者的隐私权,提升个人信息安全水平以达到充分保护隐私权的目的。


《CCPA》给予消费者五项重要权利:


1.有权知晓所收集个人信息的种类;


2.有权知晓已被收集的信息是否被披露及出售,以及披露和出售的对象;


3.有权拒绝出售个人信息;


4.有权访问他们的个人信息;


5.即使行使上述权利,也有享有平等地被提供服务和价格的权利。


据悉,《CCPA》将于 2020 年 1 月 1 日正式生效。加州不仅是硅谷所在地,汇集着谷歌、Facebook、惠普、英特尔、苹果、思科、英伟达、甲骨文和特斯拉等科技大公司,而且对全美、乃至全球经济的影响非常大。因此,《CCPA》的实行也将带来巨大的影响。


在国内,针对个人隐私保护的法律法规也在不断出台中,比如正在制定过程中的《个人信息保护法》和《数据安全法》


记得,之前有一次看新闻,美国有家公司将一个人的信息定价为 3000 美元。而在国内,或许还没这么高。当然,我们先不管这个价格是否合理。重要的是,对每个人而言,你的个人信息(包括隐私)非常重要。


在个人隐私信息方面,笔者是个坚定地“保守主义者”。既然你无法知道别人或组织机构收集你的个人隐私信息用来干什么,为什么不谨慎一点呢?


参考资料:


Android 10 里有哪些「用了就回不去」的好功能?


2019-12-02 09:178565
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 355.4 次阅读, 收获喜欢 1799 次。

关注

评论 1 条评论

发布
用户头像
无条件支持Google。
2020-06-20 07:51
回复
没有更多了
发现更多内容

游戏发行新方式——游戏海外发行代理

Ogcloud

游戏 云游戏 游戏发行 游戏发行公司

干货盘点!市场调查与分析必备的10个模板!

彭宏豪95

职场 在线白板 行业调研 效率软件 调研报告

阿里通义灵码全面公测,来看看它的水平怎么样?

阿里巴巴云原生

阿里云 云原生 通义灵码

设计原则 — DRY & Rule of three

Lemoon Can

设计原则 DRY Rule Of three

读取速率十倍于 Elasticsearch,TDengine 在知轮科技智慧轮胎系统中的应用

TDengine

与鲸同行,智领未来!和鲸科技高校市场渠道合作伙伴正式开启招募

ModelWhale

人工智能 数据科学 渠道

提升跨境直播体验,选择适用的直播专线

Ogcloud

海外直播专线 海外直播 跨境直播 跨境直播专线

1688API接口推荐:1688工厂档案信息数据接口

tbapi

1688 1688API接口 1688工厂档案信息

程序员来看,你选哪一门编程语言提升自己?

高端章鱼哥

TikTok直播畅通无阻,海外直播专线打造稳定流畅的网络环境

Ogcloud

TikTok 海外直播专线 海外直播 tiktok直播 tiktok直播专线

用Python编写自己的微型Redis

快乐非自愿限量之名

Python redis

一文告诉你服务器为什么要托管?

Finovy Cloud

云服务器 IDC 服务器托管

深入了解 Linux 常用性能统计命令

霍格沃兹测试开发学社

SQL中如何添加数据:基础指南

霍格沃兹测试开发学社

揭秘ChatGPT的Prompt方法:原理与应用总结

霍格沃兹测试开发学社

华为校园鸿蒙公开课走进南京大学

Geek_2d6073

HStream Webinar: 兼容 Kafka 协议的下一代流数据平台

EMQ映云科技

kafka mqtt

走进AI新时代:织信低代码的实践与启示

优秀

AI 低代码 AI智能

开源LLM大模型聊天

百度开发者中心

人工智能 大模型 问答助手

探索机器学习:从基础概念到应用实践

霍格沃兹测试开发学社

新零售SaaS架构:什么是线上商城系统?

快乐非自愿限量之名

架构 零售 SaaS

ADB 下载、安装及使用教程:让你更好地管理 Android 设备

霍格沃兹测试开发学社

探索自然语言处理:语言模型的发展与应用

霍格沃兹测试开发学社

一文搞懂Vue的MVVM模式与双向绑定

EquatorCoco

Java vue.js Vue

“打工人”的自我修养-如何在30秒内把“问题”讲清楚

K

原创 职场 认知 逻辑

图数据库基准测试 LDBC SNB 系列讲解:Schema 和数据生成的机制

不在线第一只蜗牛

数据库 LDBC

零基础入门数据挖掘-课程汇总

阿里云天池

阿里云

活动预告:如何培养高质量应用型医学人才?

ModelWhale

数据分析 人才培养 R语言 临床医学 新医科

从Android 10的隐私保护,我们聊聊隐私安全这件事_安全_万佳_InfoQ精选文章