‘壹’ 你的App安全吗百款APP违规采集个人信息 考拉海购等在列
12月4日,国家网络安全通报中心发文通报,下架整改100款违法违规APP。
百款APP违法违规采集个人信息
12月4日,国家网络与信息安全信息通报中心在官方微信公众号披露,2019年11月以来,全国公安机关网安部门集中查处整改了100款违法违规采集使用个人信息的App及其运营互联网企业,不乏考拉海购、微店、更美等知名产品和产品。
根据通报,全国公安机关网安部门按照公安部网络安全保卫局的部署要求,快速行动,重拳出击,集中发现、集中侦办、集中查处整改了100款违法违规APP及其运营的互联网企业。
其中,责令限期整改27款,处以警告处罚63款,处以罚款处罚10款,另有2款被立为刑事案件开展侦查,相关案件正在侦查中。
据悉,今年以来,公安部组织开展“净网2019”专项行动,已依法查处违法违规采集个人信息的APP共683款。
按照《个人信息安全规范》规定,对个人信息的收集应有明确的目的,不得超出产品功能相关目的之外收集额外的个人信息。而去年,中消协在相关部门的支持下,从App Store、安卓市场下载了10类100款App,调查显示超九成App涉嫌过度收集用户个人信息。
图片来源:国家网络安全通报中心微信公众号
四项典型案例
1、“健康天津”APP:涉嫌无隐私协议收集用户位置信息等违法违规行为,经天津市公安局武清分局网安支队受案调查,依据《网络安全法》第四十一条、第六十四条规定,对该APP运营单位“天津健康医疗大数据有限公司”处以行政警告并责令限期整改。
2、“趋势密码”APP:未经用户同意收集使用精准定位等个人信息,涉嫌超范围收集用户信息等违法违规行为,经上海市公安局徐汇分局网安支队受案调查,依据《网络安全法》第六十四条第一款,对该APP运营单位“上海益秋投资管理有限公司”处以行政警告。
3、“折疯了海淘”APP:未明示数据项采集用途,涉嫌违规收集用户信息,经杭州市公安局西湖分局受案调查,依据《网络安全法》第六十四条第一款,对该APP运营单位“杭州橙子信息科技有限公司”处以行政警告并责令限期整改。
4、 “简讯”APP:涉嫌无隐私协议收集用户位置信息等违法违规行为,经成都市公安局网安支队受案调查,依据《网络安全法》第六十条第一款规定,对该APP运营单位“成都市黑领科技有限公司”处以行政警告并处罚款贰仟元。
5类违法情形不得出现
2019年11月以来,公安部加大打击整治侵犯公民个人信息违法犯罪力度,组织开展APP违法违规采集个人信息集中整治,深入推进由中央网信办、工业和信息化部、公安部、市场监管总局联合开展的APP违法违规采集使用个人信息专项整治行动。APP运营企业等网络服务提供者不得出现以下5大类违法采集公民个人信息的情形:
一、不得存在“未公开收集使用规则”的情形:在APP中没有隐私协议,或者隐私协议中没有收集使用个人信息规则的相关内容;在APP首次运行时未通过弹窗等明显方式提示用户阅读隐私政策;隐私协议难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。
二、不得存在“未明示收集使用个人信息的目的、方式和范围”的情形:收集使用个人信息的目的、方式和范围发生变化时,未以适当方式通知用户(更新隐私协议未提醒用户阅读及授权);收集用户身份证号、银行账号、行踪轨迹等个人敏感信息,未同步说明目的;有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解等。
三、不得存在“未经用户同意收集使用个人信息”的情形;
四、不得存在“违反必要原则,手机与其提供的服务无关的个人信息”的情形;
五、不得存在“非法获取公民个人信息”的情形:未经用户同意获取用户行踪轨迹信息、通信内容、 征信 信息、财产信息。
各类APP内容繁杂,真假难辨,致使用户个人信息的安全受到挑战。
但就目前来看,监管手段只是维护用户信息安全的形式之一。除了技术和监管手段之外,提升开发者自律意识,提升网民信息保护意识,加强网络生活自我保护,也是重要一环。
那么个人如何在使用APP时保护个人信息?建议大家:
一、不要注册来源不明网站,谨慎使用手机号注册;
二、不扫描来历不明的二维码,不安装来历不明的程序;
三、淘汰的电子产品信息销毁要彻底,防止不法分子恢复数据;
四、带有个人信息纸张单据处理需谨慎,需抹掉隐私信息;
五、避免在社交网站上泄露过多个人信息;
六、慎用公众场所免费WIFI,防止用户名密码泄露;
七、不要点击短信和邮件中的链接,以免被“钓鱼”;
八、所用软件不要使用同一组账号密码,以免造成损失。
最后,说句题外话,用户在申请 贷款 时会遇到不同还款方式的贷款产品,由于 利率 的表达方式往往不一样,比如说有:日息万分之五、月 费率 1%等等,因此很难比较出几款产品究竟哪款更省钱。 有钱花 推出的比价神器可以帮我们解决这个问题。通过比较,就能很直观的了解到对比产品的息费明细,帮助我们做决策。
‘贰’ 翻墙被公安警告你要警惕了!
网民收到疑似湖北省公安厅发送的短信,内容声称用户正在使用“翻墙”软件,已违法“中华人民共和国网络安全法”,要求立即停止使用或前往公安机关进行合法性登记。无视劝告将面临强制措施。经过调查,短信被确认为诈骗性质,用户应警惕并避免上当受骗。
关于此类诈骗案例已有多例,以下为一个典型案例:小陶在家中玩手机时,收到一条来自12110短信报警的短信,称其使用翻墙软件违反网络安全法,需要立即前往公安机关协助调查。随后,小陶收到一个来自湖北省公安厅的电话,对方提供了相关联系电话,并声称对小陶的手机进行了监控,涉嫌泄露国家机密,需要协助调查。经过查询,12110确实为短信报警号码。小陶接听了该电话,电话中的“陈警官”详细询问了小陶的身份信息,并威胁称会进行逮捕。在小陶明确表示对方为骗子后,挂断电话。
“吴警官”随后再次来电,并要求小陶将50万打入“安全账户”以解除嫌疑。小陶意识到这是诈骗,直接挂断电话并报警。之后,小陶在网络上分享了这一经历,发现有许多与该电话相关的诈骗案例。
诈骗分子利用伪基站控制手机信号,让手机进入犯罪分子控制的网络,通过模拟任何号码进行短信、电话联系,使用户看到的来电/短信号码并非真实。若遇到此类情况,应直接与官方机构联系核实,切勿轻易转账汇款。警方不会电话办案,用户接到任何自称警方、银行、手机号运营商的电话时,应挂断后手动拨打官方电话进行确认,以防上当受骗。
‘叁’ 数据安全有哪些案例
“大数据时代,在充分挖掘和发挥大数据价值同时,解决好数据安全与个人信息保护等问题刻不容缓。”中国互联网协会副秘书长石现升在贵阳参会时指出。
员工监守自盗数亿条用户信息
今年初,公安部破获了一起特大窃取贩卖公民个人信息案。
被窃取的用户信息主要涉及交通、物流、医疗、社交和银行等领域数亿条,随后这些用户个人信息被通过各种方式在网络黑市进行贩卖。警方发现,幕后主要犯罪嫌疑人是发生信息泄漏的这家公司员工。
业内数据安全专家评价称,这起案件泄露数亿条公民个人信息,其中主要问题,就在于内部数据安全管理缺陷。
国外情况也不容乐观。2016年9月22日,全球互联网巨头雅虎证实,在2014年至少有5亿用户的账户信息被人窃取。窃取的内容涉及用户姓名、电子邮箱、电话号码、出生日期和部分登陆密码。
企业数据信息泄露后,很容易被不法分子用于网络黑灰产运作牟利,内中危害轻则窃财重则取命,去年8月,山东高考生徐玉玉被电信诈骗9900元学费致死案等数据安全事件,就可见一斑。
去年7月,微软Window10也因未遵守欧盟“安全港”法规,过度搜集用户数据而遭到法国数据保护监管机构CNIL的发函警告。
上海社会科学院互联网研究中心发布的《报告》指出,随着数据资源商业价值凸显,针对数据的攻击、窃取、滥用和劫持等活动持续泛滥,并呈现出产业化、高科技化和跨国化等特性,对国家和数据生态治理水平,以及组织的数据安全能力都提出了全新挑战。
当前,重要商业网站海量用户数据是企业核心资产,也是民间黑客甚至国家级攻击的重要对象,重点企业数据安全管理更是面临严峻压力。
企业、组织机构等如何提升自身数据安全能力?
企业机构亟待提升数据安全管理能力
“大数据安全威胁渗透在数据生产、流通和消费等大数据产业的各个环节,包括数据源、大数据加工平台和大数据分析服务等环节的各类主体都是威胁源。”上海社科院信息所主任惠志斌向记者分析称,大数据安全事件风险成因复杂交织,既有外部攻击,也有内部泄密,既有技术漏洞,也有管理缺陷,既有新技术新模式触发的新风险,也有传统安全问题的持续触发。
5月27日,中国互联网协会副秘书长石现升称,互联网日益成为经济社会运行基础,网络数据安全意识、能力和保护手段正面临新挑战。
今年6月1日即将施行的《网络安全法》针对企业机构泄露数据的相关问题,重点做了强调。法案要求各类组织应切实承担保障数据安全的责任,即保密性、完整性和可用性。另外需保障个人对其个人信息的安全可控。
石现升介绍,实际早在2015年国务院就发布过《促进大数据发展行动纲要》,就明确要“健全大数据安全保障体系”、“强化安全支撑,提升基础设施关键设备安全可靠水平”。
“目前,很多企业和机构还并不知道该如何提升自己的数据安全管理能力,也不知道依据什么标准作为衡量。”一位业内人士分析称,问题的症结在于国内数据安全管理尚处起步阶段,很多企业机构都没有设立数据安全评估体系,或者没有完整的评估参考标准。
“大数据安全能力成熟度模型”已提国标申请
数博会期间,记者从“大数据安全产业实践高峰论坛”上了解到,为解决此问题,全国信息安全标准化技术委员会等职能部门与数据安全领域的标准化专家学者和产业代表企业协同,着手制定一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》,该标准是基于阿里巴巴提出的数据安全成熟度模型(Data Security Maturity Model, DSMM)进行制订。
阿里巴巴集团安全部总监郑斌介绍DSMM。
作为此标准项目的牵头起草方,阿里巴巴集团安全部总监郑斌介绍说,该标准是阿里巴巴基于自身数据安全管理实践经验成果DSMM拟定初稿,旨在与同行业分享阿里经验,提升行业整体安全能力。
“互联网用户的信息安全从来都不是某一家公司企业的事。”郑斌称,《大数据安全能力成熟度模型》的制订还由中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心、公安三所、清华大学和阿里云计算有限公司等业内权威数据安全机构、学术单位企业等共同合作提出意见。