近日,有媒体报道中国人民大学信息学院教授孟小峰团队,在对应用市场上40多万款App进行调查后发现,部分App应用程序索取权限接近40项,更为严重的是索取的权限与App实现功能的需求并不匹配,存在过度索取权限的现象。
针对App应用过度索取权限的问题,2017年开始施行的《网络安全法》确立了网络运营者收集、使用个人信息必须遵循合法、正当、必要等原则。但随着数据成为未来商业发展的重点,只有搜集的数据越多,营销价值就越大,网络运营者都在尽可能收集用户信息。各类侵犯用户隐私信息的行为依然层出不穷,一些涉隐私的用户数据泄露事件也频频发生,App过度索取权限、超范围收集、使用个人信息等现象屡禁不止。
网络运营者过度搜集用户隐私信息屡禁不止的原因在于,其所面临的法律风险可能远远小于可以获得的商业利益。
3月15日,国家市场监管总局和中央网信办联合出台了《关于App安全认证的公告》,指定中国网络安全审查技术与认证中心(ISCCC)为官方认证机构,依据《信息安全技术个人信息安全规范》来制定技术验证规范,对App进行安全认证。
但从公开的细则来看,目前对于通过认证的App主要的监管手段依然是以企业自查为主,辅之以社会监督,但真正交由第三方的监督却十分有限。同时,由于认证是自愿进行,未通过认证的App如何管理依然没有得到彻底有效的解决。
国内技术界也一直在寻求解决大数据时代个人隐私保护的方案,目前在杭州等地已经在尝试基于区块链技术开展隐私保护,大致的思路是利用公有链形式开展数据交易,以联盟链形式开展数据加密保护。即用户的行为产生数据,加密后经过用户允许,由数据平台方接入数据交易市场,进行数据交易。
以区块链技术为基础的解决方案具有数据存储透明,用户掌握自己的数据,只要用户授权,任何主体可以访问利用数据,数据访问记录可公开审计等优点。
区块链技术貌似只解决了我们是对自己的数据有了决定卖与不卖的权力,但不能保证数据依旧被非区块链公司采集利用、以及卖出去后这些买家继续二次转卖,泄露出去。
但区块链让我们拥有了是否让别人访问我们数据的决定权,这对当前隐私泄露问题已经是进步。
