随着互联网生活在人们的日常中占比越来越大 , 很多生活和消费场景都从线下转移到线上 , 如何安全地享受网络带来的便捷和红利 , 如何在冲浪的同时维护自身的财产和隐私 , 互联网信息安全是一个大家越来越关注的话题。

据广州市消委会召开的 2021 年 "3 · 15" 信息通报会上公布的数据显示 , 互联网服务类的投诉量排行位列前五。借 3 · 15 的契机 , 新快报携手工业和信息化部电子第五研究所信息安全中心 , 选出网络热议的五大典型信息安全风险场景 , 请专家分析现象发生的来龙去脉 , 用通俗易懂的语言科普解惑 , 给监管方和企业提整改建议意见 , 教消费者如何防范。

售楼部买房看脸给价格 ?

专家说

人脸信息被采集 " 等于把自家钥匙公之于众 "

客户戴着头盔去售楼部看房的视频 , 引起了网友的热议。工业和信息化部电子第五研究所信息安全中心高级工程师刘锐奇告诉新快报记者 , 在业内第一次上门由中介带看的渠道客户 , 能拿到售楼部承诺给中介的优惠价格。自己来的客户称之为散客。在售楼部看来 , 散客不应当享受跟 " 渠道客户 " 一样的优惠。为了区别客源 , 就采用了人脸识别系统 , 用来精准捕捉信息 ," 看脸 " 给价格。

" 作为身份验证手段 , 人脸识别技术存在先天缺陷。相对于指纹、虹膜、基因等的生物特征信息 , 人脸暴露度较高 , 更容易实现被动采集 ( 无感支付 ) , 这也同时意味着人脸信息更容易被窃取。特别是人脸信息具有唯一性 , 一旦丢失就是等于把自己家的‘钥匙’公之于众 , 后果不堪设想 , 不仅可能侵犯个人隐私 , 还会带来财产损失。而大规模的人脸数据库泄露还会对一个族群或国家带来安全风险。"

To 企业

通过第三方检测确认安全性 对数据选择 " 即时储存 "

第一 , 采集人脸数据前须告知用途和可能风险 , 在采集位置应该设有标志告知消费者 , 以保障公众知情权与选择权 , 防止企业过度收集和利用。第二 , 对人脸数据做好安全管理 , 确保数据在采集、传输、使用和存储过程中的安全性 , 可通过第三方检测认证或自评估的方式 , 确认企业是否具有相应技术能力保障人脸数据的安全性。第三 , 根据数据用途 , 明确规定人脸数据的存储主体、时限和采集 , 依据人脸数据的使用目的和需要 , 可将数据的存储时限分为即时、短期和长期三类 , 并尽可能选择即时存储方式 , 即比对后不对扫描到的人脸数据进行保存 , 数据只是在 " 缓存 " 里临时保存。

To 监管方

完善法律法规 明确主体责任和不同场景应用的规范

首先 , 需尽快完善包括人脸识别在内的人体生物信息使用法律法规 , 在个人信息保护规范的基础上采取更严格的保护措施 , 明确生物识别技术可用场景、收集信息主体应承担的责任和义务。其次是通过标准体系明确不同场景下的应用规范。应针对不同的应用场景设置不同的监管要求 , 并规定人脸信息收集、存储、处理等使用要求。

To 消费者

App 隐私条款要读 可疑应用采集信息要拒绝

当前 , 各种采集人脸数据的产品和应用层出不穷 , 个人在面临各种信息采集的同时 , 必须要增强自我隐私保护意识 , 留意公共场所采集人脸数据的标志 , 认真阅读相关隐私条款 , 个人手机上有可疑的应用 , 应当明确拒绝其人脸信息收集行为。

贵手机打车订酒店价格更高 ?

专家说

" 大数据杀熟 " 就是利用隐私信息分析消费者心理价位

" 大数据杀熟 " 的具体表现 , 就是同一件商品或者服务 , 互联网厂商显示给老用户的价格要高于新用户。本质上是经营者为了获得最大利润 , 利用消费者的消费信息 , 分析消费者最低心理价位 , 对消费者进行分类 , 进行差异化定价的行为。最简单的分类方法就是把用户分为价格敏感的用户和非价格敏感的用户 , 由于使用习惯老客户多为非价格敏感的用户 , 而新用户则对价格比较敏感。这里的 " 新用户 " 不仅仅是指新注册的用户 , 更多的是指停止使用一段时间后又回归的用户。

To 企业

产品开发阶段就要 " 系上数据安全的安全带 "

应坚持 " 以消费者为核心 " 的思维 , 用更多优质服务吸引用户和增加用户黏性 , 而不是通过 " 大数据杀熟 " 的方式谋求短期利益 ; 在对大数据进行商业开发时 , 系好数据安全的 " 安全带 ", 不能触碰法律和道德底线。

To 监管方

完善取证技术和申诉方式

一是要完善 " 大数据杀熟 " 取证技术和程序 , 由于信息不对称 , 在复杂的优惠规则和相对私密的支付过程下 ," 杀熟 " 具有较强隐蔽性不易被发现 , 所以要想办法解决发现难、举证难、认定难的问题。二是监管部门需大力推进商品和服务信息公开透明 , 打破信息不对称 , 让消费者有完整的知情权 , 能够在透明的情况下做出消费决策 ; 三是要完善用户的申诉方式 , 为申诉提供更便利的途径。

To 消费者

遇到价格歧视用手机截屏或录视频

一是注意自己的隐私保护 , 尽量不让自身信息在社交网站、手机 App 等暴露得太多 , 尽可能地不要让地理位置、通讯录、相册等隐私被获取。二是当遇到疑似 " 大数据杀熟 " 时 , 可以 " 货比三家 "。如发现确实存在价格歧视 , 应通过手机截屏或是录制视频等方式留存证据 , 并向市场监督部门反映。

为了追平台规划路线只能超速 ?

专家说

骑手追赶算法

算法被 " 训练 " 得越来越快

从去年的爆款文章《外卖骑手困在系统里》, 到层出不穷的小哥危险驾驶事件 , 都足以说明 , 在算法的推动下 , 外卖骑手正在被迫变成配送机器 , 这份职业越来越危险。

这是因为平台企业的竞争就是配送速度之争 , 它们纷纷推出各自的 " 人工智能配送算法 ", 时间是最重要的指标 , 超时哪怕只有一分钟 , 骑手也会面临差评、罚款。

算法帮骑手规划好多个订单的取送餐顺序 , 并为每一单提供路线导航 , 算法要求骑手越跑越快 , 而骑手们在超时的惩戒面前 , 也会尽量去满足算法的要求。这样的配送行为也变相把越来越多的 " 短时长数据 " 给予算法。数据是算法的基础 , 它会去训练算法 , 当算法发现原来大家都越来越快 , 它也会再次加速 , 倒逼骑手铤而走险。

To 企业

让更多相关方参与制定算法

精准缩小商家配送范围

一是考虑让更多的人参与到人工智能算法规则的制定和协商中。外卖经济的网络组成部分非常多元。除了平台和消费者 , 还有店家、中介公司、骑手等。当算法嵌入到社会生活的方方面面时 , 就不是单一的 " 平台 - 消费者 " 关系。算法的制定者不仅来自平台高管和程序员 , 还包括骑手、科学家、第三方机构、政府等。二是改进算法。随着数据积累得越来越多 , 算法可以更精准缩小一些商家的配送范围 , 让骑手配送距离更近的订单 , 规划路线更为合理。

手机 App 会偷走你的照片和通话记录 ?

专家说

绝大部分 App 只需 10 个 ( 含 ) 以下与个人信息相关的权限

手机 App 通过获取写入及读取外置存储器、读取电话状态 ( 设备 IMSI/IMEI 号 ) 、拍摄、访问粗略定位、访问精准定位、录音、读取通讯录、拨打电话等权限 , 能够读到的信息有 : 短信 / 彩信、照片、通话记录、通信录、日历、已安装应用列表、身体传感器信息等。

这样一来 , 就会导致存在个人信息违规收集和恶意滥用风险 , 不少 App 都要求消费者授权所有权限 , 没有遵循最小够用原则。实际上 , 绝大部分 App 申请 10 个 ( 含 ) 以下与个人信息相关的权限即可满足需要。有些 App 私自共享用户数据 , 就是未经用户同意与第三方共享个人信息。有些 App 过度留存个人数据 , 普遍存在 " 注册容易注销难 " 的现象 , 注销用户设置限制条件多 , 甚至不提供注销功能。

To 企业

积极开展安全评估 公示预置应用软件相关信息

一是 App 运营者应落实数据安全主体责任 , 建立企业内部的数据安全与个人信息保护机制 , 积极定期开展数据安全与个人信息保护第三方评估或自评估工作。二是应用商店等平台应加强应用上架前数据安全审核 , 将数据安全与个人信息保护措施作为重点审核内容 , 对违法违规 App 不予上架。三是移动智能终端企业应严格落实应用软件预置管理要求 , 并向消费者公示预置应用软件相关信息 , 重点明示应用软件安装及运行所需权限列表 , 收集、使用用户个人信息的内容、目的、方式和范围等 , 拒绝与不符合规范要求的软件提供商合作。

To 监管方

出台技术规范标准 指导企业加大安全投入

一是继续推进 App 个人信息专项整治行动。把违规的 App 下架、约谈企业 , 是一个很好的监管手段。二是加大消费者宣传教育力度 ,App 数量保守算有 350 万个以上 , 数量非常庞大 , 监管的难度很大 , 需要消费者积极参与。三是应推动行业提升 App 数据安全与个人信息保护技术水平 , 出台相关技术标准规范 , 指导企业加大数据安全技术投入 , 提升企业数据安全保障能力。四是应加大工业互联网、工业软件新业态新领域的个人信息保护力度 , 打好信息安全基础 , 保障新业态新领域健康发展。

功能不用及时关闭 不要怕麻烦就给予多余的授权

To 消费者

一是要在各大正规应用商城安装应用 , 同类应用要选择安装平台认证过的或者下载量较多的应用 , 从源头上避免安装山寨的、带勒索病毒等的应用。二是授予敏感权限应谨慎 , 下载安装 App 时认真阅读权限提醒 , 谨慎开启权限 , 需关注相关权限是否为使用该应用所必需的权限 , 特别是录音、读取通讯录、访问位置等较容易直接泄露个人敏感信息的权限 , 这些权限最好也不要同意授权。三是使用应用特定功能时再打开相关权限 , 不使用时及时关闭。四是对于不影响应用使用的权限 , 拒绝申请并点击 " 不再询问 "。有些应用经常频繁申请获取用户敏感权限 , 消费者往往不堪其扰而点同意 , 但这些常常是非必要权限 , 不要因为麻烦而给予多余的授权。

智能汽车联网后黑客帮你开 ?

专家说

4 个轮子的 " 大手机 " 被黑 可能会车毁人亡

随着汽车智能化、网联化和电动化程度的不断提高 , 未来的汽车不再是简单的出行工具 , 而是融入消费者日常生活的多场景智能体验终端 , 可以视为带 4 个轮子的 " 大手机 "。尽管当前智能网联汽车的安全漏洞尚未被广泛利用 , 但是不少的消费者表示信息安全和隐私保护将成为他们购买车辆时主要考虑的因素。

如果没有做好安全防护 , 就会出现影响汽车正常运行、车辆被非法锁定和控制、云平台被攻破等情况 , 造成个人隐私泄露、企业经济损失 , 还能造成车毁人亡的严重后果 , 甚至上升成为国家公共安全问题。

To 企业

敏感数据单独储存 通过加密提升安全性

信息安全是系统工程 , 一是需要把信息安全融入车辆研发、生产、测试、安全响应等整个生命周期 , 落实 " 最小特权 "" 纵深防御 " 等原则 , 不能 " 先上车再补票 "; 二是要重视车联网服务平台的安全防护 , 车联网服务平台是重要信息系统 , 按照网络安全法要求 , 定期进行网络安全等级保护测评 ; 三是要做好数据分级管理 , 加强敏感信息管理 , 对于涉及消费者信息、驾驶习惯、车辆信息、位置信息等敏感数据采取较高级别的管理要求 , 仅被整车厂商签名认证的应用才可读取相关数据 , 其他非签名认证应用仅可读取非敏感数据。针对敏感数据实行单独的存储要求 , 通过加密提升数据安全级别。

To 监管方

出台相关完善技术标准 信息安全防护体系强制纳入生产

一是加强智能汽车在使用过程中数据采集的监管 , 加快出台数据安全以及个人信息保护等相关法规 , 并在汽车行业细化实施 , 禁止采集消费者非授权数据。二是技术标准有待进一步完善 , 虽然我国已经发布了一些标准 ( 如车载信息安全技术要求和网联汽车信息安全技术要求两项团体标准 ) , 还缺乏较为完善的系列标准 , 相关的安全测试方法仍在研究中。三是要进一步鼓励和引导汽车生产企业 , 将智能汽车的信息安全防护体系纳入车辆生产、销售和服务的各个环节中 , 并形成强制性要求。

To 消费者

保护好交互最多的手机 网联汽车软件固件及时更新

一是要关注车企对自身产品信息安全的投入 , 如取得了什么样的信息安全认证 , 数据安全方面做了哪些工作 ? 二是保护好个人的智能手机 , 智能手机和智能汽车交互比较多 , 黑客会通过 root 用户的手机或者诱导用户下载安装恶意应用 , 就可以窃取用户个人信息及车辆的控制权。三是要及时对网联汽车软件和固件更新 , 给安全漏洞打上补丁 , 这样能够最大限度避免安全风险。

■策划 : 新快报记者 罗 韵

■统筹 : 新快报记者 梁 彧

■采写 : 新快报记者 罗 韵

■视频制作 : 陈文锋 莫根源 陈宝贤 蔡 佳

■美术 : 蔡鸣帆

■制图 : 廖木兴