主要观点总结
本文总结了2020年至2024年315晚会曝光的关于用户个人信息保护和网络安全漏洞的五个典型事件。这些事件包括手机窃贼插件窃取用户隐私、人脸识别信息遭商户非法收集、儿童智能手表信息泄露、免费破解版App成手机窃听器和AI拟声变脸诈骗等。文章详细描述了每个事件的内容、违法行为、涉及法律法规、造成的后果以及监管处理结果。基于这些事件,提出了针对运营APP、小程序、使用新技术的企业的安全合规建议,包括加强隐私政策与用户授权管理、强化人脸识别等生物特征信息的保护、提升儿童个人信息保护意识、严格把控破解版App等非法软件的风险、利用AI技术进行身份验证时加强安全验证、加强内部安全管理和员工培训以及建立应急响应机制等。文章还介绍了相关企业和机构在个人信息保护和网络安全方面的认证和资质。
关键观点总结
关键观点1: 文章主旨
总结归纳2020年至2024年间的五起关于网络安全与用户信息保护的典型事件,强调用户个人信息保护和网络安全问题的严峻性,提出相关安全合规建议。
关键观点2: 事件概述
文章详述了五个典型事件:手机窃贼插件窃取隐私、人脸识别信息非法收集、儿童智能手表信息泄露、破解版App窃取用户信息和AI拟声变脸诈骗等。
关键观点3: 事件影响
这些事件严重侵犯了用户隐私,导致用户遭受经济损失,增加了儿童被跟踪和诈骗的风险,威胁了用户的财产安全和个人信息安全。
关键观点4: 合规建议
针对运营APP、小程序和使用新技术的企业,提出了加强隐私政策与用户授权管理、强化生物特征信息保护、提升儿童个人信息保护意识等多方面的安全合规建议。
关键观点5: 相关认证和资质
介绍了相关企业和机构在个人信息保护和网络安全方面的认证和资质,包括国家权威机构的认证和工信部互联网协会移动互联网工作委员会的认可等。
正文
本报告总结了2020年至2024年315晚会曝光的关于用户个人信息保护和网络安全漏洞的五个典型事件。
2020年315晚会曝光了“手机窃贼插件窃取用户隐私”事件。上海市消费者权益保护委员会测试发现,一些手机软件中的SDK插件未经用户许可,窃取消费者手机内容,包括IMEI、短信记录、通讯录等隐私信息,并传送到指定服务器。此行为违反了《信息安全技术移动互联网应用(App)收集个人信息基本规范》等相关规定,导致用户可能遭受经济损失,涉及众多手机软件。
2021年315晚会揭露了“谁在‘偷’我的脸:人脸识别信息遭商户非法收集”事件。记者调查发现,全国多地商户在未告知消费者并获得同意的情况下,非法收集消费者的人脸识别信息,违反了《民法典》和《个人信息安全规范》。人脸信息的泄露严重威胁了用户的财产安全、隐私安全等。
2022年315晚会曝光了“儿童智能手表信息泄露”事件。央视揭露了儿童智能手表存在安全漏洞,导致儿童个人信息泄露,违反了《网络安全法》和《未成年人保护法》。儿童个人信息的泄露增加了儿童被跟踪和诈骗的风险。
2023年315晚会曝光了“免费破解版App成手机窃听器”事件。部分破解版App被嵌入第三方插件,窃取用户个人信息,包括上网硬件地址、手机设备识别号等关键信息,涉嫌违反《网络安全法》和《个人信息保护法》。这些破解版App能精准锁定用户,严重侵犯用户隐私,甚至导致财产损失。
2024年315晚会曝光了“AI拟声变脸诈骗,财务人员汇款186万”事件。陕西西安的财务人员张女士在接到AI拟声变脸视频诈骗后,被诈骗分子冒充老板要求紧急转账186万元。此行为利用了AI技术进行身份冒充,违反了《刑法》中关于诈骗罪的相关条款,导致张女士个人和公司遭受了经济损失,尽管部分资金被成功追回。
这些事件表明,用户个人信息保护和网络安全问题仍然严峻,需要各方共同努力,加强监管,提高用户安全意识,以保障用户权益。
事件一:2020年315晚会曝光的“手机窃贼插件窃取用户隐私”事件
概述:上海市消费者权益保护委员会委托第三方公司对一些手机软件中的SDK插件进行了测试,发现一些SDK插件存在未经用户许可,窃取消费者手机内容的问题。
违法行为:SDK插件在未经用户同意的情况下,读取用户的隐私信息,如IMEI、IMSI、运营商信息、电话号码、短信记录、通讯录、应用安装列表、传感器信息等,并将其传送到指定的服务器存储起来。
涉及法律法规:《信息安全技术移动互联网应用(App)收集个人信息基本规范》《App违法违规收集使用个人信息行为认定方法》等相关规定。
造成的后果:SDK插件窃取用户隐私,特别是短信内容,包括网络交易验证码,可能导致用户遭受严重的经济损失。同时,因为SDK对所有的手机App具有通用性,一旦某个SDK窃取用户个人隐私,将会涉及众多手机软件。
监管处理结果:曝光了涉及国美易卡、遥控器、最强手电、全能遥控器、91极速购、天天回收、闪到、萝卜商城、紫金普惠等50多款手机软件,以及酷音铃声、手机铃声、铃声大全等多款知名手机App的隐私收集问题。
事件二:2021年315晚会曝光的“谁在“偷”我的脸:人脸识别信息遭商户非法收集”事件
概述:记者在全国多地调查了20多家商户,发现均存在偷偷获取人脸识别信息的情况,商家未明确告知,更未征得消费者同意。
违法行为:商户在未告知消费者并获得同意的情况下,非法收集消费者的人脸识别信息。
涉及法律法规:《民法典》第1035条明确规定,处理个人信息应征得该自然人或其监护人同意;国家市场监管总局发布的《个人信息安全规范》也明确规定,收集人脸信息时应获得个人信息主体的授权同意。
造成的后果:人脸信息属于个人独有的生物识别信息,一旦泄露,将严重威胁用户的财产安全、隐私安全等。
事件三:2022年315晚会曝光的“儿童智能手表信息泄露”事件
概述:央视315晚会揭露了儿童智能手表存在安全漏洞,导致儿童个人信息泄露。
违规行为:手表制造商未能确保产品安全,导致用户信息泄露。
涉及法律法规:《中华人民共和国网络安全法》、《中华人民共和国未成年人保护法》。
造成的后果:儿童个人信息泄露,增加了儿童被跟踪和诈骗的风险。
执法部门处理结果:相关企业被责令召回问题产品,进行安全升级,并对受影响用户进行赔偿。
事件四:2023年315晚会曝光的“免费破解版App成手机窃听器”事件
概述:央视315晚会曝光了部分破解版App成为手机窃听器,这些App能窃取用户个人信息,形成用户画像,推送广告实现流量变现。
违规行为:部分破解版App被额外嵌入了与官方版本毫不相关的第三方插件,这些插件能偷走用户手机里的个人信息,包括上网硬件地址、手机设备识别号、电话卡识别码、手机操作系统识别码等关键信息。
涉及法律法规:该行为涉嫌违反《网络安全法》、《个人信息保护法》等相关法律法规。
造成的后果:这些破解版App能精准锁定用户,实时捕捉和追踪用户动态,严重侵犯用户隐私,甚至可能导致财产损失。
事件五:2024年315晚会曝光的“AI拟声变脸诈骗,财务人员汇款186万”事件
概述:陕西西安的财务人员张女士在接到AI拟声变脸视频诈骗后,被诈骗分子冒充老板要求紧急转账186万元。张女士在未核实的情况下完成了转账,后在公司内部群中发现异常,报警后成功拦截部分资金,挽回了156万元损失。
违规行为:利用AI技术进行身份冒充,实施诈骗行为。
涉及法律法规:《中华人民共和国刑法》中关于诈骗罪的相关条款。
造成的后果:张女士个人和公司遭受了186万元的经济损失,尽管部分资金被成功追回。
执法部门处理结果:警方介入调查,协助张女士追回部分资金,并对案件进行进一步侦查。
针对上述事件,为运营APP、小程序、使用新技术的企业提供以下安全合规建议:
一、加强隐私政策与用户授权管理
企业应明确并公开其收集、使用、存储和共享用户信息的政策,确保所有信息收集行为均基于用户的明确授权。对于SDK插件等第三方组件,企业应进行全面审查,确保其符合隐私政策和相关法律法规要求,避免未经用户许可收集敏感信息。应定期进行隐私合规性评估,以确保满足各种监管机构的要求、产品备案及上架的标准,以及企业内部管理的规定。
二、强化人脸识别等生物特征信息的保护
在收集和使用人脸识别等生物特征信息时,企业应严格遵守相关法律法规,确保信息的收集、处理和存储均经过用户明确同意,并采取严格的安全措施防止信息泄露。同时,企业应定期对收集到的生物特征信息进行安全审计,及时发现并处理潜在的安全风险。应定期进行人脸数据安全评测,以确保在移动端、内部系统以及第三方系统中,人脸生物特征信息的采集、存储、使用、共享/传输、销毁等全生命周期环节的安全合规性。
三、提升儿童个人信息保护意识
对于涉及儿童智能手表等儿童个人信息保护的产品,企业应严格遵守《网络安全法》和《未成年人保护法》等相关法律法规,确保儿童个人信息的收集、处理和存储均符合法律法规要求。同时,企业应加强对儿童个人信息保护的宣传和教育,提高家长和儿童的隐私保护意识。对于向未成年人提供服务的产品,可开展未成年人网络保护能力评测,评估产品在未成年人网络保护方面的性能和效果。评测内容可包括产品设计是否符合儿童心理发展特点,是否具备有效的家长控制功能,以及是否采取了适当的技术手段防止儿童个人信息泄露等。通过评测,及时发现并改进产品中的不足,确保未成年人个人信息的安全和隐私。
四、严格把控破解版App等非法软件的风险
企业应加强对破解版App等非法软件的监测和打击力度,避免用户因使用此类软件而遭受信息泄露和财产损失。同时,企业应加强自身软件的安全防护能力,防止被恶意插件攻击和篡改。为了提升客户端包体的安全性,APP应采用安全加固和混淆技术,以防止反编译后的篡改、敏感信息泄露以及仿冒行为。此外,加强分发渠道的正版应用监测是至关重要的,这有助于保护企业及其用户的合法权益和经济利益。
五、利用AI技术进行身份验证时加强安全验证
在利用AI技术进行身份验证时,企业应加强对身份验证过程的安全控制,确保身份信息的真实性和准确性。同时,企业应定期对身份验证系统进行安全审计和更新,及时发现并处理潜在的安全漏洞和风险。新技术的应用将挑战传统安全的可靠性,业务安全将面临新的挑战,如被薅羊毛、数据泄露、身份冒用等风险。企业应定期开展APP安全检测、APP渗透测试,以确保AI身份验证技术、业务逻辑的安全性。这些检测可以帮助企业及时发现并修复潜在的安全漏洞和风险,防止恶意攻击和数据泄露。
六、加强内部安全管理和员工培训
企业应建立健全内部安全管理制度和流程,确保员工严格遵守相关法律法规和企业内部规定。同时,企业应定期对员工进行安全培训和意识教育,提高员工的安全意识和防范能力。
七、建立应急响应机制
企业应建立完善的应急响应机制,确保在发生信息安全事件时能够迅速响应并妥善处理。同时,企业应加强与相关监管机构、执法部门和第三方专业机构的沟通和协作,共同维护用户信息安全和网络安全。
我司已正式参与中国网络安全审查认证及市场监管大数据中心开展的“移动互联网应用程序(App)个人信息安全测试”项目,并顺利通过了相关的测量审核,从而获得了国家权威机构在个人信息保护领域的认证,体现了我司在App个人信息安全测试方面的专业能力得到了官方的肯定。
我司已正式参与中国网络安全审查认证及市场监管大数据中心开展的“移动智能终端应用软件安全测试”能力验证计划项目,并顺利通过了相关的测试,从而获得了国家权威机构在网络安全领域的认证,体现了我司在App个人信息安全测试方面的专业能力得到了官方的肯定。
我司成功入选为2025年工业和信息化部网络安全威胁和漏洞信息共享平台移动互联网APP产品安全漏洞专业库(以下简称CAPPVD)技术支撑单位。标志着我司的技术实力和表现已经获得了国家权威机构的肯定。
安证艾普是深圳市安证企业合规管理(集团)有限公司旗下移动安全合规服务品牌,集合了强大的APP技术平台和专家团队以及多年来监管部门支撑工作的经验。目前安证艾普包含两大业务块(安全合规和安全服务)10+项服务。
安证合规集团全面支撑四部委(公安、工信、网信、教育)以及省、市APP安全合规监管治理工作、市授权的APP内容安全监测中心、教育部APP安全合规认证,加入工信部互联网协会移动互联网工作委员会、信通院APP安全合规支撑单位。参与APP个人信息、APP数据安全等方面标准和规范制定工作,获多个监管部门的认可及好评。每年要为政府、央企、大型私人企业等超2000家企业提供APP合规服务。
安证艾普APP安全合规一体化服务解决方案依托安证合规集团旗下深圳市网安计算机安全检测技术有限公司、广东安证计算机司法鉴定所和广东北源律师事务所提供的“网络安全+证据服务+数据治理”的强大支撑。
