无线互联网用户隐私信息采集的风险分析

原创 2014年11月25日 15:37:55

自己12年写的一篇老文章,今天翻出来,感觉现在仍然适用!


对于用户隐私信息的侵犯,一直是互联网的一个热点和争议之地,从Web的cookie时代开始,到现在移动互联网时代,争论风波一直不断,但是,对于所有的互联网公司,数据才是持久的核心竞争力。所有的互联网产品都在或多或少的收集用户的数据,这已经是不争的事实。我们也必须得收集,这不需要思考,但是,如何文明的收集,如何不让用户反感的收集,如何不惹上麻烦的收集,这是需要详细考虑的!

1. 风险类型:

•   苹果APP Store审核:以下是苹果官方的有关用户隐私的规定,可以看到,描述比较模糊,没有边界的明确定义:

  17.1应用程序不能在未获用户允许或未向用户提供如何使用及在何处使用数据的相关信息情况下传输有关用户的数据。
  17.2要求用户共享电子邮箱地址和出生日期等私人信息才可使用其功能的应用程序将会被拒绝。
  17.3锁定未成年人进行数据收 集的应用程序将会被拒绝。

•   法律

 基本是真空地带,尤其是网络上的追踪,从cookie时代就开始了,无法律依据。用户现实身份的隐私信息被出售,有可能被追责。

•   舆论

取决于谁被盯上了,被谁盯上了。

2. 敏感数据类型:

•    用户真实身份信息(高危):

手机号码、通讯录、书签、日历、地理位置、相册、短信

•   设备特征信息(争议):

Deviceid、mac地址、网络状态、型号。

•   应用内信息(低危)

应用内操作,自身账号相关信息

3. 数据使用风险

除了采集什么信息,如何用也是一个关注点:

•   用于产品的优化

•   进一步数据挖掘群体性特征

•   直接个人信息的使用

•   出售、公开给第三方(恶劣)

4. 经典纠纷案例:

•   苹果、三星、HTC等CIQ事件

 通过后门采集大量收集数据,包括键盘输入、短信、通讯录、位置、照片、日程。

•   方舟子VS360

偷窥上网密码等信息;上传自家服务器;没有加密等安全防护。

•   360大战QQ

偷窥和记录与自身功能不相关的文件。

•   Path

自动上传通讯录

5. 业界对策:

对于强依赖于用户数据的统计和广告公司,他们是如何预发风险的(主要针对APP Store审核):

•   友盟

 建议在应用中提供一份申明:会收集UDID信息并允许第三方使用。(iOS7以后已经无法收集了)

在iOS提供UDID、OpenUDID两个SDK版本,同时采集mac地址辅助。

•  ADMob

iOS6使用IDFA(广告主标识),iOS5使用UDID,计划将来废弃UDID。

6.  结论

以上是对目前整个业内这方面状况的整理和分析,可以看出,信息的采集在互联网业是普遍存在的现象,但是,有几方面行为会为用户所不能接受,也会为自己带来麻烦:

•  在用户完全未知的情况下收集,用户有知情权。

•  收集了用户真实身份的信息,比如手机号码、通讯录、短信、日历、位置等类似信息。

•  收集的信息远超过了你的产品需要知道的范围。

•  收集的信息没有得到很好的保护,被泄漏或者授予第三方使用。

那么我们需要明确的原则就是:

•   互联网应用一定会记录用户相关的数据。

•   记录应用内所提供服务相关的信息,是用户需要担负的义务,但我们需要明确的告知。

•   关键是不要超出该知道的范围,不要出现信息泄漏。

7.  对策:

针对这些问题,为了避免陷入纠纷,避免用户产生反感,也为了让我们的产品成为文明的互联网产品,在收集用户信息方面,必须要遵循以下行动准则:

•  对于用户真实身份信息:

尽量不要采集和访问,如果APP业务自身场景需要访问时,必须要明确询问用户是否同意。

•  对于应用内的相关数据,比如用户在应用内的操作过程等(仅限于互联网服务类应用):

在APP首次启动或者应用内其他地方,增加明显的申明文案,申明会记录用户在应用内的操作信息,但不会泄漏给第三方。

•  和你提供的服务无关的数据,尽量不要去碰。

•  数据的采集、传输、存储一定要有加密保护手段,保证采集的数据不会主动或者被动的提供给第三方。



浅谈实施软件测试风险分析

                作为软件测试计划的一部分,软件测试风险的分析与控制是其中重要的环节。如果前期风险分析与控制比较充分,那么会使软件的测试成功性大大增加,且可将由风险异常引发的额外成本(如...
  • roger_ge
  • roger_ge
  • 2010年03月03日 17:45
  • 6151

Xcode8 / iOS 10 用户隐私添加提示

从iOS10开始,在访问用户隐私时,需要添加提示信息; 解决办法: 在plist一级菜单中添加字段: *前三项为必填项,蓝色为plist中添加的关键字,后面为内容。(不要复制到空格) ...
  • st646889325
  • st646889325
  • 2016年12月07日 09:59
  • 409

【软工】软件工程(三)——风险分析

一、前言       在开发新的软件系统过程中,由于存在许多不确定因素,软件开发失败的风险是客观存在的。因此,风险分析对于软件项目管理是决定性的。一般认为软件的风险包含两个特性:不确定性和损失。下面...
  • kisscatforever
  • kisscatforever
  • 2016年10月30日 08:13
  • 2164

360浏览器非法上传用户隐私全程解析

新做了个网站,后台做了个登录记录功能,发现经常有人在非法登陆我后台,而我网站是禁止任何蜘蛛访问的,所以不存在被各搜索引擎收录而被用户搜索到来访问,更何况,前台是没有用何页面的,我只是后台用来记录某些东...
  • xiaoxuncom
  • xiaoxuncom
  • 2016年04月06日 18:47
  • 1275

电力用户用电信息采集系统

实时数据:可设置5分钟、15分钟、或30分钟一次。该类数据不能补召,当时抄过来多少就是多少。 分钟数据:30分钟一次,可以补召前几天(最多一个月)的数据 四分:变电站、公变、专变、低压集抄。 负...
  • wolf_121
  • wolf_121
  • 2012年11月07日 08:46
  • 1897

联腾科技"人员基础信息一体化采集仪"

深圳市联腾科技有限公司
  • sinat_37367316
  • sinat_37367316
  • 2017年01月18日 15:25
  • 541

软件项目风险分析

与任何其他工程项目一样,软件工程项目的开发也存在各种各样的风险,有些风险甚至是灾难性的。R.Charette认为,风险与将要发生的事情有关,它涉及诸如思想、观念、行为、地点、时间等多种因素;风险随条件...
  • lin_lujian
  • lin_lujian
  • 2011年11月19日 10:11
  • 561

软件工程-1.概述

#简介 最近在学习《软件工程》(高职版)这本书,现通过解答这本书的课后习题来进行知识的巩固,达到融会贯通的程度,也不枉看这本书所花的时间。 后续的软件工程系列文章都是这种模式,欲知更多内容可以去翻阅《...
  • pigdreams
  • pigdreams
  • 2017年05月14日 00:06
  • 816

Java基本信息采集程序

采用简单的Swing用户界面组件实现基本信息采集工作。
  • Coder__CS
  • Coder__CS
  • 2016年11月14日 21:45
  • 562

注册会计师带你用Python进行探索性风险分析(二)

專 欄 ❈Rho,Python中文社区专栏作者,现居深圳。知乎专栏地址:https://zhuanlan.zhihu.com/BecomingaDataScientist❈ 注册会...
  • BF02jgtRS00XKtCx
  • BF02jgtRS00XKtCx
  • 2017年12月01日 00:00
  • 126
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:无线互联网用户隐私信息采集的风险分析
举报原因:
原因补充:

(最多只允许输入30个字)