免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

序言

本篇文章與每一個人都息息相關，在數(shù)據(jù)特別是個人信息有關的數(shù)據(jù)成為比石油還貴的資產(chǎn)的今天，您可能不知道您所有富有價值個人信息正在被偷偷地收集并且集中，我們每個人，正在互聯(lián)網(wǎng)的世界里“裸奔”。

為了曝光這一現(xiàn)象的嚴重性、為了讓我們的個人隱私得到切實保護，賽博星人結合大量數(shù)據(jù)安全項目的經(jīng)驗，請技術小伙伴展開對APP后臺數(shù)據(jù)收集及傳輸?shù)臋z測、請律師小伙伴展開對個人信息保護的法律合規(guī)分析，全面、綜合地展現(xiàn)個人信息被收取的亂象。

如上所述，這篇文章與正在閱讀的您息息相關。因此，為了令每一個讀者，無論是安全技術的專家，還是不熟悉安全技術的小白，都能對這一情況有更加直觀的理解，我們準備了一組漫畫及大量的圖片說明，形象地展現(xiàn)有關情況；之后，再通過專業(yè)的安全技術及法律分析，對APP后臺數(shù)據(jù)收集、傳輸?shù)倪`規(guī)性進行充分展現(xiàn)。

本篇文章的主要內容：

• 引子——3.15晚會曝光的Wifi探針與它比起來，《巨額來電》里販賣個人信息的“菜商”與它比起來，根本不算什么

• 小故事——某白領的一天，他的所有個人信息都被收集并且暗中整合到一起了

• 什么是SDK，它如何收集及侵害您的個人信息

• 技術檢測——您在使用的一個普通APP，它被嵌入了多少第三方SDK

• 技術檢測——第三方SDK在收集我的什么個人信息

• “第三方SDK”的“三宗罪”

• 在數(shù)據(jù)資產(chǎn)化及數(shù)據(jù)流通的大潮下，如何更好并且切實做到對個人信息的保護

引子

315晚會曝光的探針跟它比起來
根本不算什么

今年的3.15晚會上曝光了這一現(xiàn)象，不法商家會通過在商場等人流密集處安裝一種叫Wifi探針盒子的設備，獲取周邊人群手機的MAC地址，然后通過一系列第三方數(shù)據(jù)交叉匹配，獲得其手機號碼；好一點的，這些號碼隨即被賣給有關行業(yè)的營銷中心，用于電話營銷之用；壞一點的，可能會用于電信詐騙。

Wifi探針的整個工作鏈條雖然是違法的，即在沒有得到消費者明確授權的情況下，通過Wifi探針關聯(lián)到用戶的個人信息，而后將手機號碼售賣予第三方。然而，僅僅得到一個真實的手機號碼又有什么作用？真的會對消費者產(chǎn)生傷害嗎？只有同時拿到手機機主的姓名、性別、年齡、收入、愛好、健康狀況、行蹤等詳細信息，實現(xiàn)“大數(shù)據(jù)下的精準營銷”才能產(chǎn)生價值、對用戶造成真正的傷害。

因此，對于缺乏相關技術背景、不了解個人信息數(shù)據(jù)市場亂象的普通大眾，通過315晚會的曝光只記住了Wifi探針和撥號機器人，卻并不了解現(xiàn)象背后的本質及核心到底是什么。其中，Wifi探針作為獲取數(shù)據(jù)的黑手，更是被視為洪水猛獸，受到各方抨擊。然而，個人信息數(shù)據(jù)被大量收集與濫用，個人隱私被不停侵害，罪魁禍首并不是Wifi探針。

是什么導致我們的信息頻頻被泄露？是什么讓每個人的隱私在互聯(lián)網(wǎng)世界里“裸奔”？究竟是誰在黑暗里向每一位公民伸出了竊取隱私之手？今天，我們將為您撥開迷霧，帶您走進個人隱私被濫用的“真相”。

《巨額來電》里販賣的個人信息的“菜商”與它相比，根本不算什么

就在碼這幾段文字的時候，我的手機由9:55至10:22之間，接到3個“善意的營銷電話”，號碼分別是0967***3847、9521**09、952**508。分別是某樓盤、某某理財中心、某某所謂金融授信中心向我發(fā)出購買房產(chǎn)、購買理財產(chǎn)品、貸款的“邀請”。其中一個電話講出了我的姓名，而另外兩個沒有。

這種完全不掌握我的個人信息、沒有把握準我是否剛好需要他們的產(chǎn)品的企業(yè)，注定是會“營銷”失敗的！他們根本不知道現(xiàn)在唯一的銀行卡里只有800多塊人民幣的可用余額，他們也根本不知道我從來沒買過理財產(chǎn)品！

看過桂綸美主演的《巨額來電》這部電影的同學，一定記得桂綸美如何在5分鐘時間內通過電話詐騙到4萬元的那場戲。那場詐騙最核心的成功關鍵，在于它通過“菜商”（販賣他人個人信息的不法分子）掌握了受害者的準確個人信息——

“細節(jié)一定要真實準確，客戶資料里有”！

電影《巨額來電》截圖，侵刪

所以，3.15曝光的Wifi探針并不可怕，它與我們的個人隱私（個人信息）被不停地收集及侵害幾乎無關，因為它并不能直接獲取到我們的個人信息。造成公民在互聯(lián)網(wǎng)上“裸奔”的罪魁禍首其實是我們今天要專門揭露及討論的第三方SDK！它才是能夠直接、實時收集到我們的個人信息，并且將個人信息進行集中的罪魁禍首。只有精確、精準的個人信息，才能造成個人隱私泄露及個人利益被侵害的情況發(fā)生。

另外，在現(xiàn)今互聯(lián)網(wǎng)無處不在、第三方SDK無處不用的背景下，《巨額來電》里一次可以提供100多份個人信息的“菜商”與第三方SDK比起來，簡直就是幼兒園的小朋友水平。且看我們繼續(xù)給您詳細分析。

2. 小故事

某白領的一天，他所有的個人信息都被
收集并暗中整合到一起了

現(xiàn)如今，我們的生活因為與互聯(lián)網(wǎng)已經(jīng)密不可分，所以，就如上面的漫畫展示的一樣，我們的個人信息幾乎已經(jīng)存儲在所使用的各類APP/網(wǎng)站的運營商手里了。只是正常情況下它是支離破碎的，每個APP/網(wǎng)站/平臺的運營商手里只握有一個小小的碎片，而且我們也一直以為是這樣的，所以我們也很放心。與此同時，監(jiān)管或者執(zhí)法機構也因此主要是針對每一個APP/網(wǎng)站/平臺進行逐一的、單一地整治。保護個人隱私的關鍵也許就在于，如何將這些碎片保持在各個APP/網(wǎng)站/平臺的運營商手中，而不是集中復制成完整的一份。

然而，However，しかし，Cependant，???，Jedoch，您們所未意識到的，第三方SDK改變了這一切。它令我們的個人信息全部集中到一起，它，第一次擁有了我們每一個人的“全景”信息，這才是最可怕的：

3. 什么是SDK，它如何收集及侵害您的個人信息？

SDK即“軟件開發(fā)工具包”（外語全稱：Software Development Kit），簡單一點的說，就是把一些軟件功能標準化地開發(fā)好，令到其它軟件/APP可以馬上即插即用并且擁有這個SDK所具備的標準化功能。再簡單地點說，SDK提供的功能就好比超市里做好的半成品熟食，拿回家切一切就能吃了。在軟件開發(fā)中，這些“熟食”既是通過SDK實現(xiàn)的模塊或者插件。在現(xiàn)今一切都要快、都要敏捷的要求下，大量軟件開發(fā)團隊都在自己開發(fā)的軟件/APP里借用了第三方提供的SDK，以便節(jié)約大量的開發(fā)成本與開發(fā)時間。

然而，However，しかし，Cependant，???，Jedoch，在與個人信息有關的數(shù)據(jù)成為比石油還貴的資產(chǎn)的今天，SDK這種原先僅僅用來提供一些標準化即插即用功能的技術，卻被賦予了“特殊的使命”。

一些公司開發(fā)了免費的SDK供其它APP/網(wǎng)站使用，由現(xiàn)在開始，我們把它親切地稱呼為“第三方SDK”。這些“第三方SDK”功能完善，被嵌入了過百萬的APP/網(wǎng)站，“第三方SDK”通過它所嵌入的過百萬APP/網(wǎng)站，收集使用這些APP/網(wǎng)站的個人用戶的個人信息，從而實現(xiàn)由不同類別APP/網(wǎng)站收集我們的個人信息碎片，改變了以往個人信息僅保持在各個APP/網(wǎng)站/平臺的運營商手中、而不是集中復制成完整的一份的狀態(tài)！

圖為第三方SDK通過嵌入至其它公司的APP中，從而收集個人信息并進行集中的示意圖

通過提供“第三方SDK”并通過其收集到的含有個人信息的數(shù)據(jù)進行分析，出售數(shù)據(jù)分析成果，譬如提供用戶精準畫像的營銷輔助服務，催生了若干年度營業(yè)收入達到近10億元人民幣的企業(yè)。

除了將我們的個人信息實現(xiàn)收集及集中之外，“第三方SDK”最核心的危害在于——使用“第三方SDK”的APP、網(wǎng)站的企業(yè)、用戶，大部分并未意識到這些“第三方SDK”在后臺不停地收集其個人信息！且聽我們詳細道來。

3. 技術檢測

您在使用的一個普通APP，
它被嵌入了多少第三方SDK

注：由這里開始的兩個章節(jié)會有許多技術內容，我們會盡量用簡單的語言進行描述。

在騰訊2018年7月發(fā)布的《網(wǎng)絡安全新常態(tài)下Android應用供應鏈安全探秘》報告中，(https://m.qq.com/security_lab/news_detail_469.html) 提到說“各種類型的APP在第三方SDK使用數(shù)量方面，金融借貸類平均使用的SDK數(shù)量最多，達到21.5，緊隨其后是新聞類APP，平均數(shù)量為21.2；往后是購物類、社交類、銀行類和游戲類，平均數(shù)量都超過15個；再后面的則是出行類、辦公類和安全工具類，平均使用的SDK數(shù)量相對較少，分別為11.4、9.7和6.7”，如下圖所示：

來源：騰訊《網(wǎng)絡安全新常態(tài)下Android應用供應鏈安全探秘》

https://m.qq.com/security_lab/news_detail_469.html

為了驗證使用“第三方SDK”問題的嚴重性，我們隨意下載了一個電商及出行服務功能的APP，對它進行了技術檢測，檢查它內部使用了多少個“第三方SDK”。我們雖然已經(jīng)有了心理準備，然而檢測結果仍然讓我們大吃一驚，答案是33個！如下所示：

某APP嵌入SDK插件情況

換句話說，我們在使用的一個普通APP，它里面加入了另外33個“小APP”（第三方SDK）。這些第三方SDK當然為該APP提供了許多功能上的協(xié)助，然而，由于附加的SDK數(shù)量繁多，并且這些“第三方SDK”的安全性都沒有得到很好的驗證，這就造成了這些SDK可能在偷偷地收集個人信息，并將這些信息傳給“第三方SDK”供應商的后果。

4. 第三方SDK在收集什么樣的個人信息

要通過技術手段把一個“第三方SDK”在收集什么數(shù)據(jù)全部檢測清楚，是非常非常困難的，這主要是因為“第三方SDK”通過加密、代碼防逆向等手段，導致其收集到的數(shù)據(jù)往其指定的服務器回傳的時候，幾乎很難被全部“破譯”的。雖然，在一些“第三方SDK” 的公司官網(wǎng)上，放置了所謂的“隱私協(xié)議”，對公眾說明這些“第三方SDK”會收集什么數(shù)據(jù)，然而，（我們很不負責任地說一句）它們從來沒有也不敢在技術上公開其真正收集及回傳了什么數(shù)據(jù)，也沒有讓第三方由技術上來檢測它收集及回傳了什么數(shù)據(jù)，而是選擇了對大部分回傳數(shù)據(jù)進行了加密！如以下我們的檢測所示：

所以，“第三方SDK”，你真的是為了“安全”而加密，你怕什么？你讓我如何信任你？

就拿本次我們隨意挑選的這款APP來說，我們對某使用的33個“第三方SDK”進行了進一步的技術檢測，嘗試分析及梳理這些“第三方SDK”究竟在收集及往回傳輸什么個人信息：

 a.“第三方SDK”收集了APP用戶手機的IMEI碼并回傳（注意：所有的“回傳”，不是回傳至您使用的APP的服務器，而是回傳至“第三方SDK”自己的服務器）：

 b. “第三方SDK”收集了APP用戶的經(jīng)緯度信息并回傳：

c.“第三方SDK”獲取APP用戶手機的藍牙權限：

d.“第三方SDK”獲取APP用戶手機的定位及Wifi權限：

e.“第三方SDK”獲取APP用戶手機的新裝及卸載APP清單：

f.“第三方SDK”申請APP用戶手機所在手機的攝像頭權限：

這一項是最恐怖及最可惡的，你一個“第三方SDK”，你在官網(wǎng)上聲稱你就是一個統(tǒng)計功能的“第三方SDK”，你憑什么通過我使用的一款APP來使用我手機的攝像頭？？？?。。?！

所以，您現(xiàn)在可以理解為什么某些公司能夠向外出售包括有以下個人信息字段的大批量數(shù)據(jù)了嗎？這就是我們一直強調的：您幾乎所有的個人信息都被它集中了，因為它是經(jīng)由過百萬的APP中收集及整合的：

上圖為某公司收集到并且可以“提供”的個人信息

5. 第三方SDK的“三宗罪”

“第一宗罪”：“第三方SDK”提供商一般通過一些格式條款或服務告知書，要求使用其SDK的企業(yè)，必須自行通知其用戶說：

• 企業(yè)在使用“第三方SDK”

• “第三方SDK”在收集用戶的什么信息

• 并且要獲取用戶同意向“第三方SDK”提供信息

也就是說，“第三方SDK”將獲取個人信息所有者的授權，以及明示“第三方SDK”和APP同時收取客戶數(shù)據(jù)的責任轉嫁給了APP，而實際上，使用“第三方SDK”的企業(yè)往往并不知道“第三方SDK”在收集其用戶的個人信息（想知道的時候就會發(fā)現(xiàn)流量是加密的），因此，也根本不可能在其APP或網(wǎng)站的《隱私協(xié)議》里向其用戶做出明確說明，也因此不可能獲取到用戶的同意！

如果是一家使用“第三方SDK”的企業(yè)的信息安全管理團隊或者合規(guī)團隊，看到這里應該感覺很冤枉，但您可以問一下自己，在此之前是不是從來沒有意識到這一點？一旦處罰的話，“背鍋俠”就是信息安全管理團隊或者合規(guī)團隊。

另外，在提供下載的“第三方SDK”技術文件中，沒有任何有關其將收集什么個人信息并回傳的說明或者提示。如果是一家使用“第三方SDK”的技術開發(fā)團隊，看到這里應該感覺很冤枉，但您可以問一下自己，在此之前是不是從來沒有看到有“第三方SDK”在其附帶的技術說明文件里提到這一點？

“第二宗罪”：對于個人信息的使用，其很關鍵的一點是僅取最小所需，而SDK通過不透明的方式，大量、高頻次的抽取數(shù)據(jù)，這些數(shù)據(jù)甚至和所提供的功能完全沒有聯(lián)系，譬如上一章節(jié)所述的，那個莫名其妙的“攝像頭權限”。弱水三千，我只授權你一瓢，但是你直接圍著湖建了個水庫。

“第三宗罪”：對大量個人信息進行了“集中及整合”，導致我們以為我們的個人信息將碎片化地保持在各個APP/網(wǎng)站/平臺的運營商手中，而不是集中復制成完整的一份這個“美好愿望”落空了。任何人看到這里應該感覺很冤枉，但您可以問一下自己，在此之前您有向某一個APP/網(wǎng)站提供過您的所有個人信息嗎？從此，您的個人精準畫像得以生成，比你自己還了解你自己，另外，關鍵是你自己從來沒有授權過“第三方SDK”可以收集你的所有個人信息呀！

 6.在數(shù)據(jù)資產(chǎn)化及數(shù)據(jù)流通的大潮下，如何更好并且切實做到對個人信息的保護？

數(shù)據(jù)流通甚至實現(xiàn)數(shù)據(jù)資產(chǎn)化流通是不可逆轉的潮流，許多人都聽說過歐盟的GDPR，一般都只因為它對個人信息的保護要求很嚴格、處罰很嚴厲（一旦違反最高可處企業(yè)全球年度收入的4%）而記住了它；然而，GDPR的立法序言中曾不止一處的提到它的立法初衷并非僅僅是為了提出許多嚴格的、難以實現(xiàn)的個人信息保護要求，或者僅僅是為了處罰，相反，GDPR是為了確保高度保護個人數(shù)據(jù)的同時“促進數(shù)據(jù)在歐盟境內的有效流通”，譬如立法序言第6條“技術快速發(fā)展及全球化進程加快為個人數(shù)據(jù)保護帶來新的挑戰(zhàn)。個人數(shù)據(jù)的收集和共享規(guī)模大幅增長……應在確保高度保護個人數(shù)據(jù)的同時，進一步推進個人數(shù)據(jù)在歐盟內部的自由流通，以及向第三方國家和國際組織的傳輸”。

不可否認，大數(shù)據(jù)分析、數(shù)據(jù)流通對市場經(jīng)濟發(fā)展、對各個行業(yè)發(fā)展、對國家戰(zhàn)略發(fā)展具有巨大推動作用。然而，如果沒有對“第三方SDK”這類個人信息收集工具及其背后團體的有力監(jiān)管，甚至沒有意識到有這一類違規(guī)收集個人信息的、代表巨大商業(yè)利益的組織的存在，那么，所有的APP專項整治、所有的APP或者網(wǎng)站隱私政策就只是一紙空文而已。用戶，即使是再專業(yè)的法律合規(guī)人士，其日復一日審核的也只是使用APP過程中彈出來的一紙隱私政策/隱私協(xié)議，根本無從了解APP背后的“第三方SDK”竟然在在收集并整合一張“完整的用戶畫像圖”。

今年3月份發(fā)布的《APP違法違規(guī)收集使用個人信息自評估指南》中雖然也要求“如果通過嵌入第三方代碼、插件等方式將個人信息傳輸至第三方服務器，應通過彈窗提示等方式明確告知用戶”，但是，“第三方SDK”使用加密等手段，技術上導致有關的個人信息收集成為一個黑盒子，所有的APP評估實際上缺乏真正透明、完整、準確的檢測結果；相關國標及評估指南存在落地的局限。我國需要更為詳細的數(shù)據(jù)保護法案來約束企業(yè)特別是這一類“第三主SDK”企業(yè)的行為，或者至少需要增強其透明度，甚至實行特殊監(jiān)管，畢竟這一類企業(yè)將成為未來的“個人數(shù)據(jù)銀行”！其商業(yè)價值是巨大的，但是其業(yè)務特殊性導致其必須受到國家的重點監(jiān)管！

綜上，我們認為：為了形成健康、良性的數(shù)據(jù)流通、數(shù)據(jù)交易與交換發(fā)展機制，國家和企業(yè)應該：

• 自律并尊重用戶：自律是企業(yè)在個人信息收集及處理領域必須形成的最核心機制之一，同時，只有在尊重用戶、自律的前提下，才有可能使技術不被濫用，才有機會去使數(shù)據(jù)的流通和交易合情合理。這也最終才能反過來造福那些在業(yè)務上依賴收集個人信息及數(shù)據(jù)流通產(chǎn)生盈利的企業(yè)，因為只有用戶信任你能好好盡到尊重用戶并且自律，他們才愿意把個人信息交予你；

• 切實監(jiān)管：如果監(jiān)管沒有抓住實質及核心，只是流于形式，則等同沒有監(jiān)管。通過切實有效的監(jiān)管，抓住核心問題，才能形成實質的威懾力，并且才能夠加大企業(yè)自身的數(shù)據(jù)收集及流通行為的透明度，令到我們每一個人放心。

賽博星人一直都希望通過我們的努力而令到這個世界有一點點不同，并且也希望能夠為構建誠信社會持續(xù)添磚加瓦。對我國個人隱私保護工作的強烈責任感與責任心，促使我們花費了許多精力及時間撰寫了此篇文章。如果看完這篇文章之后，令到您對自己個人信息如何被收集、如何被集中整合的嚴重性有了一點了解，也因此提升了您對自己個人信息的保護意識的話，那么我們就已經(jīng)很欣慰了！畢竟羅馬不是一天建成的，中國的隱私保護事業(yè)，還很很很漫長，它需要每一個人、專業(yè)咨詢機構、企業(yè)、監(jiān)管及執(zhí)行機構共同的努力！雖然我希望自明天開始，不會再收到“營銷”或者騷擾電話，雖然我知道不可能…….

感謝眾多賽博星人小伙伴特別是執(zhí)行“第三方SDK”技術檢測的小伙伴，您們花費了巨大的精力與技術付出，您們是最棒的：

• Filippo (LiuFeng)：摸爬滾打十余載，安全行業(yè)老油條，看遍安全各種蠅營狗茍

• Loki：浸淫運營商行業(yè)數(shù)載，小眼睛挖出大漏洞

• 薇薇（Vera）：熟悉Android安全就像熟悉Chanel色號，安全界最懂時尚，美女界最懂安全

• 狗子(Jackey)：本科時就開始給研究生上課的物聯(lián)網(wǎng)安全技術大神

• 教授(Kenny)：自5歲懂事起開始研究滲透

• 普華吳彥祖(Leo)：安全技術大牛里最帥炸天的

• 股神(Junfei)：由加拿大黑回祖國的北美技術大神

• 大姐大(Kris)：英語專八畢業(yè)然后發(fā)現(xiàn)自己只愛滲透技術的大美女，單身哦~