通信世界网消息(CWW)近日,华为和腾讯微信之间争执不断,腾讯表示已向监管部门投诉华为,称华为侵犯用户隐私,而华为方面则认为产品通过检测,不存在争议。
抛开华为与腾讯之间的是非恩怨,就用户数据读取而言,厂商合法行为的边界在哪里?用户的隐私保护情况究竟如何?记者近日就此话题采访了中国信息通信研究院泰尔终端实验室信息安全部(以下简称IFS)。
IFS表示,对于读者用户数据,《中华人民共和国网络安全法》有明文规定。其第四十一条规定,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。”“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。”
因此IFS认为,依据《网络安全法》,厂商可以收集用户数据,并据此判断其收集的途径是否合法公开、收集的个人信息是否与其业务相关、收集信息的行为是否经过用户同意,以及事后是否有泄漏、篡改、毁损个人信息等。
目前,终端厂商及互联网厂商大多通过预置或安装应用的方式来收集数据。在具体的存储方式上,有的终端厂商将用户信息存在本机,有的存在云端。IFS表示,凡是从本机存储到云端的数据肯定要先存储在本机。从数据的机密性角度来讲,由用户在终端输入或产生的用户信息存在本机更安全,也更透明;从数据的可备份可恢复角度讲,在本机和云端都存储更安全。
为了保护个人隐私,有的用户采取了彻底删除信息的方式。但是在IFS看来,这一操作能否确保信息安全,主要和设计删除功能的厂商方案有关。也就是说,彻底删除的动作并不能保证用户隐私。
而对于终端厂商,要从技术上保证用户信息的隐私和安全,IFS认为可以在设计开发阶段完善权限分配、访问控制策略,通过加密及隔离机制保护隐私数据的存储和传输安全,上市后及时修补终端中的漏洞等。
对于AI日益增长的用户数据搜集需求,IFS认为,厂商在发展AI技术的同时应更重视收集数据的内容合法性,应遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经过用户同意,同时对收集的信息严格保密,应加强数据收集,存储,加工,转移,删除等过程的安全保护,防止可能发生的个人信息泄露、毁损、丢失等情况,安全技术的使用应该在产品设计阶段被优先考虑在内。
