從“打地鼠”到“造城池”,華為應用市場帶來的安全隱私保護新正規化

naojiti發表於2022-04-26

3·15晚會早已落幕,但曝光的個人隱私問題,卻在大眾心中留下了長久的餘韻,很多人是第一次知道原來利用隱私牟利的花樣如此繁多:簡歷資訊被售賣、Wi-Fi類應用塞廣告、人臉識別攝像頭收集資訊、手機清理軟體誘騙老年人點選……

移動應用的出現,徹底改變了人們的手機使用習慣,帶來了豐富多彩的數字生活,也帶來了層出不窮的個人隱私安全問題。但一次次曝光、專項整治的背後,還需要深思的是:為什麼隱私事故屢禁不止?除了每次事故發生之後快速行動的“打地鼠”模式,能不能從一開始就在每一位使用者的手機裡建造一座固若金湯的隱私城池?

後者當然是我們所希望看到的,也是頗具挑戰的一件事。甚至被保護的使用者群體本身,都可能會有不同的反應。

回想一下,當你面對應用程式的安全隱私問題時,內心是否常常糾結:有時只能躺平,不授權App訪問資料,照樣會被推送廣告,乾脆讓渡許可權看點符合自己興趣的;有時不願意給App開放許可權,但部分功能需要使用時卻不得不授權;有時明明重視隱私,卻在面對個人資訊授權書時選擇“字多不看”……

網際網路應用的安全與隱私保護,是一個既好解決,又難以解決的問題。在監管部門的監督下,各個下載平臺都在努力提供安全保護的功能,但新的應用安全問題依然時不時出現,讓使用者依然面臨著安全被侵害的風險。理想與現實的鴻溝,也需要漫長的時間和手段來搭建解決方案。

2022年,是華為應用市場釋出年度安全隱私報告的第四年,作為對自身技術能力、新增安全功能和上下架稽核情況的年度回顧介紹。從這個角度看,《華為應用市場2021年度安全隱私報告》是一個很好的契機,讓我們從更長的時間、更完整的脈絡去重新梳理隱私城池的營造之路,或許可以找到隱私問題從何而來,將朝著什麼方向發展。

設計圖:隱私城池的營造難題

為什麼大家似乎重視隱私,實際生活中卻很難將隱私保護作為最高行動方針呢?隱私保護的動機和行動之間,有著複雜且動態的考量。對此,保護動機理論(Protection Motivation Theory,簡稱PMT)給出了具有說服力的解釋,或許可以作為我們營造隱私城池的設計圖指南。

PMT理論認為,在人們採取隱私保護行為時,會有兩大方面、四個問題的考量。

一是威脅評估(threat appraisal),需要考慮威脅有多嚴重(perceived threat severity),自己遭受隱私威脅的可能性有多大(perceived threat vulnerability)。

顯然,在萬物互聯的大背景下,人們對於隱私威脅的嚴重性和脆弱性都越來越強。應用程式正在大幅增加對個人資料的獲取,透過智慧手機跟蹤我們的生活習慣、購買記錄、興趣愛好,透過搜尋引擎檢視我們的想法,藉助可穿戴裝置和感測器瞭解我們的生理健康狀況……在國內,數以十億計使用者每天都在使用移動應用,覆蓋政務、醫療、衣食住行等各個方面,個人在使用手機時資料很容易被收集,也必然會面臨風險,這導致對隱私威脅的擔憂與日俱增。

二是應對評估(coping appraisal),會考慮相關解決方案能不能有效減少威脅(perceived response efficacy),同時個人願不願意行動(perceived self efficacy)。

顯然,對於平臺來說,必須主動為使用者提供隱私保障,而目前基於安卓的開放平臺出現了各種各樣的下載安裝渠道,很多入口得不到監管保護,各類平臺、搜尋引擎、資訊流對有關部門指示落實的程度也有區別,破壞了不少使用者對於平臺的信心,覺得不能得到有效保護,乾脆躺平算了。而另一方面,如果使用者需要為保護隱私付出太多精力和成本,或是無法使用某些服務帶來不便等,其對於隱私行動的意願也可能降低。比如今年3·15曝光簡歷流入黑市之後,幾大招聘平臺暫停了部分簡歷下載服務,就引發了企業HR招聘人員的不滿,也讓求職者可能錯過就業機會。

不難發現,作為內容分發和下載平臺的應用市場在推出隱私保護舉措時,也需要在PMT理論的問題天平上進行艱難的平衡。如果動作幅度太大,會損害使用者和開發者的利益;如果保護幅度不夠,又無法真正有效地保護個人隱私安全。

這一點人類在公元前就已經意識到了,古希臘人在建造城邦時,既需要最大程度地利用自然光線來保證採光,又要使內部空間暴露在公共視野下的面積降到最小,以保護隱私。同樣,應用市場同樣需要建造一座城池營壘,既能夠抵擋移動應用程式對個人資訊資料的違規窺探,又不能影響大家享受便捷精彩的數字生活。

這需要對移動應用生態有堅定、全面且深入的理解,而華為應用市場很早就開始書寫答案。

施工圖:華為應用市場的營造手冊

基於PMT模型的四大問題,一座移動應用隱私城池的設計指南也就躍然紙上了,它需要:1.減少可能帶來損害的隱私威脅;2.降低個人遭受風險的機率;3.應對措施真正發揮保護作用;4.減少給個人使用者造成的不便。

聽起來很讓人嚮往,但落實起來卻很有難度,前提是必須有足夠的信念、技術、執行等底牌作為支撐。連續四年釋出年度報告的華為應用市場,顯然承接住了這種期待,各種實打實的資料和案例比任何口頭保證都更有說服力。

透過最新一期的2021安全隱私年度報告,可以看到華為應用市場在過去這些年是如何沿著設計圖來營造隱私城池的。

第一步:修築無死角的防護城牆,阻擋外來威脅。

華為應用市場以網路安全和隱私保護作為最高綱領,十年來不斷探索,構建了嚴格的四重檢測體系,從開發者資質稽核、應用上架前安全檢測、應用下載和使用期間的執行管理、應用的定期複測到使用者反饋問題的跟蹤等方面,提供覆蓋應用全生命週期的安全保障。

透過對隱私保護的全程把控,華為應用市場不僅能夠最大程度地減少潛在威脅,資料顯示,2021全年,華為應用市場複測應用超過20萬款,主動處置問題應用超過6萬款,有效地降低使用應用的風險。

華為應用市場還將保護動作前移,不用等問題發生之後再“亡羊補牢”,提前對超範圍收集個人資訊、違規收集/使用個人資訊、應用強制/頻繁/過度索取許可權、應用頻繁自啟動和關聯啟動、強制使用者使用定向推送功能等常見違規行為進行嚴格稽核,從源頭減少隱私威脅。

第二步:建立防禦的技術制高點,減少新型威脅。

隱私安全問題愈演愈烈,與AI、DeepFake等新技術的違規使用有直接關係,所以要減少個人遭遇資訊洩露、欺詐、威脅的風險,需要“魔高一尺,道高一丈”的技術實力,拿下防禦的制高點。而在技術優勢上,華為從不讓人失望。

華為應用市場聯合華為2012實驗室,在中國北京、德國杜塞爾多夫設立終端開放實驗室,利用AI、雲端計算等多種技術快速、有效地進行測試。基於華為防毒雲SecDroid掃描系統,可檢測病毒、漏洞、廣告、惡意行為、惡意扣費、隱私等諸多問題,實時監測未知的惡意威脅。

第三步:引入動態化、垂直化、專項化的有效行動,保護每一次互動。

網上衝浪是一個動態過程,隱私威脅也不例外,移動應用程式在執行過程中的每一次互動,都可能帶來風險,華為應用市場也探索出了不少解決方案。

整個應用執行週期,採用動態化的全程監管。報告顯示,2021 年華為應用市場正式上線“隱私標籤”,並呼籲越來越多的開發者適配該功能。“隱私標籤”將 App 在執行過程中可能收集的個人資訊類別和用途清晰呈現,幫助使用者在讀懂理解的基礎上對應用做出選擇,提高使用者對應用收集隱私資訊的感知度。

針對垂直群體的個性化需求,研發了兒童模式、年齡分級等功能,更精準地進行隱私保護。華為應用市場成立專業的兒童類應用稽核團隊,制定了明確的年齡分級稽核標準,按梯度對應用內容進格稽核,同時不定期回掃、複測,讓應用更準確地呈現在適齡使用者面前,保護未成年人。

配合有關部門的專項整治行動,進行專項排查處理。針對涉嫌違規的應用,就隱私政策、遊戲防沉迷系統、應用內廣告、未成年人保護、應用“變臉”等專項展開復測,比如央視3·15晚會曝光智慧兒童手錶安全防護問題後,華為應用市場隨即按照工信部發文要求,對在架兒童表應用進行全面排查,對眾多存在潛在風險的應用要求限期整改, 顯著地降低了應用風險。

這些行動實時、精準、有力,真正發揮了保護隱私安全的作用。

第四步:加速保護功能的規模化普及,減少個人使用者成本。

影響個人採取隱私保護行動的阻礙之一,就是需要投入大量的時間、精力成本對應用程式進行判斷,很多使用者在繁瑣的操作面前選擇放棄。顯然,降低使用者行動成本最直接的辦法之一,就是擴大平臺保護功能的普及範圍,同時讓使用者儘可能遠離未受保護的應用。如果全部應用都能夠遵守平臺隱私規範,那使用者也就不用逐個審查了。

為此,華為應用市場對內,在2021年6月帶來了HarmonyOS純淨模式,在系統層面保護使用者下載渠道的安全,使用者只需開啟純淨模式就能接受保護。當使用者透過其他渠道主動或被動下載未上架應用時,將會收到安全提醒,並且輸入華為帳號的密碼才可繼續。同時,華為應用市場採用系統自動化測試和人工複核相結合的方式,對申請上架的應用進行嚴格稽核,擴大篩查範圍。

對外,呼籲開發者共同遵守有關部門的隱私規定,引導開發者瞭解上架稽核規則和標準,按要求公開隱私、許可權等資訊,從源頭減少使用者的選擇試錯成本,放心下載使用。

說白了,隱私保護是一個長期、多維、博弈的過程,不能抱著亡羊補牢、畢其功於一役的單一想法,將各種要素綜合、完整地編織成一套防禦體系,才能夠營造出固若金湯的隱私城池。

華為應用市場呈現的安全與隱私保護工作,背後隱藏著的是華為應用市場在理念、技術、行動、生態等多個方面的努力。正是這樣的持續投入,讓華為應用市場能夠在複雜的安全保護問題上,收穫使用者和業界的高評價,率先建立起清晰的、體系化的標準正規化。

佈防圖:向著萬物智聯,春風不度玉門關

依靠成體系、有實效的實踐,華為應用市場帶來了安全隱私保護的新正規化。不過,萬物智聯時代,安全威脅無處不在,個人資料在全球範圍內受到的監管要求日趨嚴格,所以每個平臺都還有提升的空間;同時,安全問題是一場長期攻防戰,要不斷迎接新的技術挑戰,每個平臺都得建立起自己的營地。

從這個趨勢來看,網際網路移動應用的安全隱私保護將得到社會各界的進一步重視,而這也將給整個行業帶來更復雜的影響。

首先,隨著智慧手機進入存量市場,人們越來越注重多裝置互動、軟體服務等增值體驗,這也給安全隱私保護帶來了新的挑戰及更嚴苛的要求,因此,在隱私領域收穫使用者信心與信任,意味著在接下來的市場競爭中有了堅實的使用者基礎。

其次,移動浪潮發展到現在,應用程式創新越來越難,而5G、AI、IoT、區塊鏈等大量新技術的應用,使得安全隱私保護的要求更高、難度更大,但對於開發者來說也帶來了新的機遇。未來,在隱私領域負責任的平臺,使用者基數也更大,讓開發者在該平臺推出產品更具商業潛力,而開發者的匯聚又會帶來更多創新應用,吸引更多使用者。安全與隱私保護,正是“滾雪球式”生態繁榮的基點。

更進一步,歐盟、中國、美國等都出的臺了最新的資料保護規則,核心是“讓公民重新控制其個人資料”,這意味著未來個人資訊資料將具備前所未有的價值,重塑移動網際網路行業的利益規則,不法分子藉助應用程式違規獲取資料的收益也將變大,一場更激烈的隱私攻防戰即將拉開序幕,安全隱私保護將成為各大應用市場的勝負手。

在這個故事中,華為應用市場無疑走在了前面。在全球範圍內,華為應用市場已經獲得了多項權威隱私安全認證,其中 ISO/IEC 27701 認證,意味著華為應用市場在產品設計、研發、運營和運維服務等環節,已經擁有相對完備的個人資訊保護管理體系,在個人資訊保安管理、透明性和隱私合規等方面可靠性強。

能力越強,責任也越大,面向萬物智聯的新趨勢,華為應用市場也需要承擔起推動產業規範升級的重擔。從行業的角度,應該從幾個方面繼續發力:

1.技術革新。作為5G、基礎軟體、作業系統、AI、雲服務等技術的深耕者,從技術融合、協同的角度,給安全和隱私保護持續提供新的解決方案。

2.社會責任。對網際網路應用秩序監管的責任,除了要靠監管部門下發要求,以及要靠開發者的自覺,作為平臺也需要承擔履行管理責任。這一點上,華為應用市場可以起到標杆作用,帶動各大平臺一起捲起來。

3. 生態蓄力。越來越多智慧終端加入移動應用生態,意味著隱私保護要覆蓋到應用程式的全生命週期,不斷檢測、迭代,離不開個人開發者、網際網路企業、數字化行業等生態力量的參與,華為應用市場的應用生態建設和對安全的嚴格要求,也為隱私保護的進一步發展奠定有利基礎。

對於每一個使用者來說,這是一個最好的時代,我們面前有著無比廣闊的移動應用,數字生活帶來前所未有的便捷;這也是一個最壞的時代,我們面臨的安全風險與隱私威脅也是出其不意、目不所及的,這意味著你我很可能在不知不覺間就輸掉了這場隱私戰鬥。

在這個階段,走進一座高效且安全的隱私城池,或許才是美好數字生活的開始。

有理由相信,隨著隱私城池營壘的持續建造與繁榮,移動網際網路的下一輪增長正在醞釀。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31561483/viewspace-2888914/,如需轉載,請註明出處,否則將追究法律責任。

相關文章