小王这几天有点烦。他想注销掉一款APP,却发现怎么也注销不掉。“账户信息被永久保存在这个APP里,很担心个人隐私会被泄露出去。”小王说。
像小王这样的人不在少数。生活中,各种各样的APP在给人们带来便利的同时,也平添了不少烦恼。这些删不掉的信息是否会造成安全隐患?
注销账户不等于用户信息被清除
“用户因生活、工作等日常需要,会注册很多手机APP账户。但在注销账户时,时常会碰到难题,‘进门容易出门难’的问题一直没有解决。”1月21日,北京理工大学软件安全研究所副所长闫怀志在接受科技日报记者采访时说。
用户注销APP难,究其原因,闫怀志分析,出于留住用户目的,平台可能不愿提供注销选项。有的APP平台虽然提供注销选项,但注销流程繁复。比如,注销有些APP,需要在特定时间段内没有修改绑定、更换密码以及敏感操作等。
其次,有的APP平台出于安全考虑(如淘宝APP),设置了较为苛刻的注销条件,注销门槛很高。只有在确认注销操作为用户的真实意愿且不会产生安全问题和商业纠纷时,平台才允许用户注销。
闫怀志表示,用户注销APP后,平台有可能会留存两类信息:一是用户注册信息,如用户名、密码、身份证号、手机号、邮箱等基本信息;二是用户的历史操作信息。比如,用户的访问信息、消费信息及支付信息等。
“需要指出的是,即便用户成功注销了APP账户,也只是从用户侧实现了信息的‘伪消除’。如果想彻底消除这些信息,还要依靠APP平台自身。”闫怀志强调。
用户信息多存于后台数据库
既然很难彻底清除,那这些信息又会被保存在哪儿?
对此,闫怀志介绍,用户的注册信息和历史操作信息大多会被保存在APP后台数据库。具体而言,信息既可能被保存在平台运营商自己的数据中心或私有云中,也可能被保存在公有云中。此外,平台还可能将这些信息进行备份。
“与传统数据中心的存储方式不同,APP平台使用的云存储涉及到网络设备、存储设备、计算设备、接口设备等诸多软硬件系统,其核心是存储设备。”闫怀志说,通常用户资料被保存在云存储设备,管理这一设备的是云服务提供商。负责云存储安全的不仅有云服务提供商,还有租用云存储服务的APP平台运营商。
当前,云计算服务一般有三种模式,即SaaS、PaaS和IaaS。SaaS(Software as a service)意为软件即服务,PaaS(Platform as a Service)意为平台即服务,IaaS(Infrastructure as a Service)意为基础设施即服务。
“在上述三种服务模式中,云服务提供商和APP平台运营商对云计算资源的控制范围是不同的。”闫怀志说,这就决定了双方承担的责任是不同的,云服务商因完全控制云计算的设施层(物理环境)、硬件层(物理设备)和控制层,因而应对此承担完全的安全责任。应用软件层、软件平台层、虚拟化计算资源层的安全责任则由云服务提供商和APP平台运营商共同承担。
信息清除不复杂 关键看APP运营商
“客观来讲,由于云平台的重要性,云服务提供商一般会在虚拟化安全、数据安全、应用安全以及管理安全等方面采取措施,以此保障云存储的系统安全性。”闫怀志说。
闫怀志认为,云平台数据存储的安全保护工作是一项系统工程,它涉及云计算系统物理和环境安全、网络和通信安全、设备和计算安全及应用和数据安全。我国即将出台《网络安全等级保护2.0标准》,该标准对云计算安全提出了扩展要求。APP平台运营商如果租用云存储设备存储数据,也要按照相关要求承担相应的安全责任。
其实,在账户被注销后,想要删除存储在APP平台的注册信息和历史操作信息,这一操作在技术上实现起来并不复杂。
“但问题在于,APP平台运营商有无动力和意愿去删除这些信息。对于普通用户来说,几乎没有渠道和能力来控制。因此,必须依靠法律法规和制度,从政府监管层面来解决账户注销和信息清除问题。”闫怀志说。
的确,工信部赛迪网络安全研究所所长刘权曾表示,国内90%的安卓手机安装的APP都存在漏洞。
数据保护应有规可依、有规必依
在我国,公民个人信息泄露已成顽疾。业界普遍认为,我国尚未施行针对数据保护的综合性立法,而且现有涉及数据保护的法律法规和标准的操作性不强。与国际先进水平相比,尚存在一定的差距,尤其是在体系化、覆盖面、深度与有效性方面差距更为明显。
在闫怀志看来,想要切实保障数据安全,就必须构建起完善的安全保障体系。而安全保障体系的建立,离不开信息安全法规和标准的支持。因此,在数据保护领域,法律法规和标准至关重要。有关数据保护的法律法规问题涉及面很广,它涉及到信息安全犯罪和信息隐私等问题,需要从立法、司法等层面,逐步建立并完善针对上述问题的防控措施,以保障网络空间的数据安全。
“从数据保护的实践上来说,一要加快推进相关法律、法规及标准的出台,做到有规可依、有规必依。”闫怀志说。
好在这种局面正在发生改变。1月12日,工信部就个人信息保护问题约谈百度、支付宝及今日头条三家企业,要求其本着充分保障用户知情权和选择权的原则立即进行整改,不得收集服务所必需以外的用户个人信息,不得将信息用于提供服务之外的目的,不得非法向他人出售或提供个人信息等。
闫怀志表示,在数据保护领域,可借鉴欧盟将于2018年生效的《通用数据保护条例》。同时,要加强合理运用安全技术的能力,化解数据“开放共享”与“隐私保护”这对突出矛盾。此外,要加强相关的监管工作,切实提高用户的安全意识和系统的安全防护水平,做到事前能预防、事发有反制、事后能补救。