你永远不知道你在用户协议里同意了什么

2020-06-15 11:46:29 浏览数 (1)

“每个人都撒过一个谎,就是‘我已阅读并同意用户使用协议’。”

绝大部分人都不会真的阅读,因为如果真的阅读了,你未必会同意这份协议。

互联网赋予了你足不出户的生活资本,而你需要拿出来置换的,是你的个人信息,你的位置,你的肖像权。

“下厨房这个app什么意思,为什么还要定位,我烧得不好吃还要派人来打我是吗?”

发一张自拍玩个换脸游戏,你就有机会看到自己的脸出现在各种好莱坞大片里,也可能出现在pornhub的推荐区。

因为当你打开APP的时候,就已经同意了它免费使用和修改你的肖像。

图片来源:EC@IC CIFUENTES

甚至你的创作,也并不属于你,在很长一段时间里,你并不拥有自由处置自己微博的权力。

微博案例

微博用户想要在第三方授权自己的内容,需要得到微博的同意,并且无偿授权微博去维权,维权的收益全部归微博所有。

直到前两年微博推出了《微博个人信息保护政策》,要用微博就得同意接受它的政策,有些人才被迫去认真地阅读了这个用户协议,并且发现了微博的精心设计。

图片来源:微博@momo酱也是徐老师

被臭骂了一通之后,微博连夜修改了协议,并作出了巨大让步,现在只拥有你发布内容的使用权了。

但大部分用户根本不知道自己曾经跟微博达到了共产共享的文明高度,我们已经习惯于跳过阅读,因为大部分用户协议实在又臭又长,生怕用户看完了还看懂了。

前段时间针对媒体报道的新浪微博因用户查询接口被恶意调用导致App数据泄露问题,工业和信息化部网络安全管理局对新浪微博相关负责人进行了问询约谈,要求其按照《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求,对照工信部等四部门制定的《App违法违规收集使用个人信息行为认定方法》,进一步采取有效措施,消除数据安全隐患:

一是要尽快完善隐私政策,规范用户个人信息收集使用行为;

二是要加强用户信息分类分级保护,强化用户查询接口风险控制等安全保护策略;

三是要加强企业内部数据安全管理,定期及新业务上线前要开展数据安全合规性自评估,及时防范数据安全风险;

四是要在发生重大数据安全事件时,及时告知用户并向主管部门报告。

关于微博5亿账户手机号以及对应uid的数据泄露事件,想必都知道的差不多了,事到如今,每一次重大的数据泄露,总有人会去购买,尤其是这种能够窥探相当一部分中国人的重大隐私的数据。

简言之,利用微博,定位到个人、手机号、微博 ID 和 QQ 号。拿到手机号和 QQ 后,再去获取身份证信息、密码信息等。未来这些数据还是会源源不断的向外输送。没有买卖,就没有伤害。

用户协议

一份标准的用户协议平均11972个字,按照普通人每分钟200字的阅读速度,你要花将近1个小时来读完一份服务条款。

在现实生活里,每个人都无比珍视自己的个人隐私空间,上公厕没纸,宁愿叫个外卖也不愿扫码关注取纸机上的公众号,来换取一截60cm的厕纸。

只有当所有信息都被互联网压碎成字节在零点几秒传输到各个角落的时候,一个不痛不痒的“我已阅读并同意”, 才可以把那些珍贵的信息和个人隐私空间给打包送出去,跟厕纸一样便宜。

用户协议是开发者和使用者建立联系的第一道命门,又往往成了各大平台自由发挥的飞地。

还有些善良的平台曾经在用户协议里故意制造陷阱,试图唤起更多人的警惕:

GameStation曾经修改了他们的用户协议,凡是愚人节当天在网站下单的人,都将授权他们拥有用户的灵魂。

只有12%的人注意到了这条协议,选择了“取消灵魂转让”的链接,并且得到了GameStation五英镑的折扣券,还有7500多人看都没看就出卖了自己的灵魂。

指望每个平台的协议陷阱都是一次公益警告是不现实的,有时候,用户其实是产品,广告商才是客户,同意用户使用协议的人,只是把自己珍视的信息,填进了互联网的流量池。

用户只拥有选择同意的权利,不同意等同于放弃。

图片来源:微博@海洋_飘飘

因为疫情我们最近已经在无数餐馆,商场和酒吧留下了自己的真实姓名,电话,体温和身份证号码。隐隐感觉名单里的个人信息在暗网被贩卖无数次了。

前阵子为了能进小区的大门,我在保安的指导下下载了一个注册刷脸开门的APP,其中有一步是人脸录入,需要我在摄像头前不停地调整角度,眨眼,把自己完整地塞入屏幕的人像框里。

有一瞬间,我觉得自己的脸就像一个硕大的指纹,按在了一张张我不知道的同意协议里,拥有了我不知道的权益和责任

数据安全建议

我们手机里排着满满当当的APP,每个都附带着一份用户协议,只不过它的存在感就像走个过场。

但我们没有必要过分担心,这些用户协议里也明确规定了对用户的保护,一切置换都被明码标价写进了条款里。

扎克伯格先生,你的用户协议太操蛋了

——真的吗?我没有读过噢

对网友而言,我们虽然是个人信息数据的拥有者,但不是数据的控制者。“当我们把信息委托给某一个平台,那我们其实将主动权交给了对方。”

作为一个普通人,我们可以采取一些举措去有效地保护个人数据:

1.在不同平台设置不同密码,并在某个固定时间去修改所有密码。这样虽然麻烦点,但是好处是,一旦数据泄露,影响面比较小。并且,频繁修改密码后,即使发生泄露,信息有效性的时间会比较短;

2.重要信息分类使用。当获取服务时,手机要绑定个人信息,要多加注意被绑定的信息。

无疑,微博的数据泄露给广大企业敲响了警钟。当数据成为这个时代的“石油”,它就成为许多人争夺的对象。

对企业或组织机构而言,它们对数据泄露应采取积极主动的态度,避免数据泄露事件发生。

有安全专家给出了 3 条建议:

1、完善数据安全防护手段

当前,企业对数据安全主要采取防范计算机病毒、网络攻击、网络侵入的网络边界防护和终端管控手段,缺少对内容的深度识别或感知技术,并且缺少对敏感数据的全方位治理和安全管理手段。

敏感数据是什么、存放在什么位置、流转经过哪些节点、数据泄露后如何溯源追责,企业都应该采取相应的数据安全产品和技术手段来解决这些问题。

2、建立可落地的行业性数据安全规范和企业数据安全管理制度

最近几年,数据安全已经被逐步纳入国家法规和行业规范中,包括《网络安全法》、《网络安全等级保护基本要求 2.0》、《个人信息安全规范》、欧盟《GDPR》等。数据安全已经成为新一代信息安全标准的基本内容。

虽然这些已颁布的法律法规对数据安全和个人信息保护进行了明确立法规定,对各类组织承担的数据安全保障义务与责任进行明确要求,并保障个人对其个人信息的安全可控。

这位专家表示,“如果上述法规要指导企业落实具体的数据安全保护手段,仍然需要结合具体行业特点,对数据安全防护的技术手段进行明确要求,增强可落实性和可执行性。”

3、提高安全意识,增加对内部数据泄露风险的防护

目前,企业对数据安全的投入,主要是针对外部攻击的防护,如防火墙、IDS、防病毒软件等,而这些技术手段很难对内部人员有意或无意的泄露行为进行识别和防护。

调查结果表明,绝大部分的泄露风险来自企业内部,其中邮件外发和互联网上传是两个最方便的数据外传手段,也是泄露事件发生概率最高的两个渠道。

因此,企业应加强对内部员工或运维人员的安全意识管理,增加对数据防泄漏产品的投入,实行对内部人员泄露行为的检测和管控,降低内部人员有意无意的拷贝、外发和上传等操作带来的数据泄露风险。

NIS研究院整理编辑

文章来源:公路商店 网络

·END·

0 人点赞