健身应用彻底改变了我们对待健康和锻炼的方式。它们让用户能够跟踪锻炼情况、监控健身目标的进度并与志同道合的社区分享成就。然而,这些好处也伴随着巨大的隐私和安全风险,尤其是用户位置泄露的风险。
《卫报》和法国报纸《世界报》最近报道称,Strava 等健身应用程序泄露了一些世界领导人的所在地,带来潜在的安全风险。
这种情况凸显了立法措施未能跟上技术进步的步伐,但也凸显了用户在使用此类平台时必须采取更谨慎的态度。
虽然法律框架为保护用户隐私奠定了基础,但它们并非万无一失。这需要双重责任。监管机构和用户必须合作,以确保强大的数据安全。
健身应用通常需要访问位置数据,以便准确跟踪跑步、骑自行车和步行等活动。虽然此功能对用户有益,但也存在潜在的安全漏洞。这并不是 Strava 第一次因其处理位置数据的方式而受到审查。
2018 年,该公司的“全球热图”功能(该功能可直观显示用户的活动)无意中泄露了秘密军事基地的位置。发生这种情况的原因是使用该应用程序的士兵在不知情的情况下分享了他们的跑步路线,这些路线随后被汇总并显示在热图上。
此类漏洞并非孤立存在的,而是在严重依赖数据聚合和传输过程的类似应用程序中普遍存在。此事件凸显了健身应用程序可能危及敏感位置。主要风险是用户的实时位置和习惯路线被泄露,这可能会被网络犯罪分子等心怀不轨的人利用。
那么用户如何保护自己
英国的法律框架是否足够强大,以确保用户权利得到保护?
在英国,管理数据保护的主要法律是《2018 年数据保护法》(DPA),其中包含了《通用数据保护条例》。该法律框架对组织如何处理个人数据(包括位置数据)制定了严格的要求。
例如,苹果的定位服务隐私政策规定了如何使用位置数据。根据 DPA,用户对其个人数据拥有多项权利。其中包括知情权、访问权和更正权等。然而,这些立法措施尚未随着技术的快速进步而发展。
DPA 可能没有足够的能力专门针对通过健身应用共享的复杂数据。健身应用也被视为低风险人工智能系统,因此仅受基本产品责任法的约束,而不是管理医疗器械的更严格的法律。
在日常互联网产品的使用中,消费者可以保持以下良好习惯:
- 在正规应用商店或者APP产品提供者官网下载APP,不点击来源不明的链接进行下载安装
- 使用APP及相关服务前,仔细阅读个人信息保护政策,充分了解APP收集和使用个人信息的类型、目的和方式,以及如何行使用户权利方式等内容
- 谨慎授予APP使用敏感权限(如位置、相机、麦克风、通讯录等),可以在使用APP特定功能或服务时打开相关敏感权限,不使用时关闭
- 多使用APP提供的隐私功能或隐私设置,主动、合理行使自己的对于个人信息的权利
- 发现安全隐患时,及时联系APP产品提供方,可以有效减少安全事件带来的不利影响
- 遇到侵犯用户个人信息情况时,及时联系产品提供者或向有关机构进行投诉
承担责任
然而,责任不能仅仅落在监管框架上。用户必须提高对在线分享个人信息的潜在危害的认识。
例如,Strava 提供隐私区,可隐藏指定半径范围内活动的起点和终点。除此之外,用户还应了解共享位置数据的潜在风险以及如何有效使用隐私功能,包括查看隐私政策。
用户还可以选择分享应用程序运行所需的最少个人数据。提高对这些功能的认识有助于创造一种让高度谨慎成为第二天性的文化。
与此同时,健身应用开发者必须确保遵守数据保护法,包括实施强有力的安全措施来保护用户数据。定期的安全审核和更新也有助于识别和解决健身应用中的漏洞。
这种双重方法——全面的立法行动加上明智的用户和开发者行为——可以减轻与新兴技术相关的风险,确保即使用户更深入地参与这些平台,个人数据仍然安全。
在《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》和《中华人民共和国未成年人保护法》上位法基础上,国家互联网信息办公室于2022年6月14日发布了新修订的《移动互联网应用程序信息服务管理规定》,规定了移动应用分发平台对APP提供者进行身份验证及公示、管理APP提供者、制定并公开平台管理规则及与APP提供者签订服务协议等合规义务,新规自2022年8月1日起施行。
目前,全国信息安全标准化技术委员会组织开展了《信息安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南》(征求意见稿)国家标准编制工作,主要从APP个人信息处理活动的上架前审核到上架后管理两方面对移动应用分发平台提出相关要求;同时,中国通信标准化协会、电信终端产业协会也在行业标准和团体标准层面积极开展工作,重点围绕分发平台管理、APP信息展示以及信用评价(分发平台和APP开发者)组织相关标准编制工作。