林樺芫

APP（移動互聯(lián)網應用程序）已經滲入生活的各個方面，在給人們帶來各種便利的同時，也存留下不小的安全風險，比如個人信息被泄露后濫用、高仿APP甚至已形成危害用戶網絡安全的產業(yè)鏈。在掌心時代，網絡安全的本質仍是技術對抗，保障APP的安全運營與操作離不開網絡安全技術和產業(yè)的有力支撐。

掌心時代守護安全

據中國互聯(lián)網絡信息中心發(fā)布的第46次《中國互聯(lián)網絡發(fā)展狀況統(tǒng)計報告》，截至今年6月，中國內地網民規(guī)模達9.4億人，手機上網比例高達99.2%，遠超37.3%的臺式電腦、31.8%的筆記本電腦上網比例，越來越多的人習慣用手機APP處理各種事務，“在移動領域，設備只占使用體驗的一小部分，用戶的大部分體驗還是網絡。盡管移動安全產品會影響用戶的使用體驗，但它也能提升設備的安全性?！迸c之相對的是，今年以來公安部依法處置了7000多款存在違法違規(guī)行為的APP。《全國移動APP風險監(jiān)測評估報告》的統(tǒng)計數據顯示，其收錄的318萬款APP中，95%以上的APP存在一定程度的漏洞，近一成存在惡意行為，存在著隱私泄露的隱患，安全存疑。

去年全國信息安全標準化技術委員會、中國消費者協(xié)會、中國互聯(lián)網協(xié)會、中國網絡空間安全協(xié)會即已成立APP違法違規(guī)收集使用個人信息專項治理工作組，推動APP違法違規(guī)收集使用個人信息評估工作。此前工信部印發(fā)的《電信和互聯(lián)網行業(yè)提升網絡數據安全保護能力專項行動方案》提出，要深化APP違法違規(guī)專項治理，持續(xù)推進APP違法違規(guī)收集使用個人信息專項治理行動，并在2020年累計巡查4.8萬余款APP，專項檢查200多款APP。

9月20日，APP專項治理工作組聯(lián)合中國電子技術標準化研究院發(fā)布“APP個人信息保護合規(guī)評估工具”，其將為企業(yè)免費提供APP隱私條款評估、個人信息保護合規(guī)自查等在線服務。同時，我國APP安全認證工作正式開展，云閃付、蘇寧易購、中國移動、百度地圖等10家企業(yè)的18款APP獲頒安全認證證書；根據規(guī)定，獲證APP運營者在認證過程中存在欺騙、隱瞞、違反承諾等不當行為，認證機構將撤銷認證。中國網絡安全審查技術與認證中心主任魏昊表示，“開展APP安全認證工作，主要是建立、完善權威公信的APP安全認證體系，利用市場選擇機制引導APP運營者規(guī)范個人信息收集、使用、轉讓等行為，為數據安全綜合治理提供基礎性技術支撐，規(guī)范市場秩序。同時，將APP安全認證作為一種常態(tài)化機制在APP治理工作中的積極作用發(fā)揮出來，減少各行業(yè)管理部門的重復檢測和評估，降低企業(yè)負擔?！敝袊鴤髅酱髮W文化產業(yè)管理學院法律系主任鄭寧則認為，“APP安全認證制度的建立和實施，旨在幫助政府部門充分利用市場選擇機制的引領作用，營造良好的APP消費使用環(huán)境，建立規(guī)范化的收集、使用個人信息的APP行業(yè)生態(tài)。”

多方合力共建生態(tài)

注冊備案、行業(yè)調研、專業(yè)策劃原型、系統(tǒng)架構策劃、UI設計、客戶端開發(fā)、上架應用、后期維護……APP制作門檻并不高，且多數應用市場審核并不嚴格，APP安全爆雷事件由此多發(fā)；同時，一些企業(yè)抱著“不管有用沒用，多收集一點總沒壞處”的心態(tài)，濫采用戶信息和資料，備做它用……這樣的市場混沌情形下，個人在互聯(lián)網上的困境自然越來越明顯。

個人信息安全已被行業(yè)及公眾愈加重視，但亦不必陷入絕對的恐慌情緒，APP專項治理工作組專家何延哲表示，“一方面，用戶的隱私保護意識越來越高是好事，但另一方面，很多人陷入了一個誤區(qū)，似乎一談到收集個人信息就是完全錯誤的，但事實上APP收集個人信息在很多情況下也是為用戶服務?！边@其間需要把握的度量在于，“我國出臺的相關法律法規(guī)保護個人信息的使用，主要就是體現在要求用戶有知情權，另外要允許用戶在拒絕這些權限索取的情況下，依然提供正常的服務。”

實際上，APP哪些收集個人信息的行為屬于違法、違規(guī)已有明確界定，2018年的國家標準《個人信息安全規(guī)范》即對收集個人信息給出三項衡量標準——收集個人信息與實現產品或服務的業(yè)務功能之間的直接關聯(lián)、最低頻率和最少數量關系。個人信息的收集使用規(guī)則需有一個從無到有、從不透明到透明的過程，最明顯的就是兩三年前沒有隱私政策的APP占主流，如今有隱私政策的APP才是主流，以往很少設置的注銷功能也成為標配，根據規(guī)定，只要注銷賬號，企業(yè)必須在業(yè)務系統(tǒng)中去除個人信息。

建立、完善權威公信的APP安全認證體系至關重要，國內的知名安全軟件公司已經紛紛出現在移動安全市場。但APP技術迭代日新月異，安全漏洞的解決不可能一勞永逸，正如相關專家所指出的，“APP個人信息安全保護涉及多個主體，需要政府部門、APP企業(yè)、SDK企業(yè)、手機企業(yè)、應用商店企業(yè)、行業(yè)組織、研究機構共同努力，形成個人信息保護的良好生態(tài)和強大合力。”意即達到認證讓APP更安全，監(jiān)管讓認證更有效的狀態(tài)。