陳銀平 劉艷

[摘 要]隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展和智能終端的不斷普及，手機(jī)APP得到廣泛應(yīng)用。但因行業(yè)發(fā)展不規(guī)范以及監(jiān)管力度不夠等原因，手機(jī)APP個(gè)人信息泄露事件頻發(fā)。本文基于30款手機(jī)APP個(gè)人信息安全的檢測(cè)結(jié)果，分析了個(gè)人信息泄露的原因，并從法律層面、政府層面、企業(yè)層面、個(gè)人層面等幾個(gè)方面提出了解決個(gè)人信息泄露問題的建議。

[關(guān)鍵詞]手機(jī);APP;信息安全;個(gè)人信息;信息泄露

doi：10.3969/j.issn.1673 - 0194.2020.18.089

[中圖分類號(hào)]TP309[文獻(xiàn)標(biāo)識(shí)碼]A[文章編號(hào)]1673-0194（2020）18-0-02

0? ? ?引 言

根據(jù)國家網(wǎng)信辦發(fā)布的《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》，移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（簡(jiǎn)稱APP）指通過預(yù)裝、下載等方式獲取并運(yùn)行在移動(dòng)智能終端上、向用戶提供信息服務(wù)的應(yīng)用軟件。隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展和智能終端的不斷普及，手機(jī)APP得到廣泛應(yīng)用。據(jù)工信部統(tǒng)計(jì)數(shù)據(jù)顯示，截至2018年底，我國市場(chǎng)上有449萬款A(yù)PP，手機(jī)APP包括影音視聽、實(shí)用工具、聊天社交、圖書閱讀、時(shí)尚購物、攝影攝像、學(xué)習(xí)教育、旅行交通、金融理財(cái)、娛樂消遣、新聞資訊、居家生活、體育運(yùn)動(dòng)、醫(yī)療健康和效率辦公等類別，涵蓋了人們生活和工作的方方面面。隨著對(duì)手機(jī)APP的需求增多，APP的開發(fā)上線量驟增，但因行業(yè)發(fā)展不規(guī)范以及監(jiān)管力度不夠等原因，手機(jī)APP產(chǎn)品質(zhì)量參差不齊，惡意收費(fèi)、竊聽、竊錄、位置信息泄露等安全事件頻發(fā)。2018年9月，中國消費(fèi)者協(xié)會(huì)發(fā)布了《APP個(gè)人信息泄露情況調(diào)查報(bào)告》，結(jié)果表明85.2%的被調(diào)查人員經(jīng)歷過個(gè)人信息泄露事件。2018年11月，中國消費(fèi)者協(xié)會(huì)又發(fā)布了《100款A(yù)PP個(gè)人信息收集與隱私政策測(cè)評(píng)報(bào)告》，測(cè)評(píng)報(bào)告指出91款A(yù)PP過度收集用戶個(gè)人信息，59款A(yù)PP過度收集位置信息。由此可見，手機(jī)APP個(gè)人信息安全問題不容忽視。

1? ? ?手機(jī)APP個(gè)人信息安全調(diào)查

2019年9月，筆者所在單位對(duì)來自小米應(yīng)用商店、華為應(yīng)用商店和OPPO應(yīng)用商店的30款手機(jī)APP安全性進(jìn)行測(cè)試，其中，新聞資訊類手機(jī)APP產(chǎn)品15款，時(shí)尚購物類手機(jī)APP產(chǎn)品15款。測(cè)試項(xiàng)目包括安裝與卸載、啟動(dòng)與退出、更新、收集用戶數(shù)據(jù)、修改用戶數(shù)據(jù)、流量耗費(fèi)、費(fèi)用損失、信息泄露及廣告行為。測(cè)試結(jié)果顯示：安裝與卸載中的卸載不徹底3批次（10%）;收集用戶數(shù)據(jù)13批次（43%）;修改用戶數(shù)據(jù)6批次（20%）;流量耗費(fèi)15批次（50%）;費(fèi)用損失7批次（23%）;信息泄露7批次（23%）;廣告行為中的存在通知欄廣告13批次（43%），存在積分墻4批次（13%），具體數(shù)據(jù)如圖1所示。

本文中安裝與卸載指在下載和安裝應(yīng)用軟件過程中捆綁下載其他應(yīng)用軟件;安裝用戶未知和未允許的第三方應(yīng)用軟件;用戶無法隨時(shí)卸載應(yīng)用軟件;卸載不徹底，在系統(tǒng)中留下應(yīng)用軟件的臨時(shí)文件和活動(dòng)程序或模塊等問題。啟動(dòng)與退出指啟動(dòng)時(shí)自動(dòng)連接某網(wǎng)站或鏈接，退出時(shí)未停止運(yùn)行所有屬于該軟件的進(jìn)程等問題。更新指在有更新版本時(shí)，未經(jīng)用戶允許自動(dòng)更新。收集用戶數(shù)據(jù)指在用戶未確認(rèn)的情況下開啟通話錄音、本地錄音、拍照、攝像和定位等。修改用戶數(shù)據(jù)指在用戶無確認(rèn)的情況下刪除或修改用戶電話本數(shù)據(jù)、通話記錄、短信數(shù)據(jù)等。流量耗費(fèi)指在用戶無確認(rèn)的情況下通過移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)連接、WLAN網(wǎng)絡(luò)連接和無線外圍接口傳送數(shù)據(jù)等。費(fèi)用損失指在用戶無確認(rèn)的情況下?lián)艽螂娫?、發(fā)送短信、發(fā)送彩信和開啟移動(dòng)通信網(wǎng)絡(luò)連接并收發(fā)數(shù)據(jù)等。信息泄露指在用戶無確認(rèn)的情況下讀取并傳送用戶電話本數(shù)據(jù)、通話記錄、短信數(shù)據(jù)、彩信數(shù)據(jù)、通話錄音、本地錄音、圖片、視頻、音頻和定位信息等。廣告行為指存在通知欄廣告，未經(jīng)用戶許可創(chuàng)建桌面快捷方式、書簽、圖標(biāo)或修改默認(rèn)設(shè)置等方式進(jìn)行廣告展示。

1.1? ?在收集用戶數(shù)據(jù)檢測(cè)項(xiàng)中

13款A(yù)PP存在未向用戶明示并經(jīng)用戶同意，擅自收集用戶數(shù)據(jù)行為的風(fēng)險(xiǎn)，其中，11款A(yù)PP為新聞資訊類APP，占比84.6%。自2017年7月1日實(shí)施《移動(dòng)智能終端應(yīng)用軟件預(yù)置和分發(fā)管理暫行規(guī)定》以來，越來越多的手機(jī)應(yīng)用APP開發(fā)企業(yè)開始通過用戶提示、隱私協(xié)議簽訂等方式明示提供APP的信息，主要包括APP的名稱、功能描述、開發(fā)者信息、軟件安裝及運(yùn)行所需權(quán)限等，并明確告知用戶APP收集、使用用戶個(gè)人信息的內(nèi)容、目的、方式和范圍等。但由于缺乏監(jiān)管力度，仍存在擅自泄露手機(jī)用戶數(shù)據(jù)行為的問題，這類問題會(huì)給一些流氓軟件可乘之機(jī)，獲取用戶手機(jī)里的資料，或者榨取更隱私的信息，比如銀行賬戶等。尤其對(duì)于擅自獲取的位置信息，不法分子能夠根據(jù)手機(jī)定位信息分析個(gè)人行跡，對(duì)活動(dòng)地點(diǎn)自動(dòng)分析、歸類，從而實(shí)施詐騙行為，給用戶造成人身或財(cái)產(chǎn)傷害。

1.2? ?在修改用戶數(shù)據(jù)檢測(cè)項(xiàng)中

6款A(yù)PP存在未向用戶明示并經(jīng)用戶同意，擅自修改用戶數(shù)據(jù)行為的風(fēng)險(xiǎn)，這6款A(yù)PP均為時(shí)尚購物類APP。時(shí)尚購物類APP通常需獲取用戶的通訊錄、個(gè)人身份信息、個(gè)人財(cái)產(chǎn)信息、個(gè)人上網(wǎng)記錄、個(gè)人位置信息等敏感信息，一旦獲取后未向用戶明示并經(jīng)用戶同意，擅自修改用戶數(shù)據(jù)，將給用戶造成人身或財(cái)產(chǎn)傷害。

1.3? ?在信息泄露檢測(cè)項(xiàng)中

7款A(yù)PP存在未向用戶明示并經(jīng)用戶同意，擅自調(diào)用終端通信功能，造成用戶信息泄露行為的風(fēng)險(xiǎn)，其中，3款A(yù)PP為新聞資訊類APP，4款A(yù)PP為時(shí)尚購物類APP。目前，手機(jī)具有通訊錄、短信、照片等數(shù)據(jù)備份功能，容易使不法分子獲取個(gè)人身份信息、財(cái)產(chǎn)信息、上網(wǎng)記錄、位置等敏感信息，導(dǎo)致用戶莫名接收垃圾短信、騷擾電話，甚至出現(xiàn)財(cái)產(chǎn)損失。

2? ? ?手機(jī)APP個(gè)人信息泄露原因

2.1? ?個(gè)人安全意識(shí)及主動(dòng)維權(quán)意識(shí)淡薄

中國消費(fèi)者協(xié)會(huì)發(fā)布的《APP個(gè)人信息泄露情況調(diào)查報(bào)告》顯示，能夠認(rèn)真閱讀完應(yīng)用權(quán)限和用戶協(xié)議或隱私政策說明的受訪者僅占19.7%，而26.2%的受訪者從不閱讀應(yīng)用權(quán)限和用戶協(xié)議或隱私政策。從調(diào)查數(shù)據(jù)可知，大部分手機(jī)用戶保護(hù)個(gè)人信息安全意識(shí)淡薄，或由于網(wǎng)絡(luò)技術(shù)知識(shí)欠缺和文字表述篇幅小等原因，或因?yàn)椴皇跈?quán)就無法使用，或出于對(duì)APP運(yùn)營商的信任，或認(rèn)為用戶協(xié)議內(nèi)容都大同小異，導(dǎo)致一些消費(fèi)者大致瀏覽或僅閱讀重點(diǎn)章節(jié)，隱私政策文字說明甚至根本不閱讀，這樣容易遺漏重點(diǎn)信息或關(guān)鍵描述。在個(gè)人信息泄露后，消費(fèi)者雖然會(huì)采取各種措施手段維護(hù)自身權(quán)益，但是選擇消極應(yīng)對(duì)和不采取任何措施的不在少數(shù)，消費(fèi)者主動(dòng)維權(quán)意識(shí)需要加強(qiáng)。

2.2? ?APP開發(fā)商缺乏自律和責(zé)任感

GB/T 35273《信息安全技術(shù)個(gè)人信息安全規(guī)范》中對(duì)APP隱私政策有明確規(guī)范，主要包括個(gè)人信息收集原則、收集個(gè)人敏感信息時(shí)明示同意、個(gè)人信息的保存及使用以及對(duì)外共享、轉(zhuǎn)讓、公開披露有關(guān)情況。雖然標(biāo)準(zhǔn)有規(guī)定，但事實(shí)上很多APP產(chǎn)品存在隱私政策不規(guī)范問題。中國消費(fèi)者協(xié)會(huì)的調(diào)查結(jié)果顯示，有的APP隱私條款不清，有的不主動(dòng)向用戶展示隱私條款或者展示內(nèi)容晦澀難懂，有的不提供訪問、更正、刪除個(gè)人信息的途徑，有的未遵循最小化收集個(gè)人信息規(guī)定，有的未明確告知用戶個(gè)人信息的使用方式，有的存在默認(rèn)同意或不提示閱讀，還有一些存在“自行承擔(dān)風(fēng)險(xiǎn)”等霸王條款，甚至有的APP根本沒有隱私條款。這些現(xiàn)象反映出APP廠商缺乏自律，未嚴(yán)格遵守標(biāo)準(zhǔn)規(guī)定的有目的性地收集用戶個(gè)人信息，對(duì)用戶隱私的保護(hù)缺乏責(zé)任感。

2.3? ?法律法規(guī)約束不足

現(xiàn)階段，手機(jī)APP個(gè)人信息保護(hù)方面的法律法規(guī)主要有《網(wǎng)絡(luò)安全法》和《電子商務(wù)法》，但還存在一些需要完善的地方，例如：《網(wǎng)絡(luò)安全法》規(guī)定“收集使用個(gè)人信息，應(yīng)遵循合法、正當(dāng)、必要的原則”，但原則的界定存在爭(zhēng)議。此外，發(fā)生個(gè)人信息泄露事件后舉證困難、相應(yīng)的處罰力度不足。如果不能在法律層面上形成強(qiáng)有力的約束，那么將很難規(guī)范這一領(lǐng)域的正常秩序。

3? ? ?解決APP個(gè)人信息安全泄露問題的策略

3.1? ?健全相關(guān)法律法規(guī)

目前，我國針對(duì)APP收集個(gè)人信息行為出臺(tái)了一系列規(guī)范性文件和推薦性標(biāo)準(zhǔn)，但對(duì)消費(fèi)者關(guān)心的懲戒手段和賠償問題等涉及不深。建議進(jìn)一步明確網(wǎng)絡(luò)信息服務(wù)中，交易雙方的權(quán)利和義務(wù)，尤其要約束APP運(yùn)營者商的責(zé)任和義務(wù)。此外，在相關(guān)標(biāo)準(zhǔn)和指南中進(jìn)一步細(xì)化APP運(yùn)營者收集、使用個(gè)人信息的規(guī)范。

3.2? ?提高政府監(jiān)管能力

有關(guān)主管部門應(yīng)嚴(yán)厲懲罰各類違法違規(guī)行為，嚴(yán)厲打擊販賣個(gè)人信息行為，按照《網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》等依法予以處罰。常態(tài)化監(jiān)管容易泄露個(gè)人隱私信息行為，因此，相關(guān)主管部門應(yīng)密切關(guān)注APP市場(chǎng)的發(fā)展態(tài)勢(shì)，建立定期抽查制度，及時(shí)公布抽查結(jié)果，對(duì)于存在泄露個(gè)人信息隱患的APP。提醒消費(fèi)者謹(jǐn)慎下載使用。

3.3? ?推行個(gè)人信息保護(hù)設(shè)計(jì)理念

APP個(gè)人信息安全問題大多是因?yàn)樵谠O(shè)計(jì)之初側(cè)重于完善功能性，輕視安全性，導(dǎo)致重視業(yè)務(wù)功能而忽視個(gè)人信息保護(hù)的客觀現(xiàn)象。因此，APP運(yùn)營商應(yīng)重視個(gè)人信息安全問題，在組織運(yùn)營管理和APP產(chǎn)品設(shè)計(jì)階段，將信息安全性貫徹到技術(shù)、系統(tǒng)、操作等各個(gè)層面，全面提高個(gè)人信息保護(hù)水平。

3.4? ?培育良好信息信用意識(shí)和使用習(xí)慣

對(duì)于用戶而言，在下載或使用手機(jī)應(yīng)用APP產(chǎn)品時(shí)，應(yīng)注意以下幾點(diǎn)：一是去正規(guī)的應(yīng)用商店下載手機(jī)應(yīng)用APP，選擇官方版本，并安裝正規(guī)的手機(jī)安全管家軟件對(duì)個(gè)人信息進(jìn)行保護(hù);二是首次使用或注冊(cè)前仔細(xì)閱讀相關(guān)隱私協(xié)議，盡量不注冊(cè)使用可疑的APP;三是通過后臺(tái)設(shè)置，限制APP獲取不必要的權(quán)限;四是認(rèn)真應(yīng)對(duì)。當(dāng)發(fā)現(xiàn)個(gè)人信息被泄露時(shí)，應(yīng)采取有效手段，及時(shí)主動(dòng)維護(hù)自身權(quán)益，必要時(shí)向有關(guān)部門反映。

主要參考文獻(xiàn)

[1]中國消費(fèi)者協(xié)會(huì).APP個(gè)人信息泄露情況調(diào)查報(bào)告[R].2018-08-29.

[2]李宇斐.手機(jī)APP個(gè)人信息安全風(fēng)險(xiǎn)與防范[J].保密科學(xué)技術(shù)，2019（8）：49-52.

[3]中國標(biāo)準(zhǔn)化委員會(huì).信息安全技術(shù)個(gè)人信息安全規(guī)范（GB/T 35273）

[S].2018.

[4]秦博陽，靳文京.APP個(gè)人信息安全現(xiàn)狀及解決思路[J].保密科學(xué)技求，2019（10）：12-15.