傅小兵 馮志偉 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心江西分中心 江西省南昌市 330038

0 前言

移動(dòng)APP的信息安全情況近兩年受到輿論媒體重點(diǎn)關(guān)注，2020年“3●15”晚會(huì)曝光了趣頭條APP虛假?gòu)V告和多款A(yù)PP違規(guī)收集個(gè)人用戶(hù)信息的情況。而在2021年“3●15”晚會(huì)上，再次針對(duì)四款誘導(dǎo)老年人下載、違規(guī)收集老年人個(gè)人信息的APP違規(guī)行為予以曝光。移動(dòng)APP各類(lèi)信息安全問(wèn)題已經(jīng)引起社會(huì)和公眾的廣泛關(guān)注，如何確保移動(dòng)APP的個(gè)人信息安全已成為亟待解決的問(wèn)題。

1 APP安全現(xiàn)狀

1.1 移動(dòng)互聯(lián)網(wǎng)規(guī)模飛速發(fā)展

根據(jù)工信部統(tǒng)計(jì)數(shù)據(jù)顯示，截止2020年12月，國(guó)內(nèi)市場(chǎng)上監(jiān)測(cè)到的APP（移動(dòng)互聯(lián)網(wǎng)應(yīng)用）數(shù)量為345萬(wàn)款，較2019年減少22萬(wàn)款。其中排名前四的游戲類(lèi)、日常工具類(lèi)、電子商務(wù)類(lèi)和生活服務(wù)類(lèi)APP占比合計(jì)達(dá)59.2%。我國(guó)的網(wǎng)民總體規(guī)模較2019年增加8886萬(wàn)人，達(dá)到了十億網(wǎng)民的規(guī)模，其中手機(jī)網(wǎng)民規(guī)模達(dá)到了的9.86億，使我國(guó)成為了全球最大的數(shù)字社會(huì)。網(wǎng)民增長(zhǎng)的主體由青年群體向未成年和老年群體轉(zhuǎn)化的趨勢(shì)日益明顯，19歲以下和50歲以上分別占總體比例為16.6%和26.3%。

1.2 移動(dòng)互聯(lián)網(wǎng)信息安全風(fēng)險(xiǎn)加劇

根據(jù)CNCERT發(fā)布的《2020年上半年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)分析報(bào)告》，上半年新增移動(dòng)互聯(lián)網(wǎng)惡意程序163萬(wàn)余個(gè)，同比增長(zhǎng)58.3%。通過(guò)對(duì)惡意程序的惡意行為統(tǒng)計(jì)發(fā)現(xiàn)，排名前三的仍然是流氓行為類(lèi)、資費(fèi)消耗類(lèi)和信息竊取類(lèi)，占比分別為36.5%、29.2%和15.1%。信息竊取類(lèi)惡意程序感染用戶(hù)手機(jī)后會(huì)在用戶(hù)不知情或未授權(quán)的情況下，獲取通信錄、短信、位置、通話等個(gè)人隱私信息。

出于經(jīng)濟(jì)目的，一些用戶(hù)常用量大面廣的APP會(huì)依靠收集個(gè)人用戶(hù)數(shù)據(jù)進(jìn)行“用戶(hù)畫(huà)像”，從而針對(duì)用戶(hù) “精準(zhǔn)營(yíng)銷(xiāo)”，例如在瀏覽器中搜索了某些信息，打開(kāi)另外的網(wǎng)頁(yè)或應(yīng)用，用戶(hù)會(huì)收到搜索過(guò)的相關(guān)產(chǎn)品的廣告推送。

移動(dòng)互聯(lián)網(wǎng)時(shí)代，數(shù)據(jù)成為重要資源。個(gè)人信息數(shù)據(jù)涉及個(gè)人的方方面面，具有重要價(jià)值，已經(jīng)成為眾多違法行為的目標(biāo)。近年來(lái)數(shù)據(jù)泄露、濫用以及利用已泄露數(shù)據(jù)實(shí)施電信詐騙等事件時(shí)有發(fā)生，個(gè)人信息數(shù)據(jù)亟需保護(hù)。

1.3 移動(dòng)互聯(lián)網(wǎng)治理工作初見(jiàn)成效

為切實(shí)治理個(gè)人信息保護(hù)方面存在的亂象，2019年1月25日，中央網(wǎng)信辦、工業(yè)和信息化部、公安部和國(guó)家市場(chǎng)監(jiān)管總局等四部門(mén)聯(lián)合發(fā)布《關(guān)于開(kāi)展APP違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理的公告》并成立APP專(zhuān)項(xiàng)治理工作組，工作組成立后相繼出臺(tái)完善《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》《個(gè)人信息安全規(guī)范》等標(biāo)準(zhǔn)規(guī)范，APP運(yùn)營(yíng)者履行個(gè)人信息保護(hù)責(zé)任義務(wù)的能力和水平得到提高，全社會(huì)開(kāi)始日益關(guān)注個(gè)人信息安全問(wèn)題。

2 APP信息安全隱患風(fēng)險(xiǎn)分析

隨著移動(dòng)支付、消遣娛樂(lè)等軟件的普及，用戶(hù)對(duì)移動(dòng)APP的依賴(lài)越來(lái)越強(qiáng)，但隨之留下的個(gè)人操作記錄和信息數(shù)據(jù)也越來(lái)豐富，個(gè)人信息安全問(wèn)題也日益凸顯。

常見(jiàn)個(gè)人信息主要包括以下幾個(gè)方面：1）個(gè)人身份信息，如身份證號(hào)、家庭住址、電話號(hào)碼等；2）通信信息，包括來(lái)電記錄、聊天短信等信息；3）空間隱私，手機(jī)定位信息、常在地點(diǎn)等；4）身體信息，即健康狀況信息，包括每日步數(shù)、心率頻率、睡眠時(shí)間等。甚至，其他一些相關(guān)的基本信息經(jīng)過(guò)數(shù)據(jù)重組，即可還原人物畫(huà)像（用戶(hù)的喜好、作息、頻繁出入點(diǎn)）；5）財(cái)產(chǎn)信息，包括銀行卡號(hào)、支付寶等其他電子支付賬號(hào)信息。

導(dǎo)致以上個(gè)人隱私信息泄露的原因主要有以下幾點(diǎn)：1）用戶(hù)群體素質(zhì)不一，安全意識(shí)薄弱。移動(dòng)互聯(lián)網(wǎng)受眾也逐漸“老齡化”“未成年化”，小到幼兒、大到老人基本會(huì)使用移動(dòng)APP，而這些受眾很少會(huì)關(guān)注自身隱私安全；2）APP應(yīng)用市場(chǎng)魚(yú)龍混雜，缺乏平臺(tái)統(tǒng)一監(jiān)管。APP市場(chǎng)的紅利被眾多開(kāi)發(fā)商關(guān)注到，導(dǎo)致各類(lèi)APP被迅速開(kāi)發(fā)上線，但上線前卻很少會(huì)對(duì)APP進(jìn)行技術(shù)檢測(cè)工作，上線后也很少會(huì)進(jìn)行安全監(jiān)測(cè)來(lái)確保APP的安全運(yùn)行；3）APP強(qiáng)制索權(quán)、越界索取權(quán)限。多數(shù)APP安裝時(shí)需要獲取用戶(hù)權(quán)限，但很多用戶(hù)權(quán)限都是不必要性的，APP在沒(méi)有明顯告知用戶(hù)獲取權(quán)限的信息及用途的情況下強(qiáng)制索權(quán)甚至越界索取權(quán)限，廠商通過(guò)這種方式來(lái)獲取用戶(hù)的個(gè)人信息，利用大數(shù)據(jù)分析來(lái)獲取超額利益。4）明文存儲(chǔ)個(gè)人信息。許多APP會(huì)在用戶(hù)的終端、APP后臺(tái)明文存儲(chǔ)用戶(hù)的個(gè)人隱私信息，容易被別有用心者非法獲取了數(shù)據(jù)，為惡意欺詐等行為推波助瀾。5）賬號(hào)注銷(xiāo)限制多，甚至無(wú)法進(jìn)行賬號(hào)注銷(xiāo)。賬號(hào)注銷(xiāo)本應(yīng)是用戶(hù)的個(gè)人權(quán)利，但是廠商因?yàn)椤坝脩?hù)量”這一市場(chǎng)競(jìng)爭(zhēng)力和商業(yè)衡量指標(biāo)，對(duì)用戶(hù)注銷(xiāo)設(shè)置很多不合理的條件，有些APP設(shè)置了需要提交額外個(gè)人信息等條件才可完成注銷(xiāo)，不論最后注銷(xiāo)與否都存在數(shù)據(jù)過(guò)度留存的風(fēng)險(xiǎn)。

3 APP信息安全防護(hù)思考和建議

解決信息安全隱患在移動(dòng)互聯(lián)網(wǎng)的應(yīng)用服務(wù)領(lǐng)域是一項(xiàng)重大的挑戰(zhàn)，應(yīng)當(dāng)從實(shí)際情況出發(fā)，在政府、行業(yè)組織、企業(yè)的多方協(xié)作下以法律法規(guī)為準(zhǔn)繩，行業(yè)標(biāo)準(zhǔn)為指引，強(qiáng)有力的執(zhí)法和行業(yè)監(jiān)管為保障，技術(shù)手段作為依托構(gòu)建一個(gè)全方位的管理體系。

在建章立制方面，加快推動(dòng)如《個(gè)人信息保護(hù)法》、《數(shù)據(jù)安全法》的出臺(tái)，通過(guò)立法全方位細(xì)化約束APP個(gè)人信息的收集、處理和利用，并不斷完善現(xiàn)有的法律和規(guī)章制度。

在監(jiān)管方面，應(yīng)建立APP數(shù)據(jù)安全的長(zhǎng)效監(jiān)管機(jī)制，開(kāi)展APP備案工作，建立APP數(shù)據(jù)安全監(jiān)測(cè)、通報(bào)機(jī)制，及時(shí)發(fā)現(xiàn)安全隱患，督促整改。開(kāi)展APP違法違規(guī)收集個(gè)人隱私專(zhuān)項(xiàng)行動(dòng)，定期開(kāi)展針對(duì)APP運(yùn)營(yíng)者、重點(diǎn)移動(dòng)應(yīng)用商店、智能終端企業(yè)的監(jiān)督檢查，以查促管，督促產(chǎn)業(yè)鏈上下游落實(shí)自身責(zé)任。建立信用監(jiān)管機(jī)制，基于隱患整改和投訴舉報(bào)信息，對(duì)存在不良信用記錄的APP重點(diǎn)監(jiān)管，對(duì)造成用戶(hù)權(quán)益受損的APP運(yùn)營(yíng)單位及個(gè)人依法依規(guī)進(jìn)行處罰。

在行業(yè)層面，應(yīng)推動(dòng)行業(yè)行為準(zhǔn)則落地見(jiàn)效，依托現(xiàn)有的行業(yè)組織，推動(dòng)相關(guān)標(biāo)準(zhǔn)和規(guī)范在從業(yè)活動(dòng)中應(yīng)用，配合監(jiān)管部門(mén)開(kāi)展監(jiān)督檢查工作。加大APP安全使用宣傳，提高全社會(huì)對(duì)個(gè)人信息安全保護(hù)的認(rèn)識(shí)。

在企業(yè)層面，應(yīng)當(dāng)積極開(kāi)展APP違法違規(guī)收集使用個(gè)人信息自評(píng)估工作，建立嚴(yán)格和完善的數(shù)據(jù)安全和用戶(hù)信息保護(hù)機(jī)制。加強(qiáng)技術(shù)檢測(cè)防護(hù)，把安全理念貫穿融入業(yè)務(wù)全流程，上線前落實(shí)合規(guī)及技術(shù)檢測(cè)，上線后進(jìn)行安全監(jiān)測(cè)來(lái)確保APP的安全運(yùn)行。