◆嚴(yán)玉慧 楊之愷

（國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心青海分中心 青海 810000）

APP 是移動(dòng)互聯(lián)網(wǎng)應(yīng)用（Application）的英文縮寫，是指通過(guò)預(yù)裝或下載獲取，并且運(yùn)行在移動(dòng)終端設(shè)備上，能向用戶提供信息服務(wù)的應(yīng)用軟件[1]。據(jù)CNNIC（中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心）發(fā)布的《第46次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》披露，截至2020年6月我國(guó)手機(jī)網(wǎng)民規(guī)模達(dá)9.32 億，占全國(guó)網(wǎng)民規(guī)模的99.15%和全國(guó)人口的66.57%，而國(guó)內(nèi)市場(chǎng)監(jiān)測(cè)到的APP 數(shù)量達(dá)359 萬(wàn)款，可見(jiàn)我國(guó)移動(dòng)互聯(lián)網(wǎng)發(fā)展之迅猛，APP 種類和數(shù)量之多。APP 為人們獲取信息服務(wù)提供了便利，然而其作為收集用戶數(shù)據(jù)的入口，也存在大量強(qiáng)制索權(quán)、過(guò)度收集用戶信息的侵權(quán)現(xiàn)象，威脅個(gè)人信息安全[2]，因此本文對(duì)APP個(gè)人信息安全現(xiàn)狀及對(duì)策進(jìn)行了研究。

1 APP個(gè)人信息安全現(xiàn)狀

1.1 APP個(gè)人信息安全已引起社會(huì)的關(guān)注和政府的重視

《知識(shí)經(jīng)濟(jì)》記者田野[3]對(duì)發(fā)生在2019年2月16日至2019年3月21日期間的3 起泄密事件做了報(bào)道，一起為網(wǎng)友舉報(bào)某金融APP在后臺(tái)自動(dòng)獲取用戶使用手機(jī)信息的截圖，二起為央視“3·15”晚會(huì)點(diǎn)名某個(gè)人社保查詢APP 泄露個(gè)人信息并進(jìn)行了現(xiàn)場(chǎng)演示，三起為中國(guó)消費(fèi)者報(bào)某招股書的社交電商云集存在泄露用戶信息問(wèn)題。這三起APP個(gè)人信息安全事件都引起了廣泛的社會(huì)關(guān)注，尤其是央視揭露的APP 得到了全網(wǎng)下架、提供服務(wù)的第三方公司停業(yè)整頓的處理結(jié)果。

APP個(gè)人信息安全問(wèn)題也得到政府部門的高度重視。據(jù)《APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理報(bào)告（2019）》介紹，2019年1月中央網(wǎng)信辦、工信部、公安部和市場(chǎng)監(jiān)管總局聯(lián)合發(fā)布《關(guān)于開(kāi)展APP 違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》。經(jīng)過(guò)一年的專項(xiàng)治理，APP 違法違規(guī)收集使用個(gè)人信息典型問(wèn)題得到遏制、企業(yè)個(gè)人信息保護(hù)能力水平顯著提升、網(wǎng)民網(wǎng)絡(luò)安全感總體提升、全社會(huì)關(guān)注和重視的氛圍已基本形成成效。

1.2 APP個(gè)人信息安全問(wèn)題

在信息社會(huì)，信息是一種重要資源，個(gè)人信息具有人格利益和財(cái)產(chǎn)利益，前者可用于識(shí)別特定主體，后者蘊(yùn)含著商業(yè)價(jià)值，可以用作商業(yè)營(yíng)銷和財(cái)產(chǎn)交易[4]，所以APP 開(kāi)發(fā)商、服務(wù)商等通過(guò)APP 超權(quán)限收集、轉(zhuǎn)移、共享和售賣個(gè)人信息，給廣大APP 用戶切身利益帶來(lái)?yè)p害，甚至威脅社會(huì)穩(wěn)定和國(guó)家安全，下面就將常見(jiàn)問(wèn)題歸納如下：

第一，強(qiáng)制索取權(quán)限收集、共享和濫用個(gè)人信息。強(qiáng)制索權(quán)就是APP 要求從移動(dòng)終端操作系統(tǒng)獲得“最少夠用”權(quán)限以外更多的權(quán)限，如果不接受可能無(wú)法安裝、注冊(cè)、登錄、使用。例如某些手電筒APP要求獲取攝像頭使用權(quán)限以外，還要獲得讀取通訊錄、位置信息的權(quán)限，而后面這些權(quán)限對(duì)手電筒功能發(fā)揮并無(wú)必要[5]。APP 收集的信息上傳至后臺(tái)服務(wù)器后就擺脫了用戶的控制，很多被APP 運(yùn)營(yíng)商用于廣告推送或與合作的第三方商家共享，甚至通過(guò)出售、轉(zhuǎn)讓牟利。例如某些外賣APP 泄露的個(gè)人信息（包含姓名、住址、手機(jī)號(hào)等），在信息交易群上被明碼標(biāo)價(jià)售賣，5000 條個(gè)人信息起售，平均每條售價(jià)0.07～0.12 元，嚴(yán)重侵害APP 用戶隱私權(quán)、人身權(quán)和財(cái)產(chǎn)權(quán)。據(jù)中國(guó)信息通信研究院安全研究所發(fā)布的《移動(dòng)應(yīng)用（App）數(shù)據(jù)安全與個(gè)人信息保護(hù)白皮書（2019年）》（以下簡(jiǎn)稱《白皮書》）報(bào)告，檢測(cè)200 多款常見(jiàn)APP 發(fā)現(xiàn)存在1265 項(xiàng)安全問(wèn)題，在突出的不合規(guī)問(wèn)題中，未公開(kāi)收集使用規(guī)則的占48.5%，未明示收集使用個(gè)人信息目的的占46.0%，超范圍收集個(gè)人信息的占42.0%，私自共享個(gè)人信息和未經(jīng)用戶同意收集使用個(gè)人信息的均占40.0%，可見(jiàn)APP 強(qiáng)制收集、共享、濫用個(gè)人信息現(xiàn)象非常普遍。

第二，卸載、注銷不徹底，存在個(gè)人信息留存泄露風(fēng)險(xiǎn)。陳銀平等[1]檢測(cè)30 款A(yù)PP 發(fā)現(xiàn)3 批次卸載不徹底，系統(tǒng)中留有軟件的臨時(shí)文件、活動(dòng)程序或模塊，這些殘余文件能在系統(tǒng)啟動(dòng)時(shí)自動(dòng)連接APP指向的網(wǎng)站或鏈接?！栋灼穲?bào)告，20.5%的APP 未提供注銷功能，26.9%的APP 提供了注銷功能但注銷流程煩瑣費(fèi)時(shí)，這就造成一種結(jié)果：用戶注冊(cè)后難以順利注銷，留存的個(gè)人信息被APP 運(yùn)營(yíng)商長(zhǎng)期留存。一些APP 運(yùn)營(yíng)商工作人員監(jiān)守自盜，利用這些留存信息牟利，導(dǎo)致用戶不得不長(zhǎng)時(shí)間面對(duì)推銷、詐騙電話或短信的騷擾。

第三，明文存儲(chǔ)信息，給網(wǎng)絡(luò)黑客截獲、利用信息提供了便利。《白皮書》報(bào)告，在被檢測(cè)的APP 中，四分之一的APP 采用明文存儲(chǔ)運(yùn)行日志、設(shè)備信息、用戶數(shù)據(jù)等，這些信息很容易被不法分子截獲并利用。目前，傳統(tǒng)互聯(lián)網(wǎng)中存在的病毒木馬、惡意程序等已滲透到移動(dòng)互聯(lián)網(wǎng)中，黑客截獲APP 用戶個(gè)人信息并非難事，甚至還能篡改和刪除用戶數(shù)據(jù)[6]。

第四，用戶不能自己選擇開(kāi)啟或關(guān)閉個(gè)性化服務(wù)選項(xiàng)。寧華等[2]介紹，有84.82%的APP 可以不經(jīng)用戶同意即推送個(gè)性化服務(wù)，用戶被迫接受APP 運(yùn)營(yíng)商的“精準(zhǔn)推銷”。

2 應(yīng)對(duì)APP個(gè)人信息安全威脅的策略

2.1 健全法律制度，嚴(yán)格執(zhí)法監(jiān)督

我國(guó)多個(gè)法律制度文件中均有涉及個(gè)人信息保護(hù)的文字，但就立法制度而言呈現(xiàn)“碎片化”特點(diǎn)，存在侵權(quán)主體責(zé)任不明確、對(duì)個(gè)人信息權(quán)益保障不足夠、司法救濟(jì)措施不完善、行政監(jiān)督“九龍治水”等問(wèn)題，所以應(yīng)加強(qiáng)法律制度建設(shè)，可借鑒國(guó)際上成功的一些做法，完善個(gè)人信息收集、處理、利用保護(hù)的制度，加快《個(gè)人信息保護(hù)法》的立法程序。目前，個(gè)人信息行政監(jiān)管主體涉及多個(gè)部門，監(jiān)督執(zhí)法低效，而且存在交叉管理漏洞，應(yīng)成立專門的監(jiān)督機(jī)構(gòu)，在現(xiàn)行法律制度框架下專責(zé)監(jiān)管責(zé)任，該機(jī)構(gòu)可實(shí)施分層管理，中央層級(jí)負(fù)責(zé)統(tǒng)籌協(xié)調(diào)，地方層級(jí)負(fù)責(zé)監(jiān)管執(zhí)行，相關(guān)職能部門配合協(xié)作。在監(jiān)管流程上應(yīng)將重點(diǎn)放在事前和事中，以便從源頭上預(yù)防APP個(gè)人信息越權(quán)收集、共享和濫用。

2.2 明確主體責(zé)任，督促行業(yè)自律

APP 用戶個(gè)人相對(duì)APP 運(yùn)營(yíng)商等主體處于弱勢(shì)地位，以前述網(wǎng)友舉報(bào)某金融APP 非授權(quán)收集個(gè)人信息為例，在截圖舉證情況下該金融平臺(tái)仍兩次否認(rèn)非授權(quán)收集用戶信息，結(jié)果“大事化小，小事化了”，更多情況下，由于信息不對(duì)稱，甚至連舉證都做不到，為此可按照過(guò)錯(cuò)推定原則明確APP 平臺(tái)侵權(quán)行為的責(zé)任，根據(jù)損害事實(shí)、違規(guī)行為與損害事實(shí)的因果關(guān)系等認(rèn)定侵權(quán)，以此確定APP 運(yùn)營(yíng)商、平臺(tái)及其他義務(wù)主體的責(zé)任，提高違法成本。行業(yè)自律可在政府監(jiān)管之前督促APP 平臺(tái)等主體遵守行業(yè)規(guī)則，所以應(yīng)鼓勵(lì)A(yù)PP 相關(guān)主體成立行業(yè)協(xié)會(huì)，制定行規(guī)和操作準(zhǔn)則，統(tǒng)一個(gè)人信息保護(hù)標(biāo)準(zhǔn)，建立爭(zhēng)議聽(tīng)證、復(fù)核、解決和賠償制度，通過(guò)獎(jiǎng)懲機(jī)制約束會(huì)員行為，促進(jìn)行業(yè)自律，為APP個(gè)人信息安全提供多方位保護(hù)。

2.3 加強(qiáng)技術(shù)研究，堵塞安全漏洞

APP個(gè)人信息安全與傳統(tǒng)層面的個(gè)人隱私保護(hù)有所不同，后者更突出精神層面的人格尊嚴(yán)，前者更注重具有經(jīng)濟(jì)價(jià)值的信息支配權(quán)，而且當(dāng)代信息技術(shù)更新迭代之快也遠(yuǎn)非以前可比，這個(gè)特點(diǎn)決定了加強(qiáng)APP 安全技術(shù)研究的重要性。一是強(qiáng)化安全保障技術(shù)，例如開(kāi)發(fā)安全芯片、漏洞修復(fù)及其他安全防護(hù)技術(shù)。二是開(kāi)發(fā)安全水平高的APP。要求應(yīng)用服務(wù)開(kāi)發(fā)人員在整個(gè)開(kāi)發(fā)周期內(nèi)都遵循安全編碼原則，采用最新的操作系統(tǒng)及外部代碼庫(kù)、高等級(jí)API 和安全SDK、身份認(rèn)證、安全存儲(chǔ)與安全傳輸?shù)燃夹g(shù)。三是規(guī)范APP 收集使用、信息共享、推送及權(quán)限調(diào)用規(guī)則，信息收集使用必須告知收集的目的、范圍、內(nèi)容、方式、頻次、保護(hù)措施等，信息共享須保證可追溯性，信息推送及權(quán)限調(diào)用應(yīng)保證用戶知情并可控制。四是建立APP 分發(fā)上架審核機(jī)制，即APP 進(jìn)入應(yīng)用商店前，分發(fā)平臺(tái)要對(duì)APP 開(kāi)發(fā)者資質(zhì)、安全措施進(jìn)行嚴(yán)格審核，并且定期復(fù)核已上架APP 的安全性，凡是安全審核不過(guò)關(guān)的都要下架。

2.4 擴(kuò)大宣傳力度，提高安全意識(shí)

在信息爆炸時(shí)代，APP 安全風(fēng)險(xiǎn)無(wú)處不在，提高個(gè)人安全意識(shí)對(duì)于個(gè)人信息安全也是非常重要的，為此應(yīng)加強(qiáng)宣傳引導(dǎo)，通過(guò)惡意代碼植入、后門、信息盜用、網(wǎng)絡(luò)詐騙、財(cái)產(chǎn)損失等個(gè)人信息泄露案例的分析，引導(dǎo)廣大手機(jī)網(wǎng)民充分認(rèn)識(shí)個(gè)人信息安全威脅的嚴(yán)重性，學(xué)會(huì)如何識(shí)別個(gè)人信息安全威脅，保持對(duì)自身個(gè)人信息安全的警覺(jué)性，養(yǎng)成安全使用APP 的良好習(xí)慣。其次，提高APP 用戶的維權(quán)意識(shí)。國(guó)家應(yīng)持續(xù)不斷地加強(qiáng)法律知識(shí)宣傳教育，引導(dǎo)公民拿起法律武器維護(hù)自己的合法權(quán)益。主動(dòng)維權(quán)的人越多，對(duì)越權(quán)收集、共享、濫用個(gè)人信息主體的壓力就會(huì)越大，違法成本也會(huì)越高，全社會(huì)形成“過(guò)街老鼠人人喊打”的氛圍，那些企圖通過(guò)濫用APP個(gè)人信息牟利的人才會(huì)越來(lái)越少。

3 結(jié)語(yǔ)

針對(duì)APP 存在越權(quán)收集、共享和濫用個(gè)人信息，卸載、注銷不徹底，明文存儲(chǔ)信息，個(gè)性化服務(wù)選項(xiàng)不能自己選擇開(kāi)啟或關(guān)閉等問(wèn)題，本文提出了健全法律制度、嚴(yán)格執(zhí)法監(jiān)督、明確主體責(zé)任、督促行業(yè)自律、加強(qiáng)安全技術(shù)研究、提高手機(jī)網(wǎng)民安全意識(shí)的對(duì)策。