傅小兵 馮志偉 國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心江西分中心 江西省南昌市 330038

0 前言

移動(dòng)APP的信息安全情況近兩年受到輿論媒體重點(diǎn)關(guān)注，2020年“3●15”晚會(huì)曝光了趣頭條APP虛假廣告和多款A(yù)PP違規(guī)收集個(gè)人用戶信息的情況。而在2021年“3●15”晚會(huì)上，再次針對四款誘導(dǎo)老年人下載、違規(guī)收集老年人個(gè)人信息的APP違規(guī)行為予以曝光。移動(dòng)APP各類信息安全問題已經(jīng)引起社會(huì)和公眾的廣泛關(guān)注，如何確保移動(dòng)APP的個(gè)人信息安全已成為亟待解決的問題。

1 APP安全現(xiàn)狀

1.1 移動(dòng)互聯(lián)網(wǎng)規(guī)模飛速發(fā)展

根據(jù)工信部統(tǒng)計(jì)數(shù)據(jù)顯示，截止2020年12月，國內(nèi)市場上監(jiān)測到的APP（移動(dòng)互聯(lián)網(wǎng)應(yīng)用）數(shù)量為345萬款，較2019年減少22萬款。其中排名前四的游戲類、日常工具類、電子商務(wù)類和生活服務(wù)類APP占比合計(jì)達(dá)59.2%。我國的網(wǎng)民總體規(guī)模較2019年增加8886萬人，達(dá)到了十億網(wǎng)民的規(guī)模，其中手機(jī)網(wǎng)民規(guī)模達(dá)到了的9.86億，使我國成為了全球最大的數(shù)字社會(huì)。網(wǎng)民增長的主體由青年群體向未成年和老年群體轉(zhuǎn)化的趨勢日益明顯，19歲以下和50歲以上分別占總體比例為16.6%和26.3%。

1.2 移動(dòng)互聯(lián)網(wǎng)信息安全風(fēng)險(xiǎn)加劇

根據(jù)CNCERT發(fā)布的《2020年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報(bào)告》，上半年新增移動(dòng)互聯(lián)網(wǎng)惡意程序163萬余個(gè)，同比增長58.3%。通過對惡意程序的惡意行為統(tǒng)計(jì)發(fā)現(xiàn)，排名前三的仍然是流氓行為類、資費(fèi)消耗類和信息竊取類，占比分別為36.5%、29.2%和15.1%。信息竊取類惡意程序感染用戶手機(jī)后會(huì)在用戶不知情或未授權(quán)的情況下，獲取通信錄、短信、位置、通話等個(gè)人隱私信息。

出于經(jīng)濟(jì)目的，一些用戶常用量大面廣的APP會(huì)依靠收集個(gè)人用戶數(shù)據(jù)進(jìn)行“用戶畫像”，從而針對用戶 “精準(zhǔn)營銷”，例如在瀏覽器中搜索了某些信息，打開另外的網(wǎng)頁或應(yīng)用，用戶會(huì)收到搜索過的相關(guān)產(chǎn)品的廣告推送。

移動(dòng)互聯(lián)網(wǎng)時(shí)代，數(shù)據(jù)成為重要資源。個(gè)人信息數(shù)據(jù)涉及個(gè)人的方方面面，具有重要價(jià)值，已經(jīng)成為眾多違法行為的目標(biāo)。近年來數(shù)據(jù)泄露、濫用以及利用已泄露數(shù)據(jù)實(shí)施電信詐騙等事件時(shí)有發(fā)生，個(gè)人信息數(shù)據(jù)亟需保護(hù)。

1.3 移動(dòng)互聯(lián)網(wǎng)治理工作初見成效

為切實(shí)治理個(gè)人信息保護(hù)方面存在的亂象，2019年1月25日，中央網(wǎng)信辦、工業(yè)和信息化部、公安部和國家市場監(jiān)管總局等四部門聯(lián)合發(fā)布《關(guān)于開展APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》并成立APP專項(xiàng)治理工作組，工作組成立后相繼出臺(tái)完善《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》《個(gè)人信息安全規(guī)范》等標(biāo)準(zhǔn)規(guī)范，APP運(yùn)營者履行個(gè)人信息保護(hù)責(zé)任義務(wù)的能力和水平得到提高，全社會(huì)開始日益關(guān)注個(gè)人信息安全問題。

2 APP信息安全隱患風(fēng)險(xiǎn)分析

隨著移動(dòng)支付、消遣娛樂等軟件的普及，用戶對移動(dòng)APP的依賴越來越強(qiáng)，但隨之留下的個(gè)人操作記錄和信息數(shù)據(jù)也越來豐富，個(gè)人信息安全問題也日益凸顯。

常見個(gè)人信息主要包括以下幾個(gè)方面：1）個(gè)人身份信息，如身份證號、家庭住址、電話號碼等；2）通信信息，包括來電記錄、聊天短信等信息；3）空間隱私，手機(jī)定位信息、常在地點(diǎn)等；4）身體信息，即健康狀況信息，包括每日步數(shù)、心率頻率、睡眠時(shí)間等。甚至，其他一些相關(guān)的基本信息經(jīng)過數(shù)據(jù)重組，即可還原人物畫像（用戶的喜好、作息、頻繁出入點(diǎn)）；5）財(cái)產(chǎn)信息，包括銀行卡號、支付寶等其他電子支付賬號信息。

導(dǎo)致以上個(gè)人隱私信息泄露的原因主要有以下幾點(diǎn)：1）用戶群體素質(zhì)不一，安全意識薄弱。移動(dòng)互聯(lián)網(wǎng)受眾也逐漸“老齡化”“未成年化”，小到幼兒、大到老人基本會(huì)使用移動(dòng)APP，而這些受眾很少會(huì)關(guān)注自身隱私安全；2）APP應(yīng)用市場魚龍混雜，缺乏平臺(tái)統(tǒng)一監(jiān)管。APP市場的紅利被眾多開發(fā)商關(guān)注到，導(dǎo)致各類APP被迅速開發(fā)上線，但上線前卻很少會(huì)對APP進(jìn)行技術(shù)檢測工作，上線后也很少會(huì)進(jìn)行安全監(jiān)測來確保APP的安全運(yùn)行；3）APP強(qiáng)制索權(quán)、越界索取權(quán)限。多數(shù)APP安裝時(shí)需要獲取用戶權(quán)限，但很多用戶權(quán)限都是不必要性的，APP在沒有明顯告知用戶獲取權(quán)限的信息及用途的情況下強(qiáng)制索權(quán)甚至越界索取權(quán)限，廠商通過這種方式來獲取用戶的個(gè)人信息，利用大數(shù)據(jù)分析來獲取超額利益。4）明文存儲(chǔ)個(gè)人信息。許多APP會(huì)在用戶的終端、APP后臺(tái)明文存儲(chǔ)用戶的個(gè)人隱私信息，容易被別有用心者非法獲取了數(shù)據(jù)，為惡意欺詐等行為推波助瀾。5）賬號注銷限制多，甚至無法進(jìn)行賬號注銷。賬號注銷本應(yīng)是用戶的個(gè)人權(quán)利，但是廠商因?yàn)椤坝脩袅俊边@一市場競爭力和商業(yè)衡量指標(biāo)，對用戶注銷設(shè)置很多不合理的條件，有些APP設(shè)置了需要提交額外個(gè)人信息等條件才可完成注銷，不論最后注銷與否都存在數(shù)據(jù)過度留存的風(fēng)險(xiǎn)。

3 APP信息安全防護(hù)思考和建議

解決信息安全隱患在移動(dòng)互聯(lián)網(wǎng)的應(yīng)用服務(wù)領(lǐng)域是一項(xiàng)重大的挑戰(zhàn)，應(yīng)當(dāng)從實(shí)際情況出發(fā)，在政府、行業(yè)組織、企業(yè)的多方協(xié)作下以法律法規(guī)為準(zhǔn)繩，行業(yè)標(biāo)準(zhǔn)為指引，強(qiáng)有力的執(zhí)法和行業(yè)監(jiān)管為保障，技術(shù)手段作為依托構(gòu)建一個(gè)全方位的管理體系。

在建章立制方面，加快推動(dòng)如《個(gè)人信息保護(hù)法》、《數(shù)據(jù)安全法》的出臺(tái)，通過立法全方位細(xì)化約束APP個(gè)人信息的收集、處理和利用，并不斷完善現(xiàn)有的法律和規(guī)章制度。

在監(jiān)管方面，應(yīng)建立APP數(shù)據(jù)安全的長效監(jiān)管機(jī)制，開展APP備案工作，建立APP數(shù)據(jù)安全監(jiān)測、通報(bào)機(jī)制，及時(shí)發(fā)現(xiàn)安全隱患，督促整改。開展APP違法違規(guī)收集個(gè)人隱私專項(xiàng)行動(dòng)，定期開展針對APP運(yùn)營者、重點(diǎn)移動(dòng)應(yīng)用商店、智能終端企業(yè)的監(jiān)督檢查，以查促管，督促產(chǎn)業(yè)鏈上下游落實(shí)自身責(zé)任。建立信用監(jiān)管機(jī)制，基于隱患整改和投訴舉報(bào)信息，對存在不良信用記錄的APP重點(diǎn)監(jiān)管，對造成用戶權(quán)益受損的APP運(yùn)營單位及個(gè)人依法依規(guī)進(jìn)行處罰。

在行業(yè)層面，應(yīng)推動(dòng)行業(yè)行為準(zhǔn)則落地見效，依托現(xiàn)有的行業(yè)組織，推動(dòng)相關(guān)標(biāo)準(zhǔn)和規(guī)范在從業(yè)活動(dòng)中應(yīng)用，配合監(jiān)管部門開展監(jiān)督檢查工作。加大APP安全使用宣傳，提高全社會(huì)對個(gè)人信息安全保護(hù)的認(rèn)識。

在企業(yè)層面，應(yīng)當(dāng)積極開展APP違法違規(guī)收集使用個(gè)人信息自評估工作，建立嚴(yán)格和完善的數(shù)據(jù)安全和用戶信息保護(hù)機(jī)制。加強(qiáng)技術(shù)檢測防護(hù)，把安全理念貫穿融入業(yè)務(wù)全流程，上線前落實(shí)合規(guī)及技術(shù)檢測，上線后進(jìn)行安全監(jiān)測來確保APP的安全運(yùn)行。