天津市通信管理局│孫金青

APP風(fēng)起云涌背后的隱憂

天津市通信管理局│孫金青

近年來(lái)，智能終端迅速普及，各類APP也隨之風(fēng)生水起，在滿足用戶需求的同時(shí)，眾多安全性較低的APP也給不法分子提供了可乘之機(jī)，需要監(jiān)管部門基于互聯(lián)網(wǎng)思維進(jìn)行監(jiān)管與防范。

隨著智慧城市和移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，以及智能手機(jī)、平板電腦等移動(dòng)終端的普及，移動(dòng)應(yīng)用軟件（APP）種類、數(shù)量呈爆發(fā)式增長(zhǎng)，一方面APP在很大程度上滿足了公眾日常工作、學(xué)習(xí)和生活的高品質(zhì)需求，另一方面也帶來(lái)了手機(jī)用戶個(gè)人信息安全、財(cái)產(chǎn)安全、權(quán)益保護(hù)以及惡意軟件如何監(jiān)管等方面的問題。

小心便捷背后的“陷阱”

濫用權(quán)限索取個(gè)人信息

目前，仍存在眾多讀取用戶信息、濫用權(quán)限的手機(jī)APP，甚至看似簡(jiǎn)單的APP，如手電筒、鬧鐘、動(dòng)態(tài)壁紙等也要求用戶開啟手機(jī)的某些權(quán)限（如讀取通訊錄、短信內(nèi)容、位置信息等），而這些權(quán)限與其本身的應(yīng)用并無(wú)任何關(guān)系。

移動(dòng)APP泄漏手機(jī)用戶數(shù)據(jù)事件早已屢見不鮮。竊取通信錄、照片、位置信息、通話記錄、短信內(nèi)容、賬戶及密碼等個(gè)人信息的事也時(shí)有發(fā)生。而濫用權(quán)限恰恰是不規(guī)范收集用戶個(gè)人信息的重要途徑。工信部“關(guān)于電信服務(wù)質(zhì)量的通告(2016年第1號(hào))”指出，2015年第四季度，在對(duì)40家手機(jī)應(yīng)用商店的應(yīng)用軟件進(jìn)行技術(shù)檢測(cè)后，發(fā)現(xiàn)不良軟件41款，涉及違規(guī)收集使用用戶個(gè)人信息、惡意“吸費(fèi)”、強(qiáng)行捆綁推廣其他無(wú)關(guān)應(yīng)用軟件等問題。

非法手段盜取賬號(hào)余額

對(duì)于打車軟件、網(wǎng)購(gòu)手機(jī)客戶端、微信紅包、支付寶等應(yīng)用軟件而言，移動(dòng)支付安全是手機(jī)用戶不得不面對(duì)的問題。惡意APP侵入手機(jī)，獲取銀行卡、支付寶等賬號(hào)、密碼，竊取賬號(hào)余額的事層出不窮。如：經(jīng)營(yíng)網(wǎng)店的余某因掃描了“客戶”發(fā)來(lái)的“具有實(shí)物尺寸等信息的二維碼”，手機(jī)被“客戶”移入木馬，后余某發(fā)現(xiàn)不僅支付寶里的余額被全部轉(zhuǎn)走，另外一張與支付寶綁定的銀行卡中也有2000元被轉(zhuǎn)走。另外，違法犯罪分子還通過(guò)“偽基站”發(fā)送帶有木馬病毒的鏈接實(shí)施詐騙活動(dòng)。

專業(yè)APP也非絕對(duì)安全

APP運(yùn)營(yíng)（多可以歸為電子商務(wù)范疇）相對(duì)專業(yè)，在公眾中具有較高的信任度，但從實(shí)際情況看，專業(yè)運(yùn)營(yíng)者提供的商品或服務(wù)也并非不存在問題，現(xiàn)實(shí)社會(huì)中的狀況往往都會(huì)映射到網(wǎng)絡(luò)空間中。如食品類外賣APP中不乏不良賣家：與線下去餐館不同，消費(fèi)者無(wú)法對(duì)餐館衛(wèi)生作出大致的判斷，在享受食品APP帶來(lái)高速便捷用餐體驗(yàn)時(shí)，或許不曾想到，“高大上”的美食可能來(lái)源于操作環(huán)境惡劣、食材來(lái)歷不明的“黑廚房”。

出現(xiàn)這些問題的原因主要有3方面：一是相關(guān)主體的權(quán)責(zé)被忽視，即手機(jī)用戶的選擇權(quán)等權(quán)益沒有得到保障，手機(jī)生產(chǎn)企業(yè)、APP開發(fā)者、運(yùn)營(yíng)者和分發(fā)渠道商等履責(zé)不到位。二是部分手機(jī)用戶安全意識(shí)弱，防范技能差和警惕性低是個(gè)人信息泄露、賬號(hào)余額被竊的一個(gè)重要原因；三是行政監(jiān)管工作沒有跟上網(wǎng)絡(luò)思維的步伐，對(duì)APP相關(guān)企業(yè)、線上商家以及利用APP為工具從事的活動(dòng)缺少必要的事中、事后監(jiān)督。

明確相關(guān)主體權(quán)利和責(zé)任

手機(jī)用戶自主選擇APP的權(quán)利

客觀地講，品牌手機(jī)上預(yù)裝的APP多是品質(zhì)較高、較實(shí)用的工具，這些APP更受手機(jī)用戶歡迎。手機(jī)用戶對(duì)APP期望可以大體歸為兩點(diǎn)：第一，手機(jī)生產(chǎn)企業(yè)可以預(yù)裝APP，但必須將卸載權(quán)交給手機(jī)用戶。第二，除打車軟件、導(dǎo)航地圖、社交類APP等因功能需要讀取位置信息、通訊錄外，其他主要功能與位置、通訊錄無(wú)明顯相關(guān)性的APP不得以此要求為使用條件。當(dāng)然，這些APP可以嘗試采取區(qū)別服務(wù)的方式，如手機(jī)用戶明確授權(quán)的，可以免費(fèi)享受服務(wù)或者獲得更高、更好的服務(wù)。另外，對(duì)于手機(jī)用戶而言，需要提高對(duì)APP的辨別能力，不下載、不安裝來(lái)歷不明的APP，遇到可疑APP要積極向監(jiān)管部門舉報(bào)，共同凈化網(wǎng)絡(luò)環(huán)境，讓惡意APP無(wú)處遁形。

這樣，既可以充分尊重手機(jī)用戶的選擇權(quán)、知情權(quán)，也可以避免限制APP產(chǎn)品創(chuàng)新。在大數(shù)據(jù)時(shí)代，必須兼顧手機(jī)用戶權(quán)益和APP創(chuàng)新兩個(gè)方面。

手機(jī)生產(chǎn)企業(yè)的責(zé)任

規(guī)范手機(jī)生產(chǎn)企業(yè)（包括其主要銷售渠道）的行為是治理預(yù)裝APP的一個(gè)重要環(huán)節(jié)。在手機(jī)出廠前，生產(chǎn)企業(yè)一般會(huì)在手機(jī)里預(yù)裝一些應(yīng)用軟件。手機(jī)生產(chǎn)企業(yè)預(yù)裝APP應(yīng)該遵守一定的規(guī)則：首先，在產(chǎn)品說(shuō)明書中提供預(yù)置軟件列表信息，并在產(chǎn)品說(shuō)明書或外包裝標(biāo)示預(yù)置軟件詳細(xì)信息的查詢方法。其次，確保所提供的除基本功能軟件之外的手機(jī)應(yīng)用軟件須可卸載，且手機(jī)中附屬于該軟件的資源文件、配置文件和手機(jī)用戶數(shù)據(jù)文件等也應(yīng)能夠被方便卸載、刪除。同時(shí)，確保已被卸載的預(yù)置軟件在手機(jī)操作系統(tǒng)升級(jí)時(shí)不再被強(qiáng)行恢復(fù)。再次，手機(jī)生產(chǎn)企業(yè)應(yīng)采取有效措施約束代理商，未經(jīng)手機(jī)用戶同意不得擅自在手機(jī)中安裝應(yīng)用軟件。提示手機(jī)用戶如對(duì)手機(jī)原配軟件有疑問，可以通過(guò)生產(chǎn)企業(yè)官方網(wǎng)站或客服中心進(jìn)行型號(hào)、批次查詢。第四，對(duì)于必須獲取ROOT權(quán)限才能卸載預(yù)裝應(yīng)用APP的，生產(chǎn)企業(yè)不得以此限制手機(jī)用戶享受保修服務(wù)的權(quán)利。

APP開發(fā)者、運(yùn)營(yíng)者的責(zé)任

APP開發(fā)與應(yīng)用密不可分，二者相輔相成，這兩個(gè)主體的責(zé)任相互關(guān)聯(lián)：第一，作為開發(fā)商或應(yīng)用運(yùn)營(yíng)者，在將APP發(fā)布之前應(yīng)對(duì)其進(jìn)行漏洞檢測(cè)，發(fā)現(xiàn)并消除APP中可以預(yù)見的、隱含的技術(shù)安全漏洞，初步保障APP的質(zhì)量。這不僅是保護(hù)手機(jī)用戶的利益，也是保護(hù)自身的利益。第二，APP開發(fā)者、應(yīng)用運(yùn)營(yíng)者在將APP投入運(yùn)營(yíng)時(shí)，應(yīng)通過(guò)自身官方網(wǎng)站、應(yīng)用商店或其他分發(fā)平臺(tái)等明示所提供手機(jī)應(yīng)用軟件的信息，包括名稱、功能描述、卸載方法、開發(fā)者信息、軟件安裝及運(yùn)行所需權(quán)限列表等，明確告知手機(jī)用戶，應(yīng)用軟件收集、使用手機(jī)用戶個(gè)人信息的內(nèi)容、目的、方式和范圍等。第三，正在運(yùn)行的APP，在手機(jī)主頁(yè)面要有明確的提示。

明確APP分發(fā)渠道提供者的責(zé)任

應(yīng)用商店也好，其他移動(dòng)應(yīng)用發(fā)布平臺(tái)也罷，都是手機(jī)用戶獲取APP的主要來(lái)源。作為移動(dòng)應(yīng)用發(fā)布平臺(tái)服務(wù)商，必須盡到一定的義務(wù)：第一，保障應(yīng)用發(fā)布平臺(tái)的網(wǎng)絡(luò)安全。應(yīng)用發(fā)布平臺(tái)要對(duì)其發(fā)布的APP安全負(fù)責(zé)，必須有效地管理平臺(tái)上的應(yīng)用程序。第二，核驗(yàn)所提供應(yīng)用軟件運(yùn)營(yíng)者、開發(fā)者的真實(shí)身份、聯(lián)系方式等信息。第三，建立APP管理機(jī)制，對(duì)APP進(jìn)行審核及安全、服務(wù)等相關(guān)檢測(cè)，以降低、甚至杜絕向手機(jī)用戶提供違法、違規(guī)軟件的概率。第四，記錄并留存所提供應(yīng)用軟件，以及該軟件有關(guān)版本、上線時(shí)間、功能簡(jiǎn)介、用途、MD5值、服務(wù)器接入等信息以備追溯檢測(cè)。第五，對(duì)所提供APP進(jìn)行跟蹤監(jiān)測(cè)，建立完善手機(jī)用戶舉報(bào)投訴處置措施等，發(fā)現(xiàn)的惡意應(yīng)用軟件及時(shí)下架。第六，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)以及對(duì)相關(guān)人員的教育培訓(xùn)，保障自身系統(tǒng)安全和手機(jī)用戶個(gè)人信息安全。

基于互聯(lián)網(wǎng)思維進(jìn)行監(jiān)管與防范

完善法規(guī)明確部門職責(zé)分工

有觀點(diǎn)認(rèn)為，在APP監(jiān)管事宜上，存在“九龍治水”現(xiàn)象，亟待打破“多頭管理”體制。其實(shí)，在網(wǎng)絡(luò)（包括移動(dòng)互聯(lián)網(wǎng)）空間中發(fā)生的事件與現(xiàn)實(shí)社會(huì)中發(fā)生的事件是相似的，事件性質(zhì)一樣，不同的是手段、形式發(fā)生了變化。APP是法人、其他組織以及自然人進(jìn)行各項(xiàng)活動(dòng)而借助的工具或手段，它為各類主體活動(dòng)提供了更為便捷的方式。因此，行政管理部門監(jiān)管對(duì)象、監(jiān)管職責(zé)可以直接拓展至網(wǎng)絡(luò)空間，相關(guān)行政管理部門依照分工、各司其職在網(wǎng)絡(luò)空間里履行自己的法定職責(zé)。對(duì)于職能交叉的部門要明確權(quán)責(zé)，以避免出現(xiàn)監(jiān)管真空或相互推諉。

如對(duì)于外賣APP的監(jiān)管：新修訂《食品安全法》規(guī)定，網(wǎng)絡(luò)食品交易第三方平臺(tái)提供者有對(duì)入網(wǎng)食品經(jīng)營(yíng)者進(jìn)行實(shí)名登記、明確其食品安全管理責(zé)任、審查其許可證的義務(wù)。同時(shí)發(fā)現(xiàn)入網(wǎng)食品經(jīng)營(yíng)者有違法行為的，應(yīng)當(dāng)及時(shí)制止并立即報(bào)告食品藥品監(jiān)督管理部門、立即停止提供網(wǎng)絡(luò)交易平臺(tái)服務(wù)。如果網(wǎng)絡(luò)食品交易第三方平臺(tái)提供者不履行此項(xiàng)義務(wù)，由食品藥品監(jiān)督管理部門予以處罰。

建立健全APP認(rèn)證制度

對(duì)APP新產(chǎn)品，由開發(fā)者自愿通過(guò)專業(yè)APP應(yīng)用程序檢測(cè)機(jī)構(gòu)進(jìn)行檢測(cè)是可行的，對(duì)即將發(fā)布的應(yīng)用程序進(jìn)行惡意代碼、隱蔽功能等安全審查。審查通過(guò)的應(yīng)用程序進(jìn)行數(shù)字簽名識(shí)別，在APP應(yīng)用平臺(tái)發(fā)布時(shí)可以標(biāo)注認(rèn)證標(biāo)識(shí)，以此幫助手機(jī)用戶篩選可信度高的應(yīng)用程序。

同時(shí)，由公益性APP監(jiān)測(cè)機(jī)構(gòu)為公眾提供APP安全性檢測(cè)程序。手機(jī)客戶端的安全程序可以實(shí)時(shí)監(jiān)測(cè)終端各項(xiàng)指標(biāo)，發(fā)現(xiàn)異常后，及時(shí)阻斷并進(jìn)行追蹤。提升客戶端安全軟件的查殺能力，做到惡意APP能被及時(shí)查殺，并且可以追蹤惡意APP的來(lái)源，并將惡意軟件信息和數(shù)據(jù)共享到云平臺(tái)等，為以后的軟件檢測(cè)提供參考。

編輯｜趙艷薇 zhaoyanwei@bjxintong.com.cn