林樺芫

APP（移動互聯(lián)網(wǎng)應(yīng)用程序）已經(jīng)滲入生活的各個方面，在給人們帶來各種便利的同時，也存留下不小的安全風(fēng)險，比如個人信息被泄露后濫用、高仿APP甚至已形成危害用戶網(wǎng)絡(luò)安全的產(chǎn)業(yè)鏈。在掌心時代，網(wǎng)絡(luò)安全的本質(zhì)仍是技術(shù)對抗，保障APP的安全運營與操作離不開網(wǎng)絡(luò)安全技術(shù)和產(chǎn)業(yè)的有力支撐。

掌心時代守護安全

據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的第46次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》，截至今年6月，中國內(nèi)地網(wǎng)民規(guī)模達9.4億人，手機上網(wǎng)比例高達99.2%，遠超37.3%的臺式電腦、31.8%的筆記本電腦上網(wǎng)比例，越來越多的人習(xí)慣用手機APP處理各種事務(wù)，“在移動領(lǐng)域，設(shè)備只占使用體驗的一小部分，用戶的大部分體驗還是網(wǎng)絡(luò)。盡管移動安全產(chǎn)品會影響用戶的使用體驗，但它也能提升設(shè)備的安全性?！迸c之相對的是，今年以來公安部依法處置了7000多款存在違法違規(guī)行為的APP?！度珖苿覣PP風(fēng)險監(jiān)測評估報告》的統(tǒng)計數(shù)據(jù)顯示，其收錄的318萬款A(yù)PP中，95%以上的APP存在一定程度的漏洞，近一成存在惡意行為，存在著隱私泄露的隱患，安全存疑。

去年全國信息安全標準化技術(shù)委員會、中國消費者協(xié)會、中國互聯(lián)網(wǎng)協(xié)會、中國網(wǎng)絡(luò)空間安全協(xié)會即已成立APP違法違規(guī)收集使用個人信息專項治理工作組，推動APP違法違規(guī)收集使用個人信息評估工作。此前工信部印發(fā)的《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護能力專項行動方案》提出，要深化APP違法違規(guī)專項治理，持續(xù)推進APP違法違規(guī)收集使用個人信息專項治理行動，并在2020年累計巡查4.8萬余款A(yù)PP，專項檢查200多款A(yù)PP。

9月20日，APP專項治理工作組聯(lián)合中國電子技術(shù)標準化研究院發(fā)布“APP個人信息保護合規(guī)評估工具”，其將為企業(yè)免費提供APP隱私條款評估、個人信息保護合規(guī)自查等在線服務(wù)。同時，我國APP安全認證工作正式開展，云閃付、蘇寧易購、中國移動、百度地圖等10家企業(yè)的18款A(yù)PP獲頒安全認證證書；根據(jù)規(guī)定，獲證APP運營者在認證過程中存在欺騙、隱瞞、違反承諾等不當行為，認證機構(gòu)將撤銷認證。中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心主任魏昊表示，“開展APP安全認證工作，主要是建立、完善權(quán)威公信的APP安全認證體系，利用市場選擇機制引導(dǎo)APP運營者規(guī)范個人信息收集、使用、轉(zhuǎn)讓等行為，為數(shù)據(jù)安全綜合治理提供基礎(chǔ)性技術(shù)支撐，規(guī)范市場秩序。同時，將APP安全認證作為一種常態(tài)化機制在APP治理工作中的積極作用發(fā)揮出來，減少各行業(yè)管理部門的重復(fù)檢測和評估，降低企業(yè)負擔(dān)。”中國傳媒大學(xué)文化產(chǎn)業(yè)管理學(xué)院法律系主任鄭寧則認為，“APP安全認證制度的建立和實施，旨在幫助政府部門充分利用市場選擇機制的引領(lǐng)作用，營造良好的APP消費使用環(huán)境，建立規(guī)范化的收集、使用個人信息的APP行業(yè)生態(tài)?！?/p>

多方合力共建生態(tài)

注冊備案、行業(yè)調(diào)研、專業(yè)策劃原型、系統(tǒng)架構(gòu)策劃、UI設(shè)計、客戶端開發(fā)、上架應(yīng)用、后期維護……APP制作門檻并不高，且多數(shù)應(yīng)用市場審核并不嚴格，APP安全爆雷事件由此多發(fā)；同時，一些企業(yè)抱著“不管有用沒用，多收集一點總沒壞處”的心態(tài)，濫采用戶信息和資料，備做它用……這樣的市場混沌情形下，個人在互聯(lián)網(wǎng)上的困境自然越來越明顯。

個人信息安全已被行業(yè)及公眾愈加重視，但亦不必陷入絕對的恐慌情緒，APP專項治理工作組專家何延哲表示，“一方面，用戶的隱私保護意識越來越高是好事，但另一方面，很多人陷入了一個誤區(qū)，似乎一談到收集個人信息就是完全錯誤的，但事實上APP收集個人信息在很多情況下也是為用戶服務(wù)。”這其間需要把握的度量在于，“我國出臺的相關(guān)法律法規(guī)保護個人信息的使用，主要就是體現(xiàn)在要求用戶有知情權(quán)，另外要允許用戶在拒絕這些權(quán)限索取的情況下，依然提供正常的服務(wù)。”

實際上，APP哪些收集個人信息的行為屬于違法、違規(guī)已有明確界定，2018年的國家標準《個人信息安全規(guī)范》即對收集個人信息給出三項衡量標準——收集個人信息與實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能之間的直接關(guān)聯(lián)、最低頻率和最少數(shù)量關(guān)系。個人信息的收集使用規(guī)則需有一個從無到有、從不透明到透明的過程，最明顯的就是兩三年前沒有隱私政策的APP占主流，如今有隱私政策的APP才是主流，以往很少設(shè)置的注銷功能也成為標配，根據(jù)規(guī)定，只要注銷賬號，企業(yè)必須在業(yè)務(wù)系統(tǒng)中去除個人信息。

建立、完善權(quán)威公信的APP安全認證體系至關(guān)重要，國內(nèi)的知名安全軟件公司已經(jīng)紛紛出現(xiàn)在移動安全市場。但APP技術(shù)迭代日新月異，安全漏洞的解決不可能一勞永逸，正如相關(guān)專家所指出的，“APP個人信息安全保護涉及多個主體，需要政府部門、APP企業(yè)、SDK企業(yè)、手機企業(yè)、應(yīng)用商店企業(yè)、行業(yè)組織、研究機構(gòu)共同努力，形成個人信息保護的良好生態(tài)和強大合力?！币饧催_到認證讓APP更安全，監(jiān)管讓認證更有效的狀態(tài)。