霍然　黎凌

摘要：隨著我國移動(dòng)互聯(lián)網(wǎng)快速發(fā)展，我國移動(dòng)互聯(lián)網(wǎng)網(wǎng)民數(shù)量超過8.6億。大量的生活服務(wù)，金融支付服務(wù)向手機(jī)端轉(zhuǎn)移。這些服務(wù)在簡(jiǎn)便了我們生活方式的同時(shí)，也對(duì)公民的個(gè)人信息帶來很大的安全隱患。為了有效的治理違法違規(guī)收集使用個(gè)人信息的APP，減少公民個(gè)人信息泄露的風(fēng)險(xiǎn)，本文針對(duì)已測(cè)APP存在的問題進(jìn)行分析，并提出整改建議。

關(guān)鍵詞：個(gè)人信息保護(hù);APP;整改建議

引言

隨著我國移動(dòng)互聯(lián)網(wǎng)快速發(fā)展，我國已成為世界上網(wǎng)絡(luò)數(shù)據(jù)生產(chǎn)量最大、數(shù)據(jù)類型最豐富的國家之一。我國移動(dòng)互聯(lián)網(wǎng)網(wǎng)民數(shù)量超過8.6億。隨著移動(dòng)網(wǎng)絡(luò)的發(fā)展，大量的生活服務(wù)，金融支付服務(wù)向手機(jī)端轉(zhuǎn)移。根據(jù)2019年我中心工作統(tǒng)計(jì)發(fā)現(xiàn)移動(dòng)程序強(qiáng)制授權(quán)，超規(guī)搜集個(gè)人信息費(fèi)等現(xiàn)象十分突出。截至2019年11月底，我中心共發(fā)現(xiàn)移動(dòng)惡意程序樣本1500余個(gè)，處置惡意APP下載鏈接1242個(gè)，涉及北京地區(qū)移動(dòng)應(yīng)用商店40余家。同時(shí)針對(duì)105款互聯(lián)網(wǎng)金融APP進(jìn)行檢測(cè)，共發(fā)現(xiàn)漏洞505個(gè)。其中存在大量明文數(shù)據(jù)傳輸漏洞，網(wǎng)頁視圖明文存儲(chǔ)密碼漏洞和源代碼反編譯漏洞。這些漏洞存在信息泄露風(fēng)險(xiǎn)。大量竊取用戶信息的惡意程序相繼出現(xiàn)。防止移動(dòng)端個(gè)人隱私數(shù)據(jù)泄露，維護(hù)終端消費(fèi)者的合法權(quán)益，成為下一步治理移動(dòng)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的重中之重。

1 四部委聯(lián)合發(fā)布治理公告

2019年1月中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局聯(lián)合制訂了《關(guān)于開展APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》，并發(fā)布了《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》。《公告》的主要內(nèi)容包括：

（1）《公告》要求App運(yùn)營者采取有效措施加強(qiáng)個(gè)人信息保護(hù)。嚴(yán)格遵守《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》中的相關(guān)條款;

（2）《公告》要求檢測(cè)機(jī)構(gòu)對(duì)App隱私政策和個(gè)人信息收集使用情況進(jìn)行評(píng)估;

（3）《公告》要求對(duì)違法違規(guī)收集使用個(gè)人信息行為進(jìn)行處罰

（4）《公告》要求公安機(jī)關(guān)依法嚴(yán)厲打擊針對(duì)和利用個(gè)人信息的違法犯罪行為;

（5）《公告》鼓勵(lì)A(yù)pp進(jìn)行個(gè)人信息安全認(rèn)證。

2 APP個(gè)人隱私保護(hù)專項(xiàng)工作

2020年4月起，我中心針對(duì)230款A(yù)PP開展檢測(cè)工作。根據(jù)APP提供服務(wù)的不同，我們將app的業(yè)務(wù)類型分為地圖導(dǎo)航、網(wǎng)絡(luò)約車、社區(qū)社交、網(wǎng)絡(luò)支付、新聞資訊、網(wǎng)上購物、短視頻、交通票務(wù)、婚戀相親、求職招聘、金融借貸、房產(chǎn)交易、問診掛號(hào)、安全管理及其他，共計(jì)15種業(yè)務(wù)類型分類，每款A(yù)PP根據(jù)提供服務(wù)的多少可包含多種業(yè)務(wù)類型。其中4%的金融借貸類APP存在違規(guī)收集個(gè)人信息的問題;4%的網(wǎng)絡(luò)支付類APP存在違規(guī)收集個(gè)人信息的問題;76%的其他類型APP存在違規(guī)收集個(gè)人信息的問題。詳情如圖1所示：

在此次檢測(cè)中，主要針對(duì)Android端APP進(jìn)行檢測(cè)。其中，其他業(yè)務(wù)類型占不合規(guī)業(yè)務(wù)類型的81%，3%網(wǎng)絡(luò)支付業(yè)務(wù)類型占不合規(guī)業(yè)務(wù)類型的3%，金融借貸業(yè)務(wù)類型占不合規(guī)業(yè)務(wù)類型的3%，詳情如圖2所示：

同時(shí)，我們也對(duì)其中6款iOS端app進(jìn)行檢測(cè)，其中網(wǎng)絡(luò)支付業(yè)務(wù)類型占不合規(guī)業(yè)務(wù)類型的15%，網(wǎng)上購物業(yè)務(wù)類型占不合規(guī)業(yè)務(wù)類型的15%，快遞配送業(yè)務(wù)類型占不合規(guī)業(yè)務(wù)類型的15%，詳情如圖3所示：

根據(jù)《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》我們將應(yīng)用違規(guī)問題分為：私自收集個(gè)人信息、私自將個(gè)人信息共享給第三方、過度索取權(quán)限、私自收集使用個(gè)人信息、注銷賬號(hào)難、個(gè)人信息泄露風(fēng)險(xiǎn)、超范圍收集個(gè)人信息、強(qiáng)制用戶使用定向推送功能、頻繁申請(qǐng)權(quán)限9類。其中以私自收集個(gè)人信息、私自將個(gè)人信息共享給第三方、過度索取權(quán)限、私自收集使用個(gè)人信息的問題尤為突出。分別占全部違規(guī)問題的95%，87%，84%，81%，詳情如圖4所示：

我們對(duì)重點(diǎn)服務(wù)類型的APP進(jìn)行分析，發(fā)現(xiàn)金融借貸類APP主要存在的問題為：私自將個(gè)人信息共享給第三方、個(gè)人信息泄露風(fēng)險(xiǎn)、超范圍收集個(gè)人信息、私自收集使用個(gè)人信息。詳情如下圖5所示：

網(wǎng)絡(luò)支付類APP主要存在的問題為：私自將個(gè)人信息共享給第三方、個(gè)人信息泄露風(fēng)險(xiǎn)、私自收集使用個(gè)人信息、超范圍收集個(gè)人信息。詳情如下圖所示：

我們通過對(duì)比不同平臺(tái)（iOS、Android ）上的同一款A(yù)PP發(fā)現(xiàn)，此款A(yù)PP在雙平臺(tái)上均存在私自收集個(gè)人信息、個(gè)人信息收集未進(jìn)行申明的問題以及未提供注銷賬號(hào)途徑等問題。由于iOS系統(tǒng)特性，app未發(fā)現(xiàn)強(qiáng)制用戶使用定向推送功能的相關(guān)問題;未發(fā)現(xiàn)用戶明確表示不同意后，仍收集個(gè)人信息或打開可收集個(gè)人信息的權(quán)限，或頻繁征求用戶同意、干擾用戶正常使用的相關(guān)問題。

3 提高終端上個(gè)人信息保護(hù)的方法

對(duì)個(gè)人用戶來說，僅僅依靠個(gè)人隱私保護(hù)制度是遠(yuǎn)遠(yuǎn)不夠的。保護(hù)好個(gè)人隱私是我們每個(gè)公民應(yīng)享有的權(quán)益，但是在不知不覺之中，我們的個(gè)人信息在網(wǎng)上被共享。

3.1增強(qiáng)個(gè)人隱私保護(hù)意識(shí)

（1）仔細(xì)閱讀APP個(gè)人隱私條款

在使用各類APP之前仔細(xì)閱讀個(gè)人隱私使用條款，仔細(xì)查閱用戶服務(wù)協(xié)議。嚴(yán)格控制敏感權(quán)限的調(diào)用如：位置信息;麥克風(fēng)、錄音設(shè)備的調(diào)用;微信、支付寶賬號(hào)等。

（2）增強(qiáng)個(gè)人安全防范意識(shí)

定期對(duì)移動(dòng)端設(shè)備和電腦終端進(jìn)行病毒查殺、及時(shí)更新漏洞補(bǔ)丁;避免點(diǎn)擊陌生人發(fā)送的郵件及手機(jī)彩信或短信中的鏈接，以免造成由釣魚郵件或惡意鏈接引起的數(shù)據(jù)泄露;不要將重要賬號(hào)的用戶名和密碼保存在終端上。

3.2規(guī)范APP開發(fā)者使用個(gè)人信息的標(biāo)準(zhǔn)

移動(dòng)端個(gè)人信息的保護(hù)僅靠個(gè)人是遠(yuǎn)遠(yuǎn)不夠的，科技是中立的，但資本逐利，無法用道德來約束。App開發(fā)者應(yīng)嚴(yán)格管控個(gè)人信息數(shù)據(jù)的調(diào)用，做到以下幾點(diǎn)：

（1）完善隱私政策等收集使用規(guī)則，提供由用戶自主選擇同意或不同意選項(xiàng)。個(gè)人信息的調(diào)用及第三方SDK所需要的個(gè)人信息應(yīng)與隱私政策中的使用規(guī)則一一對(duì)應(yīng)。

（2）嵌入的第三方SDK及第三方SDK所需收集的個(gè)人信息應(yīng)遵循最小化原則，與業(yè)務(wù)不相關(guān)的信息進(jìn)行刪除處理，相關(guān)信息在隱私協(xié)議中進(jìn)行補(bǔ)充。

（3）在用戶拒絕收集個(gè)人信息或拒絕授權(quán)后，應(yīng)用不應(yīng)頻繁向用戶申請(qǐng)同時(shí)也應(yīng)再通過其他方式繼續(xù)收集用戶拒絕后的個(gè)人信息或權(quán)限。

（4）嵌入的第三方SDK及第三方SDK所收集的個(gè)人信息應(yīng)進(jìn)行加密傳輸。

（5）應(yīng)在用戶同意隱私政策后，收集使用個(gè)人隱私數(shù)據(jù)。

4 結(jié)束語

海量的信息豐富了每一個(gè)接觸現(xiàn)代信息網(wǎng)絡(luò)的人的生活，與之共生的問題是絕大部分人在數(shù)據(jù)面前毫無隱私可言。在疫情防控期間，各省的防控小程序收集了身份證號(hào)碼、手機(jī)號(hào)、行蹤軌跡等大量敏感的個(gè)人信息，使得個(gè)人隱私保護(hù)被推上了風(fēng)口浪尖。為了避免個(gè)人信息泄露，我們后續(xù)應(yīng)當(dāng)加強(qiáng)企業(yè)對(duì)個(gè)人信息安全使用的重視程度，增加開發(fā)人員的安全經(jīng)驗(yàn)，加大對(duì)違規(guī)收集個(gè)人隱私數(shù)據(jù)的APP的打擊力度，從嚴(yán)治理，同時(shí)加強(qiáng)行業(yè)自律。數(shù)據(jù)安全比不在與黑客的技術(shù)有多高級(jí)，更多的需要用戶自身加強(qiáng)防范意識(shí)，選擇可靠的軟件進(jìn)行使用，定期修改密碼，做好自身防護(hù)工作，比起亡羊補(bǔ)牢可靠的多。

參考文獻(xiàn)

[1]中央網(wǎng)信辦，工業(yè)和信息化部，公安部，市場(chǎng)監(jiān)管總局.APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法[S].

[2]中國互聯(lián)網(wǎng)協(xié)會(huì)反網(wǎng)絡(luò)病毒聯(lián)盟.移動(dòng)互聯(lián)網(wǎng)惡意代碼描述規(guī)范[S].

[3]王小群，韓志輝，徐劍，朱天，饒毓，擺亮，毛洪亮.2018年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述[J].保密科學(xué)技術(shù)，2019（05）：4-9.

[4]聶國春 京東金融“竊圖”再引個(gè)人信息安全擔(dān)憂[N].《中國消費(fèi)者報(bào)》.2019-02-26.

[5]馬慧，王鈺錚.手機(jī)APP侵害用戶權(quán)益的現(xiàn)象與本質(zhì)[J].互聯(lián)網(wǎng)天地，2019（06）：51-52.