陳銀平 劉艷

[摘 要]隨著移動互聯(lián)網(wǎng)的發(fā)展和智能終端的不斷普及，手機APP得到廣泛應(yīng)用。但因行業(yè)發(fā)展不規(guī)范以及監(jiān)管力度不夠等原因，手機APP個人信息泄露事件頻發(fā)。本文基于30款手機APP個人信息安全的檢測結(jié)果，分析了個人信息泄露的原因，并從法律層面、政府層面、企業(yè)層面、個人層面等幾個方面提出了解決個人信息泄露問題的建議。

[關(guān)鍵詞]手機;APP;信息安全;個人信息;信息泄露

doi：10.3969/j.issn.1673 - 0194.2020.18.089

[中圖分類號]TP309[文獻標(biāo)識碼]A[文章編號]1673-0194（2020）18-0-02

0? ? ?引 言

根據(jù)國家網(wǎng)信辦發(fā)布的《移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》，移動互聯(lián)網(wǎng)應(yīng)用程序（簡稱APP）指通過預(yù)裝、下載等方式獲取并運行在移動智能終端上、向用戶提供信息服務(wù)的應(yīng)用軟件。隨著移動互聯(lián)網(wǎng)的快速發(fā)展和智能終端的不斷普及，手機APP得到廣泛應(yīng)用。據(jù)工信部統(tǒng)計數(shù)據(jù)顯示，截至2018年底，我國市場上有449萬款A(yù)PP，手機APP包括影音視聽、實用工具、聊天社交、圖書閱讀、時尚購物、攝影攝像、學(xué)習(xí)教育、旅行交通、金融理財、娛樂消遣、新聞資訊、居家生活、體育運動、醫(yī)療健康和效率辦公等類別，涵蓋了人們生活和工作的方方面面。隨著對手機APP的需求增多，APP的開發(fā)上線量驟增，但因行業(yè)發(fā)展不規(guī)范以及監(jiān)管力度不夠等原因，手機APP產(chǎn)品質(zhì)量參差不齊，惡意收費、竊聽、竊錄、位置信息泄露等安全事件頻發(fā)。2018年9月，中國消費者協(xié)會發(fā)布了《APP個人信息泄露情況調(diào)查報告》，結(jié)果表明85.2%的被調(diào)查人員經(jīng)歷過個人信息泄露事件。2018年11月，中國消費者協(xié)會又發(fā)布了《100款A(yù)PP個人信息收集與隱私政策測評報告》，測評報告指出91款A(yù)PP過度收集用戶個人信息，59款A(yù)PP過度收集位置信息。由此可見，手機APP個人信息安全問題不容忽視。

1? ? ?手機APP個人信息安全調(diào)查

2019年9月，筆者所在單位對來自小米應(yīng)用商店、華為應(yīng)用商店和OPPO應(yīng)用商店的30款手機APP安全性進行測試，其中，新聞資訊類手機APP產(chǎn)品15款，時尚購物類手機APP產(chǎn)品15款。測試項目包括安裝與卸載、啟動與退出、更新、收集用戶數(shù)據(jù)、修改用戶數(shù)據(jù)、流量耗費、費用損失、信息泄露及廣告行為。測試結(jié)果顯示：安裝與卸載中的卸載不徹底3批次（10%）;收集用戶數(shù)據(jù)13批次（43%）;修改用戶數(shù)據(jù)6批次（20%）;流量耗費15批次（50%）;費用損失7批次（23%）;信息泄露7批次（23%）;廣告行為中的存在通知欄廣告13批次（43%），存在積分墻4批次（13%），具體數(shù)據(jù)如圖1所示。

本文中安裝與卸載指在下載和安裝應(yīng)用軟件過程中捆綁下載其他應(yīng)用軟件;安裝用戶未知和未允許的第三方應(yīng)用軟件;用戶無法隨時卸載應(yīng)用軟件;卸載不徹底，在系統(tǒng)中留下應(yīng)用軟件的臨時文件和活動程序或模塊等問題。啟動與退出指啟動時自動連接某網(wǎng)站或鏈接，退出時未停止運行所有屬于該軟件的進程等問題。更新指在有更新版本時，未經(jīng)用戶允許自動更新。收集用戶數(shù)據(jù)指在用戶未確認(rèn)的情況下開啟通話錄音、本地錄音、拍照、攝像和定位等。修改用戶數(shù)據(jù)指在用戶無確認(rèn)的情況下刪除或修改用戶電話本數(shù)據(jù)、通話記錄、短信數(shù)據(jù)等。流量耗費指在用戶無確認(rèn)的情況下通過移動通信網(wǎng)絡(luò)數(shù)據(jù)連接、WLAN網(wǎng)絡(luò)連接和無線外圍接口傳送數(shù)據(jù)等。費用損失指在用戶無確認(rèn)的情況下?lián)艽螂娫?、發(fā)送短信、發(fā)送彩信和開啟移動通信網(wǎng)絡(luò)連接并收發(fā)數(shù)據(jù)等。信息泄露指在用戶無確認(rèn)的情況下讀取并傳送用戶電話本數(shù)據(jù)、通話記錄、短信數(shù)據(jù)、彩信數(shù)據(jù)、通話錄音、本地錄音、圖片、視頻、音頻和定位信息等。廣告行為指存在通知欄廣告，未經(jīng)用戶許可創(chuàng)建桌面快捷方式、書簽、圖標(biāo)或修改默認(rèn)設(shè)置等方式進行廣告展示。

1.1? ?在收集用戶數(shù)據(jù)檢測項中

13款A(yù)PP存在未向用戶明示并經(jīng)用戶同意，擅自收集用戶數(shù)據(jù)行為的風(fēng)險，其中，11款A(yù)PP為新聞資訊類APP，占比84.6%。自2017年7月1日實施《移動智能終端應(yīng)用軟件預(yù)置和分發(fā)管理暫行規(guī)定》以來，越來越多的手機應(yīng)用APP開發(fā)企業(yè)開始通過用戶提示、隱私協(xié)議簽訂等方式明示提供APP的信息，主要包括APP的名稱、功能描述、開發(fā)者信息、軟件安裝及運行所需權(quán)限等，并明確告知用戶APP收集、使用用戶個人信息的內(nèi)容、目的、方式和范圍等。但由于缺乏監(jiān)管力度，仍存在擅自泄露手機用戶數(shù)據(jù)行為的問題，這類問題會給一些流氓軟件可乘之機，獲取用戶手機里的資料，或者榨取更隱私的信息，比如銀行賬戶等。尤其對于擅自獲取的位置信息，不法分子能夠根據(jù)手機定位信息分析個人行跡，對活動地點自動分析、歸類，從而實施詐騙行為，給用戶造成人身或財產(chǎn)傷害。

1.2? ?在修改用戶數(shù)據(jù)檢測項中

6款A(yù)PP存在未向用戶明示并經(jīng)用戶同意，擅自修改用戶數(shù)據(jù)行為的風(fēng)險，這6款A(yù)PP均為時尚購物類APP。時尚購物類APP通常需獲取用戶的通訊錄、個人身份信息、個人財產(chǎn)信息、個人上網(wǎng)記錄、個人位置信息等敏感信息，一旦獲取后未向用戶明示并經(jīng)用戶同意，擅自修改用戶數(shù)據(jù)，將給用戶造成人身或財產(chǎn)傷害。

1.3? ?在信息泄露檢測項中

7款A(yù)PP存在未向用戶明示并經(jīng)用戶同意，擅自調(diào)用終端通信功能，造成用戶信息泄露行為的風(fēng)險，其中，3款A(yù)PP為新聞資訊類APP，4款A(yù)PP為時尚購物類APP。目前，手機具有通訊錄、短信、照片等數(shù)據(jù)備份功能，容易使不法分子獲取個人身份信息、財產(chǎn)信息、上網(wǎng)記錄、位置等敏感信息，導(dǎo)致用戶莫名接收垃圾短信、騷擾電話，甚至出現(xiàn)財產(chǎn)損失。

2? ? ?手機APP個人信息泄露原因

2.1? ?個人安全意識及主動維權(quán)意識淡薄

中國消費者協(xié)會發(fā)布的《APP個人信息泄露情況調(diào)查報告》顯示，能夠認(rèn)真閱讀完應(yīng)用權(quán)限和用戶協(xié)議或隱私政策說明的受訪者僅占19.7%，而26.2%的受訪者從不閱讀應(yīng)用權(quán)限和用戶協(xié)議或隱私政策。從調(diào)查數(shù)據(jù)可知，大部分手機用戶保護個人信息安全意識淡薄，或由于網(wǎng)絡(luò)技術(shù)知識欠缺和文字表述篇幅小等原因，或因為不授權(quán)就無法使用，或出于對APP運營商的信任，或認(rèn)為用戶協(xié)議內(nèi)容都大同小異，導(dǎo)致一些消費者大致瀏覽或僅閱讀重點章節(jié)，隱私政策文字說明甚至根本不閱讀，這樣容易遺漏重點信息或關(guān)鍵描述。在個人信息泄露后，消費者雖然會采取各種措施手段維護自身權(quán)益，但是選擇消極應(yīng)對和不采取任何措施的不在少數(shù)，消費者主動維權(quán)意識需要加強。

2.2? ?APP開發(fā)商缺乏自律和責(zé)任感

GB/T 35273《信息安全技術(shù)個人信息安全規(guī)范》中對APP隱私政策有明確規(guī)范，主要包括個人信息收集原則、收集個人敏感信息時明示同意、個人信息的保存及使用以及對外共享、轉(zhuǎn)讓、公開披露有關(guān)情況。雖然標(biāo)準(zhǔn)有規(guī)定，但事實上很多APP產(chǎn)品存在隱私政策不規(guī)范問題。中國消費者協(xié)會的調(diào)查結(jié)果顯示，有的APP隱私條款不清，有的不主動向用戶展示隱私條款或者展示內(nèi)容晦澀難懂，有的不提供訪問、更正、刪除個人信息的途徑，有的未遵循最小化收集個人信息規(guī)定，有的未明確告知用戶個人信息的使用方式，有的存在默認(rèn)同意或不提示閱讀，還有一些存在“自行承擔(dān)風(fēng)險”等霸王條款，甚至有的APP根本沒有隱私條款。這些現(xiàn)象反映出APP廠商缺乏自律，未嚴(yán)格遵守標(biāo)準(zhǔn)規(guī)定的有目的性地收集用戶個人信息，對用戶隱私的保護缺乏責(zé)任感。

2.3? ?法律法規(guī)約束不足

現(xiàn)階段，手機APP個人信息保護方面的法律法規(guī)主要有《網(wǎng)絡(luò)安全法》和《電子商務(wù)法》，但還存在一些需要完善的地方，例如：《網(wǎng)絡(luò)安全法》規(guī)定“收集使用個人信息，應(yīng)遵循合法、正當(dāng)、必要的原則”，但原則的界定存在爭議。此外，發(fā)生個人信息泄露事件后舉證困難、相應(yīng)的處罰力度不足。如果不能在法律層面上形成強有力的約束，那么將很難規(guī)范這一領(lǐng)域的正常秩序。

3? ? ?解決APP個人信息安全泄露問題的策略

3.1? ?健全相關(guān)法律法規(guī)

目前，我國針對APP收集個人信息行為出臺了一系列規(guī)范性文件和推薦性標(biāo)準(zhǔn)，但對消費者關(guān)心的懲戒手段和賠償問題等涉及不深。建議進一步明確網(wǎng)絡(luò)信息服務(wù)中，交易雙方的權(quán)利和義務(wù)，尤其要約束APP運營者商的責(zé)任和義務(wù)。此外，在相關(guān)標(biāo)準(zhǔn)和指南中進一步細(xì)化APP運營者收集、使用個人信息的規(guī)范。

3.2? ?提高政府監(jiān)管能力

有關(guān)主管部門應(yīng)嚴(yán)厲懲罰各類違法違規(guī)行為，嚴(yán)厲打擊販賣個人信息行為，按照《網(wǎng)絡(luò)安全法》《消費者權(quán)益保護法》等依法予以處罰。常態(tài)化監(jiān)管容易泄露個人隱私信息行為，因此，相關(guān)主管部門應(yīng)密切關(guān)注APP市場的發(fā)展態(tài)勢，建立定期抽查制度，及時公布抽查結(jié)果，對于存在泄露個人信息隱患的APP。提醒消費者謹(jǐn)慎下載使用。

3.3? ?推行個人信息保護設(shè)計理念

APP個人信息安全問題大多是因為在設(shè)計之初側(cè)重于完善功能性，輕視安全性，導(dǎo)致重視業(yè)務(wù)功能而忽視個人信息保護的客觀現(xiàn)象。因此，APP運營商應(yīng)重視個人信息安全問題，在組織運營管理和APP產(chǎn)品設(shè)計階段，將信息安全性貫徹到技術(shù)、系統(tǒng)、操作等各個層面，全面提高個人信息保護水平。

3.4? ?培育良好信息信用意識和使用習(xí)慣

對于用戶而言，在下載或使用手機應(yīng)用APP產(chǎn)品時，應(yīng)注意以下幾點：一是去正規(guī)的應(yīng)用商店下載手機應(yīng)用APP，選擇官方版本，并安裝正規(guī)的手機安全管家軟件對個人信息進行保護;二是首次使用或注冊前仔細(xì)閱讀相關(guān)隱私協(xié)議，盡量不注冊使用可疑的APP;三是通過后臺設(shè)置，限制APP獲取不必要的權(quán)限;四是認(rèn)真應(yīng)對。當(dāng)發(fā)現(xiàn)個人信息被泄露時，應(yīng)采取有效手段，及時主動維護自身權(quán)益，必要時向有關(guān)部門反映。

主要參考文獻

[1]中國消費者協(xié)會.APP個人信息泄露情況調(diào)查報告[R].2018-08-29.

[2]李宇斐.手機APP個人信息安全風(fēng)險與防范[J].保密科學(xué)技術(shù)，2019（8）：49-52.

[3]中國標(biāo)準(zhǔn)化委員會.信息安全技術(shù)個人信息安全規(guī)范（GB/T 35273）

[S].2018.

[4]秦博陽，靳文京.APP個人信息安全現(xiàn)狀及解決思路[J].保密科學(xué)技求，2019（10）：12-15.