盧丹 王琦 王可 邵曉萌 韓佳琳

(中國信息通信研究院安全研究所，北京100191)

0 引言

定位技術已應用在生活的各個方面，人們享受到了定位技術帶來的各種便捷，各類互聯(lián)網(wǎng)應用也在技術發(fā)展中獲益。定位服務除了滿足人們娛樂生活以外，在緊急情況下，通過及時定位事故車輛或受困人員，為人們提供額外的安全保障。

目前常用的定位技術包括衛(wèi)星定位、基站定位、Wi-Fi/藍牙/UWB定位，以及通過“打卡”或掃描二維碼等方式實現(xiàn)的定位功能。各類定位服務特點不同，有其不同的適用場景。衛(wèi)星定位覆蓋范圍最廣，適合于空曠環(huán)境；基站定位在市區(qū)環(huán)境下具有一定優(yōu)勢，能夠彌補衛(wèi)星定位在建筑物遮擋情況下精度不高的問題；Wi-Fi/藍牙/UWB定位適用于室內(nèi)環(huán)境或局域網(wǎng)環(huán)境，但推廣應用方面存在難度；“打卡”或掃描二維碼等方式目前也已應用較為普遍，該方式在新冠肺炎疫情期間發(fā)揮了巨大作用，精度最高，但較為被動，缺乏連續(xù)性和時效性。各類定位技術應用特點不同，在融合應用后能夠彌補各自優(yōu)缺點，可為用戶提供了更全面的服務。

隨著定位技術應用范圍的日益普及，定位技術帶來的隱私泄露風險已成為用戶最關心的問題。企業(yè)收集的用戶位置信息可能會因為使用方式不當或安全防護措施不足而造成數(shù)據(jù)泄露，從而被非法利用或被黑產(chǎn)販賣到其他渠道。此外，個別企業(yè)也存在過度收集或使用用戶數(shù)據(jù)的情況。這些數(shù)據(jù)可能會被用于定向推送垃圾廣告、用于跟蹤特定人物甚至重要人物，還可能會被國外情報機構利用，嚴重危害國家安全。紐約時報曾在調查中，從一家提供位置服務的互聯(lián)網(wǎng)公司工作人員手中輕松獲取一份包括1 200萬美國人位置信息的特殊樣本，該樣本覆蓋用戶在華盛頓、紐約、舊金山和洛杉磯等幾個主要城市移動的位置信息，涵蓋了用戶幾個月內(nèi)的精確位置。這些數(shù)據(jù)是互聯(lián)網(wǎng)公司通過用戶手機安裝的APP獲得，通過獲取終端位置訪問權限獲取位置信息。該方式已成為位置信息泄露的主要途徑，除此之外，用戶位置還可能在連接Wi-Fi、藍牙或掃描二維碼等過程中被悄無聲息獲取。因此，加強用戶位置數(shù)據(jù)保護，防止用戶數(shù)據(jù)被過度采集或非法利用已成為一項重要的研究內(nèi)容。

位置信息屬于用戶重要的一類敏感信息。為保護用戶個人信息的安全性，我國已從法律、政策、技術標準等方面形成了完備的安全管理體系。

1 我國用戶位置信息安全管理體系

目前，我國在用戶位置信息保護方面，已基本形成以《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)、《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)為上位法，以《APP違法違規(guī)收集使用個人信息行為認定方法》《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》《移動互聯(lián)網(wǎng)應用程序個人信息保護管理規(guī)定》等政策文件為實施依據(jù)的體系化安全管理模式。對位置信息的采集、使用、存儲等全流程以及涉及的主體都提出了明確的安全管理要求。目前，配套的安全技術要求和檢測標準已基本在征求意見或發(fā)布階段，從應用商店對APP的審核依據(jù)，到APP個人信息采集范圍等多個環(huán)節(jié)，都制定了細化和明確的標準，為法律政策的有效落地、安全管理的規(guī)范性實施提供了有利的支撐。

1.1 法律

2021年9月1日，《數(shù)據(jù)安全法》正式實施，明確要求任何組織、個人收集數(shù)據(jù)必須釆取合法、正當?shù)姆绞?，不得竊取或者以其他非法方式獲取數(shù)據(jù)。2021年11月1日，《個人信息保護法》正式實施，緊緊圍繞規(guī)范個人信息處理活動、保障個人信息權益，構建了以“告知—同意”為核心的個人信息處理規(guī)則，將個人信息保護提高到重要位置。依據(jù)《數(shù)據(jù)安全法》《個人信息保護法》，任何企業(yè)想獲取用戶位置信息必須獲得用戶授權。不得以個人不同意提供為由拒絕服務。同時，處理用戶位置信息的服務提供商也將作為位置信息保護的第一責任人，需要采取必要措施保障用戶位置信息的安全性。

1.2 政策

在政策層面，多部門配套出臺行政法規(guī)，目前已對APP應用采集個人信息進行了嚴格限制。從2019年年初開始，中央網(wǎng)信辦、工業(yè)和信息化部、公安部及國家市場監(jiān)督管理總局四部門開展了聯(lián)合行動，發(fā)布系列舉措，嚴格規(guī)范APP個人信息收集行為。2019年，四部門發(fā)布《APP違法違規(guī)收集使用個人信息行為認定方法》[1]，并開展APP違法違規(guī)收集使用個人信息專項治理行動。認定方法中，明確將APP收集與提供業(yè)務功能無關的個人信息、超實際需求頻率收集、收集敏感信息未同步告知或超已告知范圍使用敏感信息等行為判定為違規(guī)行為。依據(jù)該認定方法，APP使用用戶位置信息需同步告知，使用范圍必須與告知范圍完全一致，不能超需求頻率收集位置信息形成位置軌跡。

2021年3月，《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》[2]提出，在常見類型APP中，位置信息僅作為地圖導航類、網(wǎng)約車類、“共享單車、共享汽車、租賃汽車”等用車服務類應用所需的必要個人信息，行蹤軌跡僅為網(wǎng)絡約車類應用所需的必要個人信息。依據(jù)該規(guī)定，除上述類型的應用外，若用戶拒絕向應用提供位置信息或行蹤軌跡，用戶也有權使用應用的基本功能。

《移動互聯(lián)網(wǎng)應用程序個人信息保護管理規(guī)定》[3]目前也已向公眾征求意見，該規(guī)定進一步規(guī)范了APP個人信息處理相關活動，并強化了包括APP開發(fā)運營者、APP分發(fā)平臺、APP第三方服務提供、移動智能終端生產(chǎn)企業(yè)、網(wǎng)絡接入服務提供者在內(nèi)從事APP個人信息處理活動的相關主體責任。待該規(guī)定正式實施后，對于違規(guī)采集用戶位置的相關主體，將可采用定期整改與社會公示、下架處置、斷開連接、終端禁入等多級措施進行管控，對于嚴重侵害用戶權益的，將依照有關規(guī)定予以處罰或依據(jù)法律追究刑事責任。

從目前的政策要求看出，國家對用戶位置等個人信息的保護力度在逐步加大，通過制定明確的安全管理要求，并實施嚴格的處罰機制，規(guī)范企業(yè)行為，為用戶位置等個人信息筑起了一道堅固的安全防線。

1.3 標準規(guī)范

為配套支撐政策的有效實施，國家標準、行業(yè)標準、團體標準均在同步制定當中?！缎畔踩夹g 移動互聯(lián)網(wǎng)應用程序(APP)收集個人信息基本要求》于2022年4月發(fā)布，《信息安全技術 移動互聯(lián)網(wǎng)應用程序(APP)個人信息安全測評規(guī)范》目前正在征求意見階段，該兩項國家標準為第三方檢測機構和國家監(jiān)管機構開展APP個人信息安全測評和檢查提供技術支撐。

作為APP專項治理工作組成員，中國網(wǎng)絡空間安全協(xié)會于2021年11月發(fā)布團體標準《應用商店APP個人信息收集使用上架審核和管理規(guī)范》，并公開向社會征求意見，該規(guī)范將為APP分發(fā)平臺加強對上架APP進行規(guī)范性審核、監(jiān)測提供指導。

2022年5月，由電信終端產(chǎn)業(yè)協(xié)會制定的《APP收集使用個人信息最小必要評估規(guī)范 總則》《APP 收集使用個人信息最小必要評估規(guī)范位置信息》等團體標準正式報批。該系列標準是對“最小必要原則”的規(guī)范和細化，將對移動應用程序收集、加工、應用位置信息過程提供規(guī)范化參考。

2022年4月，《移動智能終端安全技術要求》正式實施，該標準明確要求了移動智能終端應在用戶確認的情況下才能應用程序提供定位功能。終端將用戶許可作為是否提供信息的唯一參考。該要求也成為終端獲得入網(wǎng)許可的必要條件。

可以看出，在標準制定方面，已圍繞終端、應用商店審核和APP數(shù)據(jù)收集等方面提出了安全要求，能夠對入網(wǎng)終端對APP采集位置信息時的用戶詢問流程、應用商店審核模式和APP位置數(shù)據(jù)采集范圍進行標準化。這在一定程度上保障了通過安全檢測和評估的終端、APP和應用商店在保護用戶位置信息方面符合國家要求。

2 風險分析

從我國用戶位置信息安全管理體系可以看出，國家已對位置信息等個人信息進行了規(guī)范，同步開展了嚴格的監(jiān)管。截至2022年5月，工業(yè)和信息化部已累計開展了23輪針對APP違規(guī)收集信息的專項治理工作，對應用平臺上線的APP違規(guī)收集用戶個人信息情況進行了整頓[4]。目前，APP若超權限獲取用戶位置或超范圍使用位置信息將受到嚴厲懲處。

在嚴格的監(jiān)管環(huán)境下，一些黑灰產(chǎn)仍在企圖挖掘各類途徑獲取用戶位置信息，個人信息安全風險仍然存在。本文在分析定位技術原理的基礎上，開展位置信息安全風險研究。用戶位置信息暴露的主要路徑分析如圖1所示，涉及的主要對象包括移動終端、APP、核心網(wǎng)，以及其他定位主體。下面將從每類對象出發(fā)，分析可能存在的安全風險。

2.1 移動終端

移動終端通過集成定位模塊或安裝定位算法實現(xiàn)定位功能。終端目前可采用的定位方式包括衛(wèi)星定位、Wi-Fi/藍牙/UWB定位等。

終端維護各類定位數(shù)據(jù)，主要依據(jù)的調用流程如圖2所示，通過接口向APP提供位置讀取權限。

終端操作系統(tǒng)的安全性很大程度決定了位置數(shù)據(jù)的安全性，然而，部分用戶會忽略終端安全的重要性，會為增加使用自由度而采用“刷機”“越獄”等方式修改手機操作系統(tǒng)，該方式將可能破壞終端安全機制和授權方式，從而引入安全風險。也有部分用戶因價格因素，選擇購買價格更占優(yōu)勢的“山寨機”。此類“山寨機”絕大部分未經(jīng)安全檢驗，存在對定位數(shù)據(jù)等個人信息讀取權限管理混亂等隱患，導致位置信息違規(guī)提供給APP。

圖2 APP獲取位置信息流程

圖3 5G定位系統(tǒng)架構

2.2 APP

依據(jù)我國在個人信息保護領域發(fā)布的政策和標準，上架的APP都要在個人信息收集方面接受監(jiān)督。然而，除官網(wǎng)應用商店外，也存在其他APP推廣途徑，如通過下載鏈接獲取APP。這類APP安全風險較大，一方面可能未按照國家法律政策要求收集位置信息，存在過度采集的風險；另一方面，APP后臺數(shù)據(jù)庫的安全性以及數(shù)據(jù)使用方式均無法保障，存在數(shù)據(jù)泄露、超范圍使用的風險。

2.3 核心網(wǎng)

基站定位作為另一種重要的定位方式。核心網(wǎng)通過測量終端信號強度、上下行信號時間差以及信號到達/離開角等參數(shù)計算終端與基站的相對位置，并基于基站真實位置信息得到終端真實位置。在5G網(wǎng)絡中(見圖3)，定位功能主要由定位管理功能(Location Management Function，LMF)、移動定位中心網(wǎng)關(Gateway for Mobile Location Center，GMLC)以及定位服務(Location Service，LCS)客戶端等網(wǎng)元和功能模塊共同實現(xiàn)[5]。

網(wǎng)元和平臺的安全性對于位置信息的安全性至關重要。需防范針對5G核心網(wǎng)發(fā)起的網(wǎng)絡攻擊或因運維人員操作不當，越權訪問等因素導致的位置數(shù)據(jù)泄露或違規(guī)使用等風險。

2.4 其他定位服務

掃描二維碼等定位方式依賴于二維碼等實體的實際位置。用戶掃描二維碼后，應用后臺便可獲取用戶與二維碼的關聯(lián)關系，通過將二維碼與實際所在物理位置進行關聯(lián)，便可精準獲知用戶在掃描時刻的位置信息。

對于來源不明的二維碼，其運營主體不明確，數(shù)據(jù)使用方式未受監(jiān)督，將存在較大的安全風險，無法排除惡意收集位置信息和違規(guī)使用個人敏感信息的可能性。

3 用戶位置信息保護策略研究

通過對位置信息安全風險研究發(fā)現(xiàn)，目前的位置信息安全風險點主要存在于終端、APP、核心網(wǎng)、定位服務，以及用戶使用方式。因此，需要終端廠商、應用服務提供商、基礎電信企業(yè)、定位服務提供商、用戶等參與主體共同努力，通過加強各環(huán)節(jié)的流程管控，共同保護用戶位置數(shù)據(jù)的合規(guī)使用。

為防范位置信息在流轉環(huán)節(jié)可能存在的違規(guī)采集、超范圍使用、數(shù)據(jù)泄露等安全風險，建議實施移動用戶定位安全保護策略(見圖4)，以降低目前存在的位置信息安全風險。該策略由應用管理、數(shù)據(jù)安全保護、個人行為引導3部分組成。

圖4 用戶位置信息保護策略

3.1 應用管理

在我國用戶位置信息安全管理體系下，應用商店、第三方檢測機構應依據(jù)現(xiàn)有法律政策規(guī)定的必要個人信息采集范圍，對上架應用進行嚴格審核，保障應用程序能按照最小必要原則合規(guī)采集、使用用戶位置信息。除了嚴格管理應用商店上架的應用程序外，需進一步防范非可信來源的應用違規(guī)采集用戶位置信息。為提高用戶對可信應用的感知度，可采用應用標識管理等方式，對合規(guī)應用進行標注，該方式能在有效管理應用的同時，進一步幫助終端區(qū)分可信和非可信應用。對有標識的應用，終端可依據(jù)用戶授權方式提供位置信息訪問權限；對無標識的應用，則認為未通過合規(guī)檢測，終端可為用戶進行風險預警，或僅提供模糊位置。通過標識對應用進行管理，能有效防止用戶精準位置被非信任應用獲取，是保護用戶位置信息安全的一種重要方式。

3.2 數(shù)據(jù)安全保護

加強應用提供商、定位服務提供商后臺數(shù)據(jù)庫，以及LMF、GMLC、LCS客戶端等核心網(wǎng)網(wǎng)元、定位平臺的安全評測，有針對性加強安全防護能力部署，是保護定位數(shù)據(jù)安全性的一種重要方式?？刹捎脟栏窆芾矶ㄎ粩?shù)據(jù)訪問權限，對定位數(shù)據(jù)進行加密存儲和傳輸、部署必要的入侵防御能力等措施降低可能存在的來自內(nèi)部運維人員和外部網(wǎng)絡攻擊帶來的安全風險。此外，應細化和保留定位數(shù)據(jù)使用的全流程日志記錄內(nèi)容，通過自查和第三方監(jiān)督等方式定期查閱日志，保障定位數(shù)據(jù)全流程使用的合規(guī)性。

3.3 用戶行為引導

除上述策略外，應通過宣傳教育等方式，幫助用戶提高個人信息保護意識。通過注意終端和應用使用方式，盡可能避免因個人行為不當造成的數(shù)據(jù)泄露。一是避免通過應用商店以外的其他渠道獲取APP，僅下載和使用經(jīng)過第三方檢測機構或應用平臺嚴格審核后的APP。二是對APP授予位置信息讀取權限前，根據(jù)使用場景謹慎評估是否授權。三是僅在需要時開啟藍牙、Wi-Fi等功能，避免周邊部署的Wi-Fi路由器、藍牙發(fā)射器等設備基于參考節(jié)點位置關聯(lián)、獲取終端位置信息。四是謹慎掃描二維碼，在掃描二維碼前應了解二維碼的發(fā)布平臺、用途等關鍵信息，避免掃描來路不明的二維碼導致位置信息泄露。

4 結束語

本文梳理了我國在用戶位置信息安全方面的管理體系，分析和研究了用戶位置信息在各環(huán)節(jié)仍然面臨的安全風險，并有針對性地提出了用戶位置信息保護策略，以降低位置信息泄露的風險，保護用戶隱私。

用戶位置信息作為一類重要的用戶敏感信息，需要各環(huán)節(jié)參與方積極履行主體責任，發(fā)揮自身價值，共同努力保障個人信息安全。