近年來,隨著手機(jī)的智能化和通信技術(shù)的快速發(fā)展,我們正逐步邁向以智能手機(jī)為標(biāo)志的移動互聯(lián)網(wǎng)時(shí)代,從社交娛樂到移動支付,手機(jī)已經(jīng)滲透到我們生活和工作中的方方面面。然而,在享受移動互聯(lián)網(wǎng)時(shí)代帶來的各種便利的同時(shí),不得不面對隨之而來的個(gè)人信息安全問題,2018年9月,中國消費(fèi)者協(xié)會發(fā)布了《App個(gè)人信息泄露情況調(diào)查報(bào)告》,85.2%的受訪者遭遇過信息泄露情況,當(dāng)用戶個(gè)人信息泄露后,約86.5%的受訪者曾收到推銷電話或短信的騷擾,約75.0%的受訪者接到詐騙電話,約63.4%的受訪者收到垃圾郵件?梢姡謾C(jī)App個(gè)人信息安全問題不容小覷。
2019年3月15日,央視“3·15”晚會揭露了一款名為“社保掌上通”的熱門個(gè)人社保查詢App泄露用戶個(gè)人信息的問題。主持人在現(xiàn)場演示查詢信息時(shí),網(wǎng)絡(luò)安全專家通過抓取分析數(shù)據(jù)包發(fā)現(xiàn),用戶的信息已被發(fā)送至一家大數(shù)據(jù)公司的服務(wù)器。在此過程中,用戶會被默認(rèn)同意一份授權(quán)協(xié)議,包括不可撤銷地授權(quán)使用用戶社保賬戶密碼、采集用戶個(gè)人信息等諸多條款。
隨著互聯(lián)網(wǎng)業(yè)務(wù)向移動終端大面積轉(zhuǎn)移,加上移動終端用戶黏性大、實(shí)時(shí)在線率高等特點(diǎn),各類安全威脅也紛紛向移動終端轉(zhuǎn)移,上述“社保掌上通”App泄露用戶信息的情況也只是當(dāng)下手機(jī)App信息安全領(lǐng)域的冰山一角。
一、手機(jī)App泄露個(gè)人信息的途徑
(一)越界獲取隱私權(quán)限
根據(jù)《公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》,手機(jī)App在使用個(gè)人信息時(shí)需要對個(gè)人信息主體盡到告知、說明和警示的義務(wù),以及如實(shí)向個(gè)人信息主體告知個(gè)人信息的收集和使用范圍、個(gè)人信息的保護(hù)措施等。處理個(gè)人信息時(shí)要遵循“最小夠用”原則,要征得個(gè)人信息主體同意等原則。然而,據(jù)有關(guān)研究機(jī)構(gòu)發(fā)布的《App個(gè)人隱私研究報(bào)告》,超功能范圍申請、收集、上傳用戶信息仍是目前手機(jī)App普遍存在的現(xiàn)象。
(1)手機(jī)聯(lián)系人權(quán)限。數(shù)據(jù)顯示,2018年中國各類手機(jī)App調(diào)用讀取聯(lián)系人權(quán)限已成隱私侵犯重災(zāi)區(qū),社交、視頻、網(wǎng)購等六類App讀取聯(lián)系人權(quán)限占比超過50%,最高的達(dá)到86.7%。究其原因,與手機(jī)App廠商推動平臺社交路徑傳播、打造熟人社區(qū)的營銷策略息息相關(guān)。
(2)讀取短信權(quán)限。App讀取短信權(quán)限常用于自動提取用戶短信驗(yàn)證碼,有助于用戶提高App短信驗(yàn)證操作的效率。但在針對用戶其余個(gè)人短信的讀取上,App的讀取權(quán)限并未受到有效監(jiān)督或限制,部分不法App或可通過該權(quán)限調(diào)用,實(shí)現(xiàn)對用戶短信信息的竊取。數(shù)據(jù)顯示,移動資訊閱讀、社交、理財(cái)、旅游四類App調(diào)用權(quán)限占比不低于30.0%,嚴(yán)重威脅用戶隱私信息安全。
(3)獲取定位信息。根據(jù)手機(jī)App功能,地圖類、旅游類、網(wǎng)購類、社交類App具備定位功能,獲取用戶位置信息有利于提供更準(zhǔn)確的服務(wù),屬于合理訴求。但是調(diào)查顯示,部分移動視頻、音頻、資訊閱讀、工具類手機(jī)App仍存在調(diào)取、濫用定位信息情況。
(二)植入木馬病毒
智能手機(jī)主要操作系統(tǒng)包括Android和iOS。iOS系統(tǒng)相對安全,Android系統(tǒng)則更為開放,除官方應(yīng)用商城外,部分App開發(fā)商會通過彈窗、廣告等形式,為用戶推送含有木馬病毒的App下載鏈接,用戶點(diǎn)擊下載并安裝后,木馬病毒就會自動掃描手機(jī)中通信、短信、賬號密碼等個(gè)人隱私信息,并將相關(guān)數(shù)據(jù)回傳服務(wù)器[4],造成用戶信息泄露。2019年3月,360公司發(fā)布的《2018年中國手機(jī)安全狀況報(bào)告》顯示,2018年全年共截獲移動端新增惡意程序樣本434.2萬個(gè),平均每天新增1.2萬個(gè),其中隱私竊取類占比33.7%,嚴(yán)重威脅用戶個(gè)人信息安全。
(三)售賣用戶隱私
除上述兩個(gè)手機(jī)App信息泄露途徑之外,還有App廠商相互分享、買賣用戶數(shù)據(jù)等途徑,很多用戶都有這樣的體驗(yàn),剛剛在某App中瀏覽某類商品,很快就會在其他平臺中收到同類商品的推廣信息。事實(shí)上,售賣用戶隱私信息已形成灰色產(chǎn)業(yè)鏈,《App個(gè)人信息泄露情況調(diào)查報(bào)告》結(jié)果顯示,經(jīng)營者或不法分子故意泄露、出售或者非法向他人提供個(gè)人信息的比例達(dá)到調(diào)查樣本的60.6%,各App廠商掌握的網(wǎng)頁瀏覽記錄、閱讀痕跡、支付記錄等碎片信息通過大數(shù)據(jù)分析整合,在精準(zhǔn)地尋找用戶、提供服務(wù)的同時(shí),也為不法分子實(shí)施違法行為提供了便利。
二、手機(jī)App個(gè)人信息泄露的原因
(一)個(gè)人隱私保護(hù)意識淡薄
著名的新經(jīng)濟(jì)行業(yè)數(shù)據(jù)挖掘和分析機(jī)構(gòu)艾媒咨詢(iiMediaResearch)發(fā)布的《2018年中國手機(jī)App隱私權(quán)限測評報(bào)告》稱,63.3%的受訪者表示在安裝手機(jī)App時(shí)沒有仔細(xì)閱讀隱私條款,24.3%的受訪者從來不閱讀隱私條款。這反映了大部分手機(jī)用戶都或多或少存在個(gè)人隱私保護(hù)意識淡薄的問題,有的用戶受限于網(wǎng)絡(luò)技術(shù)知識欠缺和App隱私條款文字篇幅長等原因,或者明知道可能會有泄露個(gè)人信息的危險(xiǎn)還抱有僥幸心理,甚至認(rèn)為是小問題無所謂,嘗到隱私泄露惡果的時(shí)候主動維權(quán)意識不強(qiáng),多數(shù)人選擇自認(rèn)倒霉,客觀上縱容了手機(jī)App信息泄露的愈演愈烈,形成惡性循環(huán)。
(二)廠商缺乏自律和責(zé)任感
據(jù)中國消費(fèi)者協(xié)會調(diào)查結(jié)果,有的App中未發(fā)現(xiàn)對涉及個(gè)人信息的告知說明;有的App在完成用戶信息采集之后才出現(xiàn)《用戶協(xié)議》;有的App存在告知聲明中對個(gè)人信息的描述不準(zhǔn)確、不清晰的現(xiàn)象,大部分關(guān)于個(gè)人信息保護(hù)的說明不容易被發(fā)現(xiàn),用戶經(jīng)常需要經(jīng)過兩次及以上的點(diǎn)擊次數(shù)才能找到相關(guān)內(nèi)容;有的App則強(qiáng)制用戶同意相關(guān)隱私條款,否則無法正常使用,反映了手機(jī)App廠商缺乏自律,企圖“蒙混過關(guān)”,有目的性地收集用戶個(gè)人信息,沒有做到真正意義上的公開透明,對于網(wǎng)絡(luò)空間公民隱私的保護(hù)缺乏責(zé)任感。
(三)法律層面約束不足
目前,我國在關(guān)于手機(jī)App個(gè)人信息保護(hù)方面的法律法規(guī)主要有《網(wǎng)絡(luò)安全法》《電子商務(wù)法》等,但仍存在很多亟待完善之處,例如對“個(gè)人信息”的界定標(biāo)準(zhǔn)不明確、手機(jī)App收集用戶信息“正當(dāng)、合法、必要”3個(gè)原則的界定存在爭議,發(fā)生信息泄露后的舉證難、處罰力度不足等,無法在法律高度形成強(qiáng)約束力、牢牢牽住個(gè)人信息安全保護(hù)的“牛鼻子”,那么就很難規(guī)范這一領(lǐng)域的正常秩序。
三、防范對策
隨著“互聯(lián)網(wǎng)+”行動的進(jìn)一步深入,未來智能手機(jī)的應(yīng)用將在我們的生活中無處不在,其安全問題更加不能小視。我們需要從多方面多管齊下,盡力避免手機(jī)App泄露個(gè)人隱私信息事件的發(fā)生。
(一)個(gè)人層面
在選擇使用手機(jī)App時(shí)要做到“一個(gè)提高”和“四個(gè)注意”:“一個(gè)提高”是要提高個(gè)人隱私保護(hù)意識,移動互聯(lián)網(wǎng)時(shí)代智能手機(jī)和App產(chǎn)品日新月異,不法分子竊取隱私信息的手段也是“水漲船高”,高度重視個(gè)人隱私信息的無形價(jià)值,從主觀上提高隱私保護(hù)意識,分享、使用個(gè)人隱私信息時(shí)保持警惕,是在復(fù)雜多變的虛擬世界中構(gòu)筑的第一道安全防線。“四個(gè)注意”具體來說,一是要注意選用安全合規(guī)的App產(chǎn)品和服務(wù),并選擇正規(guī)渠道進(jìn)行下載安裝,謹(jǐn)慎點(diǎn)擊來源不明的App下載鏈接,從源頭上杜絕木馬病毒,并安裝手機(jī)殺毒App,定期對手機(jī)進(jìn)行安全檢測;二是要注意認(rèn)真閱讀App的應(yīng)用權(quán)限和用戶協(xié)議或隱私政策說明,了解操作注意事項(xiàng);三是要注意培育良好使用習(xí)慣,不隨意開放和同意不必要的隱私權(quán)限,不隨意輸入個(gè)人隱私信息,定期維護(hù)和清理相關(guān)數(shù)據(jù);四是要注意認(rèn)真應(yīng)對個(gè)人隱私信息被泄露的問題,發(fā)現(xiàn)個(gè)人信息被泄露問題時(shí),要通過有效手段及時(shí)主動維權(quán),必要時(shí)向有關(guān)部門反映,用法律武器維護(hù)自己的權(quán)利和利益。
(二)廠商層面
首先,手機(jī)App廠商必須樹立用戶維權(quán)第一責(zé)任人的意識,堅(jiān)守安全底線,強(qiáng)化對用戶個(gè)人信息的保護(hù)責(zé)任;其次,應(yīng)當(dāng)通過合理合法的方式獲知用戶數(shù)據(jù),并采取有效措施,確保用戶個(gè)人信息和數(shù)據(jù)安全,用服務(wù)質(zhì)量和安全保障贏取用戶的選擇和信任;再次,提供相關(guān)服務(wù)和履行告知義務(wù)時(shí),應(yīng)該通過簡潔醒目、通俗易懂的方式,避免消費(fèi)者的誤解和誤讀;最后,企業(yè)應(yīng)當(dāng)充分聽取和尊重用戶的合理訴求和意見并及時(shí)反饋處理,提升用戶滿意度和信賴感。
(三)法律層面
當(dāng)前,移動互聯(lián)網(wǎng)黑色利益鏈錯(cuò)綜復(fù)雜,形成了以開發(fā)、傳播、運(yùn)營到最后利益整合分配的流水作業(yè)模式,甚至完成了從作坊式個(gè)人生產(chǎn)到集團(tuán)化運(yùn)作的規(guī)模性轉(zhuǎn)變。2019年兩會期間,部分政協(xié)委員和人大代表再度聚焦個(gè)人隱私保護(hù),重申泄露隱私事件的頻發(fā)根本原因在于立法滯后、監(jiān)管力度不夠、司法保護(hù)薄弱等,呼吁加快個(gè)人信息保護(hù)法以及其他相關(guān)法律的立法進(jìn)程。要在法律層面保障發(fā)生泄露隱私信息事件時(shí),讓民眾投訴有門,提高網(wǎng)絡(luò)取證技術(shù)能力,加大對網(wǎng)絡(luò)犯罪的打擊力度,營造一個(gè)安全綠色的網(wǎng)絡(luò)應(yīng)用環(huán)境,切實(shí)保障民眾的合法權(quán)益。
(原載于《保密科學(xué)技術(shù)》雜志2019年8月刊)