手機(jī)App個(gè)人信息安全風(fēng)險(xiǎn)與防范

近年來(lái)，隨著手機(jī)的智能化和通信技術(shù)的快速發(fā)展，我們正逐步邁向以智能手機(jī)為標(biāo)志的移動(dòng)互聯(lián)網(wǎng)時(shí)代，從社交娛樂(lè)到移動(dòng)支付，手機(jī)已經(jīng)滲透到我們生活和工作中的方方面面。然而，在享受移動(dòng)互聯(lián)網(wǎng)時(shí)代帶來(lái)的各種便利的同時(shí)，不得不面對(duì)隨之而來(lái)的個(gè)人信息安全問(wèn)題，2018年9月，中國(guó)消費(fèi)者協(xié)會(huì)發(fā)布了《App個(gè)人信息泄露情況調(diào)查報(bào)告》，85.2%的受訪者遭遇過(guò)信息泄露情況，當(dāng)用戶個(gè)人信息泄露后，約86.5%的受訪者曾收到推銷電話或短信的騷擾，約75.0%的受訪者接到詐騙電話，約63.4%的受訪者收到垃圾郵件。可見，手機(jī)App個(gè)人信息安全問(wèn)題不容小覷。

2019年3月15日，央視“3·15”晚會(huì)揭露了一款名為“社保掌上通”的熱門個(gè)人社保查詢App泄露用戶個(gè)人信息的問(wèn)題。主持人在現(xiàn)場(chǎng)演示查詢信息時(shí)，網(wǎng)絡(luò)安全專家通過(guò)抓取分析數(shù)據(jù)包發(fā)現(xiàn)，用戶的信息已被發(fā)送至一家大數(shù)據(jù)公司的服務(wù)器。在此過(guò)程中，用戶會(huì)被默認(rèn)同意一份授權(quán)協(xié)議，包括不可撤銷地授權(quán)使用用戶社保賬戶密碼、采集用戶個(gè)人信息等諸多條款。

隨著互聯(lián)網(wǎng)業(yè)務(wù)向移動(dòng)終端大面積轉(zhuǎn)移，加上移動(dòng)終端用戶黏性大、實(shí)時(shí)在線率高等特點(diǎn)，各類安全威脅也紛紛向移動(dòng)終端轉(zhuǎn)移，上述“社保掌上通”App泄露用戶信息的情況也只是當(dāng)下手機(jī)App信息安全領(lǐng)域的冰山一角。

一、手機(jī)App泄露個(gè)人信息的途徑

（一）越界獲取隱私權(quán)限

根據(jù)《公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》，手機(jī)App在使用個(gè)人信息時(shí)需要對(duì)個(gè)人信息主體盡到告知、說(shuō)明和警示的義務(wù)，以及如實(shí)向個(gè)人信息主體告知個(gè)人信息的收集和使用范圍、個(gè)人信息的保護(hù)措施等。處理個(gè)人信息時(shí)要遵循“最小夠用”原則，要征得個(gè)人信息主體同意等原則。然而，據(jù)有關(guān)研究機(jī)構(gòu)發(fā)布的《App個(gè)人隱私研究報(bào)告》，超功能范圍申請(qǐng)、收集、上傳用戶信息仍是目前手機(jī)App普遍存在的現(xiàn)象。

（1）手機(jī)聯(lián)系人權(quán)限。數(shù)據(jù)顯示，2018年中國(guó)各類手機(jī)App調(diào)用讀取聯(lián)系人權(quán)限已成隱私侵犯重災(zāi)區(qū)，社交、視頻、網(wǎng)購(gòu)等六類App讀取聯(lián)系人權(quán)限占比超過(guò)50%，最高的達(dá)到86.7%。究其原因，與手機(jī)App廠商推動(dòng)平臺(tái)社交路徑傳播、打造熟人社區(qū)的營(yíng)銷策略息息相關(guān)。

（2）讀取短信權(quán)限。App讀取短信權(quán)限常用于自動(dòng)提取用戶短信驗(yàn)證碼，有助于用戶提高App短信驗(yàn)證操作的效率。但在針對(duì)用戶其余個(gè)人短信的讀取上，App的讀取權(quán)限并未受到有效監(jiān)督或限制，部分不法App或可通過(guò)該權(quán)限調(diào)用，實(shí)現(xiàn)對(duì)用戶短信信息的竊取。數(shù)據(jù)顯示，移動(dòng)資訊閱讀、社交、理財(cái)、旅游四類App調(diào)用權(quán)限占比不低于30.0%，嚴(yán)重威脅用戶隱私信息安全。

（3）獲取定位信息。根據(jù)手機(jī)App功能，地圖類、旅游類、網(wǎng)購(gòu)類、社交類App具備定位功能，獲取用戶位置信息有利于提供更準(zhǔn)確的服務(wù)，屬于合理訴求。但是調(diào)查顯示，部分移動(dòng)視頻、音頻、資訊閱讀、工具類手機(jī)App仍存在調(diào)取、濫用定位信息情況。

（二）植入木馬病毒

智能手機(jī)主要操作系統(tǒng)包括Android和iOS。iOS系統(tǒng)相對(duì)安全，Android系統(tǒng)則更為開放，除官方應(yīng)用商城外，部分App開發(fā)商會(huì)通過(guò)彈窗、廣告等形式，為用戶推送含有木馬病毒的App下載鏈接，用戶點(diǎn)擊下載并安裝后，木馬病毒就會(huì)自動(dòng)掃描手機(jī)中通信、短信、賬號(hào)密碼等個(gè)人隱私信息，并將相關(guān)數(shù)據(jù)回傳服務(wù)器[4]，造成用戶信息泄露。2019年3月，360公司發(fā)布的《2018年中國(guó)手機(jī)安全狀況報(bào)告》顯示，2018年全年共截獲移動(dòng)端新增惡意程序樣本434.2萬(wàn)個(gè)，平均每天新增1.2萬(wàn)個(gè)，其中隱私竊取類占比33.7%，嚴(yán)重威脅用戶個(gè)人信息安全。

（三）售賣用戶隱私

除上述兩個(gè)手機(jī)App信息泄露途徑之外，還有App廠商相互分享、買賣用戶數(shù)據(jù)等途徑，很多用戶都有這樣的體驗(yàn)，剛剛在某App中瀏覽某類商品，很快就會(huì)在其他平臺(tái)中收到同類商品的推廣信息。事實(shí)上，售賣用戶隱私信息已形成灰色產(chǎn)業(yè)鏈，《App個(gè)人信息泄露情況調(diào)查報(bào)告》結(jié)果顯示，經(jīng)營(yíng)者或不法分子故意泄露、出售或者非法向他人提供個(gè)人信息的比例達(dá)到調(diào)查樣本的60.6%，各App廠商掌握的網(wǎng)頁(yè)瀏覽記錄、閱讀痕跡、支付記錄等碎片信息通過(guò)大數(shù)據(jù)分析整合，在精準(zhǔn)地尋找用戶、提供服務(wù)的同時(shí)，也為不法分子實(shí)施違法行為提供了便利。

二、手機(jī)App個(gè)人信息泄露的原因

（一）個(gè)人隱私保護(hù)意識(shí)淡薄

著名的新經(jīng)濟(jì)行業(yè)數(shù)據(jù)挖掘和分析機(jī)構(gòu)艾媒咨詢（iiMediaResearch）發(fā)布的《2018年中國(guó)手機(jī)App隱私權(quán)限測(cè)評(píng)報(bào)告》稱，63.3%的受訪者表示在安裝手機(jī)App時(shí)沒有仔細(xì)閱讀隱私條款，24.3%的受訪者從來(lái)不閱讀隱私條款。這反映了大部分手機(jī)用戶都或多或少存在個(gè)人隱私保護(hù)意識(shí)淡薄的問(wèn)題，有的用戶受限于網(wǎng)絡(luò)技術(shù)知識(shí)欠缺和App隱私條款文字篇幅長(zhǎng)等原因，或者明知道可能會(huì)有泄露個(gè)人信息的危險(xiǎn)還抱有僥幸心理，甚至認(rèn)為是小問(wèn)題無(wú)所謂，嘗到隱私泄露惡果的時(shí)候主動(dòng)維權(quán)意識(shí)不強(qiáng)，多數(shù)人選擇自認(rèn)倒霉，客觀上縱容了手機(jī)App信息泄露的愈演愈烈，形成惡性循環(huán)。

（二）廠商缺乏自律和責(zé)任感

據(jù)中國(guó)消費(fèi)者協(xié)會(huì)調(diào)查結(jié)果，有的App中未發(fā)現(xiàn)對(duì)涉及個(gè)人信息的告知說(shuō)明；有的App在完成用戶信息采集之后才出現(xiàn)《用戶協(xié)議》；有的App存在告知聲明中對(duì)個(gè)人信息的描述不準(zhǔn)確、不清晰的現(xiàn)象，大部分關(guān)于個(gè)人信息保護(hù)的說(shuō)明不容易被發(fā)現(xiàn)，用戶經(jīng)常需要經(jīng)過(guò)兩次及以上的點(diǎn)擊次數(shù)才能找到相關(guān)內(nèi)容；有的App則強(qiáng)制用戶同意相關(guān)隱私條款，否則無(wú)法正常使用，反映了手機(jī)App廠商缺乏自律，企圖“蒙混過(guò)關(guān)”，有目的性地收集用戶個(gè)人信息，沒有做到真正意義上的公開透明，對(duì)于網(wǎng)絡(luò)空間公民隱私的保護(hù)缺乏責(zé)任感。

（三）法律層面約束不足

目前，我國(guó)在關(guān)于手機(jī)App個(gè)人信息保護(hù)方面的法律法規(guī)主要有《網(wǎng)絡(luò)安全法》《電子商務(wù)法》等，但仍存在很多亟待完善之處，例如對(duì)“個(gè)人信息”的界定標(biāo)準(zhǔn)不明確、手機(jī)App收集用戶信息“正當(dāng)、合法、必要”3個(gè)原則的界定存在爭(zhēng)議，發(fā)生信息泄露后的舉證難、處罰力度不足等，無(wú)法在法律高度形成強(qiáng)約束力、牢牢牽住個(gè)人信息安全保護(hù)的“牛鼻子”，那么就很難規(guī)范這一領(lǐng)域的正常秩序。

三、防范對(duì)策

隨著“互聯(lián)網(wǎng)+”行動(dòng)的進(jìn)一步深入，未來(lái)智能手機(jī)的應(yīng)用將在我們的生活中無(wú)處不在，其安全問(wèn)題更加不能小視。我們需要從多方面多管齊下，盡力避免手機(jī)App泄露個(gè)人隱私信息事件的發(fā)生。

（一）個(gè)人層面

在選擇使用手機(jī)App時(shí)要做到“一個(gè)提高”和“四個(gè)注意”：“一個(gè)提高”是要提高個(gè)人隱私保護(hù)意識(shí)，移動(dòng)互聯(lián)網(wǎng)時(shí)代智能手機(jī)和App產(chǎn)品日新月異，不法分子竊取隱私信息的手段也是“水漲船高”，高度重視個(gè)人隱私信息的無(wú)形價(jià)值，從主觀上提高隱私保護(hù)意識(shí)，分享、使用個(gè)人隱私信息時(shí)保持警惕，是在復(fù)雜多變的虛擬世界中構(gòu)筑的第一道安全防線�！八膫�(gè)注意”具體來(lái)說(shuō)，一是要注意選用安全合規(guī)的App產(chǎn)品和服務(wù)，并選擇正規(guī)渠道進(jìn)行下載安裝，謹(jǐn)慎點(diǎn)擊來(lái)源不明的App下載鏈接，從源頭上杜絕木馬病毒，并安裝手機(jī)殺毒App，定期對(duì)手機(jī)進(jìn)行安全檢測(cè)；二是要注意認(rèn)真閱讀App的應(yīng)用權(quán)限和用戶協(xié)議或隱私政策說(shuō)明，了解操作注意事項(xiàng)；三是要注意培育良好使用習(xí)慣，不隨意開放和同意不必要的隱私權(quán)限，不隨意輸入個(gè)人隱私信息，定期維護(hù)和清理相關(guān)數(shù)據(jù)；四是要注意認(rèn)真應(yīng)對(duì)個(gè)人隱私信息被泄露的問(wèn)題，發(fā)現(xiàn)個(gè)人信息被泄露問(wèn)題時(shí)，要通過(guò)有效手段及時(shí)主動(dòng)維權(quán)，必要時(shí)向有關(guān)部門反映，用法律武器維護(hù)自己的權(quán)利和利益。

（二）廠商層面

首先，手機(jī)App廠商必須樹立用戶維權(quán)第一責(zé)任人的意識(shí)，堅(jiān)守安全底線，強(qiáng)化對(duì)用戶個(gè)人信息的保護(hù)責(zé)任；其次，應(yīng)當(dāng)通過(guò)合理合法的方式獲知用戶數(shù)據(jù)，并采取有效措施，確保用戶個(gè)人信息和數(shù)據(jù)安全，用服務(wù)質(zhì)量和安全保障贏取用戶的選擇和信任；再次，提供相關(guān)服務(wù)和履行告知義務(wù)時(shí)，應(yīng)該通過(guò)簡(jiǎn)潔醒目、通俗易懂的方式，避免消費(fèi)者的誤解和誤讀；最后，企業(yè)應(yīng)當(dāng)充分聽取和尊重用戶的合理訴求和意見并及時(shí)反饋處理，提升用戶滿意度和信賴感。

（三）法律層面

當(dāng)前，移動(dòng)互聯(lián)網(wǎng)黑色利益鏈錯(cuò)綜復(fù)雜，形成了以開發(fā)、傳播、運(yùn)營(yíng)到最后利益整合分配的流水作業(yè)模式，甚至完成了從作坊式個(gè)人生產(chǎn)到集團(tuán)化運(yùn)作的規(guī)模性轉(zhuǎn)變。2019年兩會(huì)期間，部分政協(xié)委員和人大代表再度聚焦個(gè)人隱私保護(hù)，重申泄露隱私事件的頻發(fā)根本原因在于立法滯后、監(jiān)管力度不夠、司法保護(hù)薄弱等，呼吁加快個(gè)人信息保護(hù)法以及其他相關(guān)法律的立法進(jìn)程。要在法律層面保障發(fā)生泄露隱私信息事件時(shí)，讓民眾投訴有門，提高網(wǎng)絡(luò)取證技術(shù)能力，加大對(duì)網(wǎng)絡(luò)犯罪的打擊力度，營(yíng)造一個(gè)安全綠色的網(wǎng)絡(luò)應(yīng)用環(huán)境，切實(shí)保障民眾的合法權(quán)益。

 

（原載于《保密科學(xué)技術(shù)》雜志2019年8月刊）