關于加強手機應用軟件用戶個人信息保護工作的幾點建議

于潤東 中國信息通信研究院技術與標準研究所助理工程師

常　城 中國信息通信研究院技術與標準研究所助理工程師

關于加強手機應用軟件用戶個人信息保護工作的幾點建議

于潤東 中國信息通信研究院技術與標準研究所助理工程師

常城 中國信息通信研究院技術與標準研究所助理工程師

對手機應用軟件用戶個人信息保護檢測工作的基本情況，以及用戶個人信息保護重點問題進行了介紹和分析；在此基礎上，提出了我國推進手機應用軟件用戶個人信息保護工作的指導性建議，為我國進一步加強用戶個人信息及相關權益保護提供借鑒和幫助。

手機應用軟件 用戶個人信息保護 建議

1　引言

以云計算、大數據、物聯網代表的技術創新正掀起信息產業新的發展浪潮，新型移動智能終端、OTO等互聯網服務發展迅猛，移動互聯網已慢慢改變了人們的生活習慣和行為模式。用戶個人信息作為信息服務與用戶連接的載體，為信息領域新產品、新服務發展提供了重要支撐。正因為用戶個人信息具備的高價值屬性，用戶個人信息未經授權即過度采集和濫用的問題愈發嚴重，用戶個人信息泄露事件頻繁發生，用戶個人權益受到了嚴重威脅。

一般情況下，通過手機泄露用戶個人信息的途徑有3種：

（1）手機預裝操作系統存在安全漏洞或被植入惡意程序。

（2）用戶在使用通信網絡提供的基礎及增值服務過程中短信等服務內容被攔截、盜用。

（3）智能手機內容應用通過權限調用等手段獲取用戶個人信息。伴隨我國智能手機產業的飛速發展，智能手機在手機市場的占有率將進一步提高。可以預測，通過智能手機應用獲取用戶個人信息的行為將更加多樣，海量移動終端和應用對用戶個人信息的收集和使用將無處不在。

工業和信息化部先后出臺《規范互聯網信息服務市場秩序若干規定》和《電信和互聯網用戶個人信息保護規定》，對我國電信服務和互聯網信息服務過程中收集、使用用戶個人信息的活動提出了明確要求。然而面對智能終端快速發展的形勢，以及具體細則及條例指引缺乏的現狀，惡意手機應用竊取用戶個人信息的事件仍頻有發生。面對嚴峻的用戶個人信息保護形勢，手機應用市場亟需樹立行業規范，相關部門亟需加強技術檢測手段建立和監管機制完善，進而營造良好的用戶個人信息保護氛圍，維護用戶的合法權益。

本文將對智能手機市場熱門手機應用軟件的用戶個人信息保護檢測結果進行分析，總結手機應用軟件的用戶個人信息保護重點問題，提出用戶個人信息保護的指導性建議，為我國進一步加強用戶個人信息及相關權益保護提供借鑒和幫助。

2　手機應用軟件用戶個人信息保護

2.1手機應用軟件基本情況

現有熱門手機應用軟件主要分為工具類、游戲類、社交類、影音類、主題類、閱讀類等。其中，工具類包括地圖及導航服務、點評推薦等應用軟件；游戲類包括網絡手游及單機手游等應用軟件；社交類包括即時通信及微博等社交應用軟件；影音類包括視頻內容、音樂內容等應用軟件；以及其他類包括閱讀，主題等手機應用軟件。

手機應用軟件目前主要運行在三大操作系統，分別是谷歌Android、蘋果iOS、微軟WindowsPhone操作系統。其中，Android操作系統占比最大，Android是一個開放源碼的手機操作系統，運行在其上的手機應用商店數量眾多，各個應用商店對其上架手機應用軟件的審核機制不盡相同，對手機應用軟件的安全檢查水平參差不齊。從目前國內用戶對手機應用軟件不合理采集、使用用戶個人信息的投訴情況以及大量手機應用軟件市場分析報告看，問題應用較多集中在Android應用市場。

2.2手機應用軟件用戶個人信息監測基本情況

自2013年下半年起，受工業和信息化部信息通信管理局委托，中國信息通信研究院技術與標準研究所“用戶個人信息保護實驗室”對Android手機應用軟件用戶個人信息保護情況進行定期跟蹤監測，監測統計結果顯示，目前手機應用軟件存在大量采集用戶個人信息的行為。

為了分析Android系統手機應用軟件采集用戶個人信息的行為，“用戶個人信息保護實驗室”每個月隨機對40家移動應用商店的4萬款手機應用軟件進行抽樣檢測。主要對4類行為進行檢測，以某個月份的檢測為例，結果如下：

（1）讀取用戶設備信息情況

檢測的用戶設備信息包括手機IMEI、IMSI、手機號碼及位置信息。結果顯示，各類型手機應用軟件讀取用戶設備信息行為占比約80%左右（見圖1）。

（2）讀取用戶聯系人和通信信息

檢測的用戶聯系人和通信信息包括用戶通訊錄、通話記錄、短信記錄等信息。結果顯示，各類型手機應用軟件讀取用戶聯系人和通信信息行為占比約5%左右（見圖2）。

圖1　各類型手機應用軟件讀取用戶碼號及位置信息統計情況

圖2　各類型手機應用軟件讀取用戶聯系人和通信信息統計情況

（3）讀取用戶系統信息

檢測的用戶系統信息包括用戶手機應用安裝列表、音視頻列表、手機系統日志等信息。結果顯示，各類型手機應用軟件讀取用戶系統信息行為占比約50%左右（見圖3）。

（4）手機應用軟件植入廣告或權限存疑

各類型手機應用軟件植入廣告或權限存疑（內嵌廣告、申請權限存疑）行為占比約95%左右（見圖4）。

圖3　各類型手機應用軟件讀取用戶系統信息統計情況

圖4　各類型手機應用軟件存在植入廣告或權限存疑行為統計情況

2.3手機應用軟件用戶個人信息保護重點問題

結合監測統計結果以及對部分應用的針對性檢測結果，分析發現手機應用軟件存在的用戶個人信息保護重點問題如下：

（1）權限調用不全為服務所必需

工具類、社交類應用軟件可以作為服務必要獲取用戶位置信息，然而監測發現大量閱讀類、主題類、影音類應用軟件在沒有提供位置服務的情況下獲取用戶位置信息，部分應用存在調用提供服務不需要的相關權限行為。

（2）部分應用調取手機權限未經用戶允許

監測發現部分應用在調用手機通訊錄、位置信息等權限時未明確提示用戶，部分應用存在用戶不知情情況下獲取用戶個人信息現象。

（3）部分應用私自將用戶通訊錄及位置信息發送到遠端服務器

監測發現部分應用獲取用戶通訊錄及位置信息后，未經用戶允許即將用戶個人信息傳送至遠端服務器。

以上3類重點問題顯示，基于手機應用軟件的用戶個人信息采集和使用現象非常突出，已成為當前用戶個人信息保護工作的重災區。如果放任手機應用軟件對用戶個人信息繼續不合理采集與使用，將對電信與互聯網服務行業產生很大程度的負面影響。

3　建立手機應用軟件健康環境建議

3.1推動行業自律

縱觀手機應用軟件市場，用戶個人信息違規采集和使用的事件仍頻頻發生，這與手機應用市場上大部分應用商店松散的應用上架管理機制不無關系，手機應用市場還未形成良好的個人信息保護環境。各大手機應用商店如果能夠加強對開發者的審查管理以及建立完善的應用上架前審核機制，將對手機應用軟件市場綠色化、規范化提供極大地幫助。建議手機應用市場的各家應用商店對應用上架前進行嚴格的檢測，進而促進良好的行業發展環境，營造一個企業和用戶的雙贏局面。

在用戶個人信息保護上，美國一直積極探索行業自律之路，形成了建議性的行業指引（Suggestive IndustryGuidelines，一般是行業組織、公司或產業實體制定該行業的行為指引或隱私標準為行業內的隱私保護提供示范）以及網絡隱私認證計劃（Online Privacy Program，是一種私人行業實體致力于實現網絡隱私保護的自律形式），對個人信息進行了有效保護，同時促進了信息流通。我國在用戶個人信息保護上還未形成良好的行業自律環境。建議以手機應用軟件市場為試點，加強手機應用軟件產業規范行為指引，推進建立電信和互聯網行業用戶個人信息保護聯盟，對手機應用軟件進行標準一致性認證，推動行業聯動營造良好的手機應用軟件產業健康發展環境。

3.2加強政府監管

檢測經驗標明，違規問題的發現與取證仍然是手機應用市場用戶個人信息保護工作的難點，權威的檢測結果及準確的違規行為研判是保證問題有效處理的關鍵。建議我國加強手機應用市場用戶個人信息保護技術檢測能力和違規取證能力建設，推動行業權威第三方檢測平臺建設，一方面為政府監管提供技術手段支持，另一方面為用戶維權提供權威檢測。

用戶個人信息保護現有監管條令并未細化到手機應用軟件市場，建議政府相關部門盡快出臺更加細化且可操作性強的規章制度和標準，為手機軟件市場用戶個人信息侵權判定提供依據，為企業自律提出明確的指導性文件。建議逐步加強監管手段建設，形成完善的用戶個人信息保護檢查及管理制度，分階段對手機應用市場進行大規模檢查，對發現的違規行為加大處罰力度，促進手機應用市場健康發展，進而帶動整個電信互聯網行業綠色發展，切實加強用戶個人信息保護、維護用戶合法權益。

Suggestions for Personal Information Protection of MobileApps

In this paper，weintroduce our test effort on personal information protection of mobile apps， and summarize the key problems of current personal information protection work. Basing on this， we propose the suggestions for personal in formation protection of molibe apps in China， so as to provide

and help for other personal information protection work.

mobileapps，personalinformationprotection，suggestions

2015-09-20）