手機APP個人信息安全現狀分析

陳銀平 劉艷

[摘 要]隨著移動互聯網的發展和智能終端的不斷普及，手機APP得到廣泛應用。但因行業發展不規范以及監管力度不夠等原因，手機APP個人信息泄露事件頻發。本文基于30款手機APP個人信息安全的檢測結果，分析了個人信息泄露的原因，并從法律層面、政府層面、企業層面、個人層面等幾個方面提出了解決個人信息泄露問題的建議。

[關鍵詞]手機;APP;信息安全;個人信息;信息泄露

doi：10.3969/j.issn.1673 - 0194.2020.18.089

[中圖分類號]TP309[文獻標識碼]A[文章編號]1673-0194（2020）18-0-02

0? ? ?引 言

根據國家網信辦發布的《移動互聯網應用程序信息服務管理規定》，移動互聯網應用程序（簡稱APP）指通過預裝、下載等方式獲取并運行在移動智能終端上、向用戶提供信息服務的應用軟件。隨著移動互聯網的快速發展和智能終端的不斷普及，手機APP得到廣泛應用。據工信部統計數據顯示，截至2018年底，我國市場上有449萬款APP，手機APP包括影音視聽、實用工具、聊天社交、圖書閱讀、時尚購物、攝影攝像、學習教育、旅行交通、金融理財、娛樂消遣、新聞資訊、居家生活、體育運動、醫療健康和效率辦公等類別，涵蓋了人們生活和工作的方方面面。隨著對手機APP的需求增多，APP的開發上線量驟增，但因行業發展不規范以及監管力度不夠等原因，手機APP產品質量參差不齊，惡意收費、竊聽、竊錄、位置信息泄露等安全事件頻發。2018年9月，中國消費者協會發布了《APP個人信息泄露情況調查報告》，結果表明85.2%的被調查人員經歷過個人信息泄露事件。2018年11月，中國消費者協會又發布了《100款APP個人信息收集與隱私政策測評報告》，測評報告指出91款APP過度收集用戶個人信息，59款APP過度收集位置信息。由此可見，手機APP個人信息安全問題不容忽視。

1? ? ?手機APP個人信息安全調查

2019年9月，筆者所在單位對來自小米應用商店、華為應用商店和OPPO應用商店的30款手機APP安全性進行測試，其中，新聞資訊類手機APP產品15款，時尚購物類手機APP產品15款。測試項目包括安裝與卸載、啟動與退出、更新、收集用戶數據、修改用戶數據、流量耗費、費用損失、信息泄露及廣告行為。測試結果顯示：安裝與卸載中的卸載不徹底3批次（10%）;收集用戶數據13批次（43%）;修改用戶數據6批次（20%）;流量耗費15批次（50%）;費用損失7批次（23%）;信息泄露7批次（23%）;廣告行為中的存在通知欄廣告13批次（43%），存在積分墻4批次（13%），具體數據如圖1所示。

本文中安裝與卸載指在下載和安裝應用軟件過程中捆綁下載其他應用軟件;安裝用戶未知和未允許的第三方應用軟件;用戶無法隨時卸載應用軟件;卸載不徹底，在系統中留下應用軟件的臨時文件和活動程序或模塊等問題。啟動與退出指啟動時自動連接某網站或鏈接，退出時未停止運行所有屬于該軟件的進程等問題。更新指在有更新版本時，未經用戶允許自動更新。收集用戶數據指在用戶未確認的情況下開啟通話錄音、本地錄音、拍照、攝像和定位等。修改用戶數據指在用戶無確認的情況下刪除或修改用戶電話本數據、通話記錄、短信數據等。流量耗費指在用戶無確認的情況下通過移動通信網絡數據連接、WLAN網絡連接和無線外圍接口傳送數據等。費用損失指在用戶無確認的情況下撥打電話、發送短信、發送彩信和開啟移動通信網絡連接并收發數據等。信息泄露指在用戶無確認的情況下讀取并傳送用戶電話本數據、通話記錄、短信數據、彩信數據、通話錄音、本地錄音、圖片、視頻、音頻和定位信息等。廣告行為指存在通知欄廣告，未經用戶許可創建桌面快捷方式、書簽、圖標或修改默認設置等方式進行廣告展示。

1.1? ?在收集用戶數據檢測項中

13款APP存在未向用戶明示并經用戶同意，擅自收集用戶數據行為的風險，其中，11款APP為新聞資訊類APP，占比84.6%。自2017年7月1日實施《移動智能終端應用軟件預置和分發管理暫行規定》以來，越來越多的手機應用APP開發企業開始通過用戶提示、隱私協議簽訂等方式明示提供APP的信息，主要包括APP的名稱、功能描述、開發者信息、軟件安裝及運行所需權限等，并明確告知用戶APP收集、使用用戶個人信息的內容、目的、方式和范圍等。但由于缺乏監管力度，仍存在擅自泄露手機用戶數據行為的問題，這類問題會給一些流氓軟件可乘之機，獲取用戶手機里的資料，或者榨取更隱私的信息，比如銀行賬戶等。尤其對于擅自獲取的位置信息，不法分子能夠根據手機定位信息分析個人行跡，對活動地點自動分析、歸類，從而實施詐騙行為，給用戶造成人身或財產傷害。

1.2? ?在修改用戶數據檢測項中

6款APP存在未向用戶明示并經用戶同意，擅自修改用戶數據行為的風險，這6款APP均為時尚購物類APP。時尚購物類APP通常需獲取用戶的通訊錄、個人身份信息、個人財產信息、個人上網記錄、個人位置信息等敏感信息，一旦獲取后未向用戶明示并經用戶同意，擅自修改用戶數據，將給用戶造成人身或財產傷害。

1.3? ?在信息泄露檢測項中

7款APP存在未向用戶明示并經用戶同意，擅自調用終端通信功能，造成用戶信息泄露行為的風險，其中，3款APP為新聞資訊類APP，4款APP為時尚購物類APP。目前，手機具有通訊錄、短信、照片等數據備份功能，容易使不法分子獲取個人身份信息、財產信息、上網記錄、位置等敏感信息，導致用戶莫名接收垃圾短信、騷擾電話，甚至出現財產損失。

2? ? ?手機APP個人信息泄露原因

2.1? ?個人安全意識及主動維權意識淡薄

中國消費者協會發布的《APP個人信息泄露情況調查報告》顯示，能夠認真閱讀完應用權限和用戶協議或隱私政策說明的受訪者僅占19.7%，而26.2%的受訪者從不閱讀應用權限和用戶協議或隱私政策。從調查數據可知，大部分手機用戶保護個人信息安全意識淡薄，或由于網絡技術知識欠缺和文字表述篇幅小等原因，或因為不授權就無法使用，或出于對APP運營商的信任，或認為用戶協議內容都大同小異，導致一些消費者大致瀏覽或僅閱讀重點章節，隱私政策文字說明甚至根本不閱讀，這樣容易遺漏重點信息或關鍵描述。在個人信息泄露后，消費者雖然會采取各種措施手段維護自身權益，但是選擇消極應對和不采取任何措施的不在少數，消費者主動維權意識需要加強。

2.2? ?APP開發商缺乏自律和責任感

GB/T 35273《信息安全技術個人信息安全規范》中對APP隱私政策有明確規范，主要包括個人信息收集原則、收集個人敏感信息時明示同意、個人信息的保存及使用以及對外共享、轉讓、公開披露有關情況。雖然標準有規定，但事實上很多APP產品存在隱私政策不規范問題。中國消費者協會的調查結果顯示，有的APP隱私條款不清，有的不主動向用戶展示隱私條款或者展示內容晦澀難懂，有的不提供訪問、更正、刪除個人信息的途徑，有的未遵循最小化收集個人信息規定，有的未明確告知用戶個人信息的使用方式，有的存在默認同意或不提示閱讀，還有一些存在“自行承擔風險”等霸王條款，甚至有的APP根本沒有隱私條款。這些現象反映出APP廠商缺乏自律，未嚴格遵守標準規定的有目的性地收集用戶個人信息，對用戶隱私的保護缺乏責任感。

2.3? ?法律法規約束不足

現階段，手機APP個人信息保護方面的法律法規主要有《網絡安全法》和《電子商務法》，但還存在一些需要完善的地方，例如：《網絡安全法》規定“收集使用個人信息，應遵循合法、正當、必要的原則”，但原則的界定存在爭議。此外，發生個人信息泄露事件后舉證困難、相應的處罰力度不足。如果不能在法律層面上形成強有力的約束，那么將很難規范這一領域的正常秩序。

3? ? ?解決APP個人信息安全泄露問題的策略

3.1? ?健全相關法律法規

目前，我國針對APP收集個人信息行為出臺了一系列規范性文件和推薦性標準，但對消費者關心的懲戒手段和賠償問題等涉及不深。建議進一步明確網絡信息服務中，交易雙方的權利和義務，尤其要約束APP運營者商的責任和義務。此外，在相關標準和指南中進一步細化APP運營者收集、使用個人信息的規范。

3.2? ?提高政府監管能力

有關主管部門應嚴厲懲罰各類違法違規行為，嚴厲打擊販賣個人信息行為，按照《網絡安全法》《消費者權益保護法》等依法予以處罰。常態化監管容易泄露個人隱私信息行為，因此，相關主管部門應密切關注APP市場的發展態勢，建立定期抽查制度，及時公布抽查結果，對于存在泄露個人信息隱患的APP。提醒消費者謹慎下載使用。

3.3? ?推行個人信息保護設計理念

APP個人信息安全問題大多是因為在設計之初側重于完善功能性，輕視安全性，導致重視業務功能而忽視個人信息保護的客觀現象。因此，APP運營商應重視個人信息安全問題，在組織運營管理和APP產品設計階段，將信息安全性貫徹到技術、系統、操作等各個層面，全面提高個人信息保護水平。

3.4? ?培育良好信息信用意識和使用習慣

對于用戶而言，在下載或使用手機應用APP產品時，應注意以下幾點：一是去正規的應用商店下載手機應用APP，選擇官方版本，并安裝正規的手機安全管家軟件對個人信息進行保護;二是首次使用或注冊前仔細閱讀相關隱私協議，盡量不注冊使用可疑的APP;三是通過后臺設置，限制APP獲取不必要的權限;四是認真應對。當發現個人信息被泄露時，應采取有效手段，及時主動維護自身權益，必要時向有關部門反映。

主要參考文獻

[1]中國消費者協會.APP個人信息泄露情況調查報告[R].2018-08-29.

[2]李宇斐.手機APP個人信息安全風險與防范[J].保密科學技術，2019（8）：49-52.

[3]中國標準化委員會.信息安全技術個人信息安全規范（GB/T 35273）

[S].2018.

[4]秦博陽，靳文京.APP個人信息安全現狀及解決思路[J].保密科學技求，2019（10）：12-15.