APP個人信息安全現狀及對策研究

◆嚴玉慧 楊之愷

（國家計算機網絡與信息安全管理中心青海分中心 青海 810000）

APP 是移動互聯網應用（Application）的英文縮寫，是指通過預裝或下載獲取，并且運行在移動終端設備上，能向用戶提供信息服務的應用軟件[1]。據CNNIC（中國互聯網絡信息中心）發布的《第46次中國互聯網絡發展狀況統計報告》披露，截至2020年6月我國手機網民規模達9.32 億，占全國網民規模的99.15%和全國人口的66.57%，而國內市場監測到的APP 數量達359 萬款，可見我國移動互聯網發展之迅猛，APP 種類和數量之多。APP 為人們獲取信息服務提供了便利，然而其作為收集用戶數據的入口，也存在大量強制索權、過度收集用戶信息的侵權現象，威脅個人信息安全[2]，因此本文對APP個人信息安全現狀及對策進行了研究。

1 APP個人信息安全現狀

1.1 APP個人信息安全已引起社會的關注和政府的重視

《知識經濟》記者田野[3]對發生在2019年2月16日至2019年3月21日期間的3 起泄密事件做了報道，一起為網友舉報某金融APP在后臺自動獲取用戶使用手機信息的截圖，二起為央視“3·15”晚會點名某個人社保查詢APP 泄露個人信息并進行了現場演示，三起為中國消費者報某招股書的社交電商云集存在泄露用戶信息問題。這三起APP個人信息安全事件都引起了廣泛的社會關注，尤其是央視揭露的APP 得到了全網下架、提供服務的第三方公司停業整頓的處理結果。

APP個人信息安全問題也得到政府部門的高度重視。據《APP違法違規收集使用個人信息專項治理報告（2019）》介紹，2019年1月中央網信辦、工信部、公安部和市場監管總局聯合發布《關于開展APP 違法違規收集使用個人信息專項治理的公告》。經過一年的專項治理，APP 違法違規收集使用個人信息典型問題得到遏制、企業個人信息保護能力水平顯著提升、網民網絡安全感總體提升、全社會關注和重視的氛圍已基本形成成效。

1.2 APP個人信息安全問題

在信息社會，信息是一種重要資源，個人信息具有人格利益和財產利益，前者可用于識別特定主體，后者蘊含著商業價值，可以用作商業營銷和財產交易[4]，所以APP 開發商、服務商等通過APP 超權限收集、轉移、共享和售賣個人信息，給廣大APP 用戶切身利益帶來損害，甚至威脅社會穩定和國家安全，下面就將常見問題歸納如下：

第一，強制索取權限收集、共享和濫用個人信息。強制索權就是APP 要求從移動終端操作系統獲得“最少夠用”權限以外更多的權限，如果不接受可能無法安裝、注冊、登錄、使用。例如某些手電筒APP要求獲取攝像頭使用權限以外，還要獲得讀取通訊錄、位置信息的權限，而后面這些權限對手電筒功能發揮并無必要[5]。APP 收集的信息上傳至后臺服務器后就擺脫了用戶的控制，很多被APP 運營商用于廣告推送或與合作的第三方商家共享，甚至通過出售、轉讓牟利。例如某些外賣APP 泄露的個人信息（包含姓名、住址、手機號等），在信息交易群上被明碼標價售賣，5000 條個人信息起售，平均每條售價0.07～0.12 元，嚴重侵害APP 用戶隱私權、人身權和財產權。據中國信息通信研究院安全研究所發布的《移動應用（App）數據安全與個人信息保護白皮書（2019年）》（以下簡稱《白皮書》）報告，檢測200 多款常見APP 發現存在1265 項安全問題，在突出的不合規問題中，未公開收集使用規則的占48.5%，未明示收集使用個人信息目的的占46.0%，超范圍收集個人信息的占42.0%，私自共享個人信息和未經用戶同意收集使用個人信息的均占40.0%，可見APP 強制收集、共享、濫用個人信息現象非常普遍。

第二，卸載、注銷不徹底，存在個人信息留存泄露風險。陳銀平等[1]檢測30 款APP 發現3 批次卸載不徹底，系統中留有軟件的臨時文件、活動程序或模塊，這些殘余文件能在系統啟動時自動連接APP指向的網站或鏈接。《白皮書》報告，20.5%的APP 未提供注銷功能，26.9%的APP 提供了注銷功能但注銷流程煩瑣費時，這就造成一種結果：用戶注冊后難以順利注銷，留存的個人信息被APP 運營商長期留存。一些APP 運營商工作人員監守自盜，利用這些留存信息牟利，導致用戶不得不長時間面對推銷、詐騙電話或短信的騷擾。

第三，明文存儲信息，給網絡黑客截獲、利用信息提供了便利。《白皮書》報告，在被檢測的APP 中，四分之一的APP 采用明文存儲運行日志、設備信息、用戶數據等，這些信息很容易被不法分子截獲并利用。目前，傳統互聯網中存在的病毒木馬、惡意程序等已滲透到移動互聯網中，黑客截獲APP 用戶個人信息并非難事，甚至還能篡改和刪除用戶數據[6]。

第四，用戶不能自己選擇開啟或關閉個性化服務選項。寧華等[2]介紹，有84.82%的APP 可以不經用戶同意即推送個性化服務，用戶被迫接受APP 運營商的“精準推銷”。

2 應對APP個人信息安全威脅的策略

2.1 健全法律制度，嚴格執法監督

我國多個法律制度文件中均有涉及個人信息保護的文字，但就立法制度而言呈現“碎片化”特點，存在侵權主體責任不明確、對個人信息權益保障不足夠、司法救濟措施不完善、行政監督“九龍治水”等問題，所以應加強法律制度建設，可借鑒國際上成功的一些做法，完善個人信息收集、處理、利用保護的制度，加快《個人信息保護法》的立法程序。目前，個人信息行政監管主體涉及多個部門，監督執法低效，而且存在交叉管理漏洞，應成立專門的監督機構，在現行法律制度框架下專責監管責任，該機構可實施分層管理，中央層級負責統籌協調，地方層級負責監管執行，相關職能部門配合協作。在監管流程上應將重點放在事前和事中，以便從源頭上預防APP個人信息越權收集、共享和濫用。

2.2 明確主體責任，督促行業自律

APP 用戶個人相對APP 運營商等主體處于弱勢地位，以前述網友舉報某金融APP 非授權收集個人信息為例，在截圖舉證情況下該金融平臺仍兩次否認非授權收集用戶信息，結果“大事化小，小事化了”，更多情況下，由于信息不對稱，甚至連舉證都做不到，為此可按照過錯推定原則明確APP 平臺侵權行為的責任，根據損害事實、違規行為與損害事實的因果關系等認定侵權，以此確定APP 運營商、平臺及其他義務主體的責任，提高違法成本。行業自律可在政府監管之前督促APP 平臺等主體遵守行業規則，所以應鼓勵APP 相關主體成立行業協會，制定行規和操作準則，統一個人信息保護標準，建立爭議聽證、復核、解決和賠償制度，通過獎懲機制約束會員行為，促進行業自律，為APP個人信息安全提供多方位保護。

2.3 加強技術研究，堵塞安全漏洞

APP個人信息安全與傳統層面的個人隱私保護有所不同，后者更突出精神層面的人格尊嚴，前者更注重具有經濟價值的信息支配權，而且當代信息技術更新迭代之快也遠非以前可比，這個特點決定了加強APP 安全技術研究的重要性。一是強化安全保障技術，例如開發安全芯片、漏洞修復及其他安全防護技術。二是開發安全水平高的APP。要求應用服務開發人員在整個開發周期內都遵循安全編碼原則，采用最新的操作系統及外部代碼庫、高等級API 和安全SDK、身份認證、安全存儲與安全傳輸等技術。三是規范APP 收集使用、信息共享、推送及權限調用規則，信息收集使用必須告知收集的目的、范圍、內容、方式、頻次、保護措施等，信息共享須保證可追溯性，信息推送及權限調用應保證用戶知情并可控制。四是建立APP 分發上架審核機制，即APP 進入應用商店前，分發平臺要對APP 開發者資質、安全措施進行嚴格審核，并且定期復核已上架APP 的安全性，凡是安全審核不過關的都要下架。

2.4 擴大宣傳力度，提高安全意識

在信息爆炸時代，APP 安全風險無處不在，提高個人安全意識對于個人信息安全也是非常重要的，為此應加強宣傳引導，通過惡意代碼植入、后門、信息盜用、網絡詐騙、財產損失等個人信息泄露案例的分析，引導廣大手機網民充分認識個人信息安全威脅的嚴重性，學會如何識別個人信息安全威脅，保持對自身個人信息安全的警覺性，養成安全使用APP 的良好習慣。其次，提高APP 用戶的維權意識。國家應持續不斷地加強法律知識宣傳教育，引導公民拿起法律武器維護自己的合法權益。主動維權的人越多，對越權收集、共享、濫用個人信息主體的壓力就會越大，違法成本也會越高，全社會形成“過街老鼠人人喊打”的氛圍，那些企圖通過濫用APP個人信息牟利的人才會越來越少。

3 結語

針對APP 存在越權收集、共享和濫用個人信息，卸載、注銷不徹底，明文存儲信息，個性化服務選項不能自己選擇開啟或關閉等問題，本文提出了健全法律制度、嚴格執法監督、明確主體責任、督促行業自律、加強安全技術研究、提高手機網民安全意識的對策。