APP的個人信息安全風(fēng)險分析與防護對策

傅小兵 馮志偉 國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心江西分中心 江西省南昌市 330038

0 前言

移動APP的信息安全情況近兩年受到輿論媒體重點關(guān)注，2020年“3●15”晚會曝光了趣頭條APP虛假廣告和多款A(yù)PP違規(guī)收集個人用戶信息的情況。而在2021年“3●15”晚會上，再次針對四款誘導(dǎo)老年人下載、違規(guī)收集老年人個人信息的APP違規(guī)行為予以曝光。移動APP各類信息安全問題已經(jīng)引起社會和公眾的廣泛關(guān)注，如何確保移動APP的個人信息安全已成為亟待解決的問題。

1 APP安全現(xiàn)狀

1.1 移動互聯(lián)網(wǎng)規(guī)模飛速發(fā)展

根據(jù)工信部統(tǒng)計數(shù)據(jù)顯示，截止2020年12月，國內(nèi)市場上監(jiān)測到的APP（移動互聯(lián)網(wǎng)應(yīng)用）數(shù)量為345萬款，較2019年減少22萬款。其中排名前四的游戲類、日常工具類、電子商務(wù)類和生活服務(wù)類APP占比合計達59.2%。我國的網(wǎng)民總體規(guī)模較2019年增加8886萬人，達到了十億網(wǎng)民的規(guī)模，其中手機網(wǎng)民規(guī)模達到了的9.86億，使我國成為了全球最大的數(shù)字社會。網(wǎng)民增長的主體由青年群體向未成年和老年群體轉(zhuǎn)化的趨勢日益明顯，19歲以下和50歲以上分別占總體比例為16.6%和26.3%。

1.2 移動互聯(lián)網(wǎng)信息安全風(fēng)險加劇

根據(jù)CNCERT發(fā)布的《2020年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報告》，上半年新增移動互聯(lián)網(wǎng)惡意程序163萬余個，同比增長58.3%。通過對惡意程序的惡意行為統(tǒng)計發(fā)現(xiàn)，排名前三的仍然是流氓行為類、資費消耗類和信息竊取類，占比分別為36.5%、29.2%和15.1%。信息竊取類惡意程序感染用戶手機后會在用戶不知情或未授權(quán)的情況下，獲取通信錄、短信、位置、通話等個人隱私信息。

出于經(jīng)濟目的，一些用戶常用量大面廣的APP會依靠收集個人用戶數(shù)據(jù)進行“用戶畫像”，從而針對用戶 “精準營銷”，例如在瀏覽器中搜索了某些信息，打開另外的網(wǎng)頁或應(yīng)用，用戶會收到搜索過的相關(guān)產(chǎn)品的廣告推送。

移動互聯(lián)網(wǎng)時代，數(shù)據(jù)成為重要資源。個人信息數(shù)據(jù)涉及個人的方方面面，具有重要價值，已經(jīng)成為眾多違法行為的目標。近年來數(shù)據(jù)泄露、濫用以及利用已泄露數(shù)據(jù)實施電信詐騙等事件時有發(fā)生，個人信息數(shù)據(jù)亟需保護。

1.3 移動互聯(lián)網(wǎng)治理工作初見成效

為切實治理個人信息保護方面存在的亂象，2019年1月25日，中央網(wǎng)信辦、工業(yè)和信息化部、公安部和國家市場監(jiān)管總局等四部門聯(lián)合發(fā)布《關(guān)于開展APP違法違規(guī)收集使用個人信息專項治理的公告》并成立APP專項治理工作組，工作組成立后相繼出臺完善《APP違法違規(guī)收集使用個人信息行為認定方法》《個人信息安全規(guī)范》等標準規(guī)范，APP運營者履行個人信息保護責(zé)任義務(wù)的能力和水平得到提高，全社會開始日益關(guān)注個人信息安全問題。

2 APP信息安全隱患風(fēng)險分析

隨著移動支付、消遣娛樂等軟件的普及，用戶對移動APP的依賴越來越強，但隨之留下的個人操作記錄和信息數(shù)據(jù)也越來豐富，個人信息安全問題也日益凸顯。

常見個人信息主要包括以下幾個方面：1）個人身份信息，如身份證號、家庭住址、電話號碼等；2）通信信息，包括來電記錄、聊天短信等信息；3）空間隱私，手機定位信息、常在地點等；4）身體信息，即健康狀況信息，包括每日步數(shù)、心率頻率、睡眠時間等。甚至，其他一些相關(guān)的基本信息經(jīng)過數(shù)據(jù)重組，即可還原人物畫像（用戶的喜好、作息、頻繁出入點）；5）財產(chǎn)信息，包括銀行卡號、支付寶等其他電子支付賬號信息。

導(dǎo)致以上個人隱私信息泄露的原因主要有以下幾點：1）用戶群體素質(zhì)不一，安全意識薄弱。移動互聯(lián)網(wǎng)受眾也逐漸“老齡化”“未成年化”，小到幼兒、大到老人基本會使用移動APP，而這些受眾很少會關(guān)注自身隱私安全；2）APP應(yīng)用市場魚龍混雜，缺乏平臺統(tǒng)一監(jiān)管。APP市場的紅利被眾多開發(fā)商關(guān)注到，導(dǎo)致各類APP被迅速開發(fā)上線，但上線前卻很少會對APP進行技術(shù)檢測工作，上線后也很少會進行安全監(jiān)測來確保APP的安全運行；3）APP強制索權(quán)、越界索取權(quán)限。多數(shù)APP安裝時需要獲取用戶權(quán)限，但很多用戶權(quán)限都是不必要性的，APP在沒有明顯告知用戶獲取權(quán)限的信息及用途的情況下強制索權(quán)甚至越界索取權(quán)限，廠商通過這種方式來獲取用戶的個人信息，利用大數(shù)據(jù)分析來獲取超額利益。4）明文存儲個人信息。許多APP會在用戶的終端、APP后臺明文存儲用戶的個人隱私信息，容易被別有用心者非法獲取了數(shù)據(jù)，為惡意欺詐等行為推波助瀾。5）賬號注銷限制多，甚至無法進行賬號注銷。賬號注銷本應(yīng)是用戶的個人權(quán)利，但是廠商因為“用戶量”這一市場競爭力和商業(yè)衡量指標，對用戶注銷設(shè)置很多不合理的條件，有些APP設(shè)置了需要提交額外個人信息等條件才可完成注銷，不論最后注銷與否都存在數(shù)據(jù)過度留存的風(fēng)險。

3 APP信息安全防護思考和建議

解決信息安全隱患在移動互聯(lián)網(wǎng)的應(yīng)用服務(wù)領(lǐng)域是一項重大的挑戰(zhàn)，應(yīng)當(dāng)從實際情況出發(fā)，在政府、行業(yè)組織、企業(yè)的多方協(xié)作下以法律法規(guī)為準繩，行業(yè)標準為指引，強有力的執(zhí)法和行業(yè)監(jiān)管為保障，技術(shù)手段作為依托構(gòu)建一個全方位的管理體系。

在建章立制方面，加快推動如《個人信息保護法》、《數(shù)據(jù)安全法》的出臺，通過立法全方位細化約束APP個人信息的收集、處理和利用，并不斷完善現(xiàn)有的法律和規(guī)章制度。

在監(jiān)管方面，應(yīng)建立APP數(shù)據(jù)安全的長效監(jiān)管機制，開展APP備案工作，建立APP數(shù)據(jù)安全監(jiān)測、通報機制，及時發(fā)現(xiàn)安全隱患，督促整改。開展APP違法違規(guī)收集個人隱私專項行動，定期開展針對APP運營者、重點移動應(yīng)用商店、智能終端企業(yè)的監(jiān)督檢查，以查促管，督促產(chǎn)業(yè)鏈上下游落實自身責(zé)任。建立信用監(jiān)管機制，基于隱患整改和投訴舉報信息，對存在不良信用記錄的APP重點監(jiān)管，對造成用戶權(quán)益受損的APP運營單位及個人依法依規(guī)進行處罰。

在行業(yè)層面，應(yīng)推動行業(yè)行為準則落地見效，依托現(xiàn)有的行業(yè)組織，推動相關(guān)標準和規(guī)范在從業(yè)活動中應(yīng)用，配合監(jiān)管部門開展監(jiān)督檢查工作。加大APP安全使用宣傳，提高全社會對個人信息安全保護的認識。

在企業(yè)層面，應(yīng)當(dāng)積極開展APP違法違規(guī)收集使用個人信息自評估工作，建立嚴格和完善的數(shù)據(jù)安全和用戶信息保護機制。加強技術(shù)檢測防護，把安全理念貫穿融入業(yè)務(wù)全流程，上線前落實合規(guī)及技術(shù)檢測，上線后進行安全監(jiān)測來確保APP的安全運行。