手機App個人信息安全風(fēng)險與防范

近年來，隨著手機的智能化和通信技術(shù)的快速發(fā)展，我們正逐步邁向以智能手機為標(biāo)志的移動互聯(lián)網(wǎng)時代，從社交娛樂到移動支付，手機已經(jīng)滲透到我們生活和工作中的方方面面。然而，在享受移動互聯(lián)網(wǎng)時代帶來的各種便利的同時，不得不面對隨之而來的個人信息安全問題，2018年9月，中國消費者協(xié)會發(fā)布了《App個人信息泄露情況調(diào)查報告》，85.2%的受訪者遭遇過信息泄露情況，當(dāng)用戶個人信息泄露后，約86.5%的受訪者曾收到推銷電話或短信的騷擾，約75.0%的受訪者接到詐騙電話，約63.4%的受訪者收到垃圾郵件�？梢�，手機App個人信息安全問題不容小覷。

2019年3月15日，央視“3·15”晚會揭露了一款名為“社保掌上通”的熱門個人社保查詢App泄露用戶個人信息的問題。主持人在現(xiàn)場演示查詢信息時，網(wǎng)絡(luò)安全專家通過抓取分析數(shù)據(jù)包發(fā)現(xiàn)，用戶的信息已被發(fā)送至一家大數(shù)據(jù)公司的服務(wù)器。在此過程中，用戶會被默認(rèn)同意一份授權(quán)協(xié)議，包括不可撤銷地授權(quán)使用用戶社保賬戶密碼、采集用戶個人信息等諸多條款。

隨著互聯(lián)網(wǎng)業(yè)務(wù)向移動終端大面積轉(zhuǎn)移，加上移動終端用戶黏性大、實時在線率高等特點，各類安全威脅也紛紛向移動終端轉(zhuǎn)移，上述“社保掌上通”App泄露用戶信息的情況也只是當(dāng)下手機App信息安全領(lǐng)域的冰山一角。

一、手機App泄露個人信息的途徑

（一）越界獲取隱私權(quán)限

根據(jù)《公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》，手機App在使用個人信息時需要對個人信息主體盡到告知、說明和警示的義務(wù)，以及如實向個人信息主體告知個人信息的收集和使用范圍、個人信息的保護(hù)措施等。處理個人信息時要遵循“最小夠用”原則，要征得個人信息主體同意等原則。然而，據(jù)有關(guān)研究機構(gòu)發(fā)布的《App個人隱私研究報告》，超功能范圍申請、收集、上傳用戶信息仍是目前手機App普遍存在的現(xiàn)象。

（1）手機聯(lián)系人權(quán)限。數(shù)據(jù)顯示，2018年中國各類手機App調(diào)用讀取聯(lián)系人權(quán)限已成隱私侵犯重災(zāi)區(qū)，社交、視頻、網(wǎng)購等六類App讀取聯(lián)系人權(quán)限占比超過50%，最高的達(dá)到86.7%。究其原因，與手機App廠商推動平臺社交路徑傳播、打造熟人社區(qū)的營銷策略息息相關(guān)。

（2）讀取短信權(quán)限。App讀取短信權(quán)限常用于自動提取用戶短信驗證碼，有助于用戶提高App短信驗證操作的效率。但在針對用戶其余個人短信的讀取上，App的讀取權(quán)限并未受到有效監(jiān)督或限制，部分不法App或可通過該權(quán)限調(diào)用，實現(xiàn)對用戶短信信息的竊取。數(shù)據(jù)顯示，移動資訊閱讀、社交、理財、旅游四類App調(diào)用權(quán)限占比不低于30.0%，嚴(yán)重威脅用戶隱私信息安全。

（3）獲取定位信息。根據(jù)手機App功能，地圖類、旅游類、網(wǎng)購類、社交類App具備定位功能，獲取用戶位置信息有利于提供更準(zhǔn)確的服務(wù)，屬于合理訴求。但是調(diào)查顯示，部分移動視頻、音頻、資訊閱讀、工具類手機App仍存在調(diào)取、濫用定位信息情況。

（二）植入木馬病毒

智能手機主要操作系統(tǒng)包括Android和iOS。iOS系統(tǒng)相對安全，Android系統(tǒng)則更為開放，除官方應(yīng)用商城外，部分App開發(fā)商會通過彈窗、廣告等形式，為用戶推送含有木馬病毒的App下載鏈接，用戶點擊下載并安裝后，木馬病毒就會自動掃描手機中通信、短信、賬號密碼等個人隱私信息，并將相關(guān)數(shù)據(jù)回傳服務(wù)器[4]，造成用戶信息泄露。2019年3月，360公司發(fā)布的《2018年中國手機安全狀況報告》顯示，2018年全年共截獲移動端新增惡意程序樣本434.2萬個，平均每天新增1.2萬個，其中隱私竊取類占比33.7%，嚴(yán)重威脅用戶個人信息安全。

（三）售賣用戶隱私

除上述兩個手機App信息泄露途徑之外，還有App廠商相互分享、買賣用戶數(shù)據(jù)等途徑，很多用戶都有這樣的體驗，剛剛在某App中瀏覽某類商品，很快就會在其他平臺中收到同類商品的推廣信息。事實上，售賣用戶隱私信息已形成灰色產(chǎn)業(yè)鏈，《App個人信息泄露情況調(diào)查報告》結(jié)果顯示，經(jīng)營者或不法分子故意泄露、出售或者非法向他人提供個人信息的比例達(dá)到調(diào)查樣本的60.6%，各App廠商掌握的網(wǎng)頁瀏覽記錄、閱讀痕跡、支付記錄等碎片信息通過大數(shù)據(jù)分析整合，在精準(zhǔn)地尋找用戶、提供服務(wù)的同時，也為不法分子實施違法行為提供了便利。

二、手機App個人信息泄露的原因

（一）個人隱私保護(hù)意識淡薄

著名的新經(jīng)濟行業(yè)數(shù)據(jù)挖掘和分析機構(gòu)艾媒咨詢（iiMediaResearch）發(fā)布的《2018年中國手機App隱私權(quán)限測評報告》稱，63.3%的受訪者表示在安裝手機App時沒有仔細(xì)閱讀隱私條款，24.3%的受訪者從來不閱讀隱私條款。這反映了大部分手機用戶都或多或少存在個人隱私保護(hù)意識淡薄的問題，有的用戶受限于網(wǎng)絡(luò)技術(shù)知識欠缺和App隱私條款文字篇幅長等原因，或者明知道可能會有泄露個人信息的危險還抱有僥幸心理，甚至認(rèn)為是小問題無所謂，嘗到隱私泄露惡果的時候主動維權(quán)意識不強，多數(shù)人選擇自認(rèn)倒霉，客觀上縱容了手機App信息泄露的愈演愈烈，形成惡性循環(huán)。

（二）廠商缺乏自律和責(zé)任感

據(jù)中國消費者協(xié)會調(diào)查結(jié)果，有的App中未發(fā)現(xiàn)對涉及個人信息的告知說明；有的App在完成用戶信息采集之后才出現(xiàn)《用戶協(xié)議》；有的App存在告知聲明中對個人信息的描述不準(zhǔn)確、不清晰的現(xiàn)象，大部分關(guān)于個人信息保護(hù)的說明不容易被發(fā)現(xiàn)，用戶經(jīng)常需要經(jīng)過兩次及以上的點擊次數(shù)才能找到相關(guān)內(nèi)容；有的App則強制用戶同意相關(guān)隱私條款，否則無法正常使用，反映了手機App廠商缺乏自律，企圖“蒙混過關(guān)”，有目的性地收集用戶個人信息，沒有做到真正意義上的公開透明，對于網(wǎng)絡(luò)空間公民隱私的保護(hù)缺乏責(zé)任感。

（三）法律層面約束不足

目前，我國在關(guān)于手機App個人信息保護(hù)方面的法律法規(guī)主要有《網(wǎng)絡(luò)安全法》《電子商務(wù)法》等，但仍存在很多亟待完善之處，例如對“個人信息”的界定標(biāo)準(zhǔn)不明確、手機App收集用戶信息“正當(dāng)、合法、必要”3個原則的界定存在爭議，發(fā)生信息泄露后的舉證難、處罰力度不足等，無法在法律高度形成強約束力、牢牢牽住個人信息安全保護(hù)的“牛鼻子”，那么就很難規(guī)范這一領(lǐng)域的正常秩序。

三、防范對策

隨著“互聯(lián)網(wǎng)+”行動的進(jìn)一步深入，未來智能手機的應(yīng)用將在我們的生活中無處不在，其安全問題更加不能小視。我們需要從多方面多管齊下，盡力避免手機App泄露個人隱私信息事件的發(fā)生。

（一）個人層面

在選擇使用手機App時要做到“一個提高”和“四個注意”：“一個提高”是要提高個人隱私保護(hù)意識，移動互聯(lián)網(wǎng)時代智能手機和App產(chǎn)品日新月異，不法分子竊取隱私信息的手段也是“水漲船高”，高度重視個人隱私信息的無形價值，從主觀上提高隱私保護(hù)意識，分享、使用個人隱私信息時保持警惕，是在復(fù)雜多變的虛擬世界中構(gòu)筑的第一道安全防線。“四個注意”具體來說，一是要注意選用安全合規(guī)的App產(chǎn)品和服務(wù)，并選擇正規(guī)渠道進(jìn)行下載安裝，謹(jǐn)慎點擊來源不明的App下載鏈接，從源頭上杜絕木馬病毒，并安裝手機殺毒App，定期對手機進(jìn)行安全檢測；二是要注意認(rèn)真閱讀App的應(yīng)用權(quán)限和用戶協(xié)議或隱私政策說明，了解操作注意事項；三是要注意培育良好使用習(xí)慣，不隨意開放和同意不必要的隱私權(quán)限，不隨意輸入個人隱私信息，定期維護(hù)和清理相關(guān)數(shù)據(jù)；四是要注意認(rèn)真應(yīng)對個人隱私信息被泄露的問題，發(fā)現(xiàn)個人信息被泄露問題時，要通過有效手段及時主動維權(quán)，必要時向有關(guān)部門反映，用法律武器維護(hù)自己的權(quán)利和利益。

（二）廠商層面

首先，手機App廠商必須樹立用戶維權(quán)第一責(zé)任人的意識，堅守安全底線，強化對用戶個人信息的保護(hù)責(zé)任；其次，應(yīng)當(dāng)通過合理合法的方式獲知用戶數(shù)據(jù)，并采取有效措施，確保用戶個人信息和數(shù)據(jù)安全，用服務(wù)質(zhì)量和安全保障贏取用戶的選擇和信任；再次，提供相關(guān)服務(wù)和履行告知義務(wù)時，應(yīng)該通過簡潔醒目、通俗易懂的方式，避免消費者的誤解和誤讀；最后，企業(yè)應(yīng)當(dāng)充分聽取和尊重用戶的合理訴求和意見并及時反饋處理，提升用戶滿意度和信賴感。

（三）法律層面

當(dāng)前，移動互聯(lián)網(wǎng)黑色利益鏈錯綜復(fù)雜，形成了以開發(fā)、傳播、運營到最后利益整合分配的流水作業(yè)模式，甚至完成了從作坊式個人生產(chǎn)到集團(tuán)化運作的規(guī)模性轉(zhuǎn)變。2019年兩會期間，部分政協(xié)委員和人大代表再度聚焦個人隱私保護(hù)，重申泄露隱私事件的頻發(fā)根本原因在于立法滯后、監(jiān)管力度不夠、司法保護(hù)薄弱等，呼吁加快個人信息保護(hù)法以及其他相關(guān)法律的立法進(jìn)程。要在法律層面保障發(fā)生泄露隱私信息事件時，讓民眾投訴有門，提高網(wǎng)絡(luò)取證技術(shù)能力，加大對網(wǎng)絡(luò)犯罪的打擊力度，營造一個安全綠色的網(wǎng)絡(luò)應(yīng)用環(huán)境，切實保障民眾的合法權(quán)益。

 

（原載于《保密科學(xué)技術(shù)》雜志2019年8月刊）