APP隱私保護及整改建議

霍然　黎凌

摘要：隨著我國移動互聯(lián)網(wǎng)快速發(fā)展，我國移動互聯(lián)網(wǎng)網(wǎng)民數(shù)量超過8.6億。大量的生活服務，金融支付服務向手機端轉移。這些服務在簡便了我們生活方式的同時，也對公民的個人信息帶來很大的安全隱患。為了有效的治理違法違規(guī)收集使用個人信息的APP，減少公民個人信息泄露的風險，本文針對已測APP存在的問題進行分析，并提出整改建議。

關鍵詞：個人信息保護;APP;整改建議

引言

隨著我國移動互聯(lián)網(wǎng)快速發(fā)展，我國已成為世界上網(wǎng)絡數(shù)據(jù)生產量最大、數(shù)據(jù)類型最豐富的國家之一。我國移動互聯(lián)網(wǎng)網(wǎng)民數(shù)量超過8.6億。隨著移動網(wǎng)絡的發(fā)展，大量的生活服務，金融支付服務向手機端轉移。根據(jù)2019年我中心工作統(tǒng)計發(fā)現(xiàn)移動程序強制授權，超規(guī)搜集個人信息費等現(xiàn)象十分突出。截至2019年11月底，我中心共發(fā)現(xiàn)移動惡意程序樣本1500余個，處置惡意APP下載鏈接1242個，涉及北京地區(qū)移動應用商店40余家。同時針對105款互聯(lián)網(wǎng)金融APP進行檢測，共發(fā)現(xiàn)漏洞505個。其中存在大量明文數(shù)據(jù)傳輸漏洞，網(wǎng)頁視圖明文存儲密碼漏洞和源代碼反編譯漏洞。這些漏洞存在信息泄露風險。大量竊取用戶信息的惡意程序相繼出現(xiàn)。防止移動端個人隱私數(shù)據(jù)泄露，維護終端消費者的合法權益，成為下一步治理移動互聯(lián)網(wǎng)網(wǎng)絡安全的重中之重。

1 四部委聯(lián)合發(fā)布治理公告

2019年1月中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局聯(lián)合制訂了《關于開展APP違法違規(guī)收集使用個人信息專項治理的公告》，并發(fā)布了《APP違法違規(guī)收集使用個人信息行為認定方法》。《公告》的主要內容包括：

（1）《公告》要求App運營者采取有效措施加強個人信息保護。嚴格遵守《APP違法違規(guī)收集使用個人信息行為認定方法》中的相關條款;

（2）《公告》要求檢測機構對App隱私政策和個人信息收集使用情況進行評估;

（3）《公告》要求對違法違規(guī)收集使用個人信息行為進行處罰

（4）《公告》要求公安機關依法嚴厲打擊針對和利用個人信息的違法犯罪行為;

（5）《公告》鼓勵App進行個人信息安全認證。

2 APP個人隱私保護專項工作

2020年4月起，我中心針對230款APP開展檢測工作。根據(jù)APP提供服務的不同，我們將app的業(yè)務類型分為地圖導航、網(wǎng)絡約車、社區(qū)社交、網(wǎng)絡支付、新聞資訊、網(wǎng)上購物、短視頻、交通票務、婚戀相親、求職招聘、金融借貸、房產交易、問診掛號、安全管理及其他，共計15種業(yè)務類型分類，每款APP根據(jù)提供服務的多少可包含多種業(yè)務類型。其中4%的金融借貸類APP存在違規(guī)收集個人信息的問題;4%的網(wǎng)絡支付類APP存在違規(guī)收集個人信息的問題;76%的其他類型APP存在違規(guī)收集個人信息的問題。詳情如圖1所示：

在此次檢測中，主要針對Android端APP進行檢測。其中，其他業(yè)務類型占不合規(guī)業(yè)務類型的81%，3%網(wǎng)絡支付業(yè)務類型占不合規(guī)業(yè)務類型的3%，金融借貸業(yè)務類型占不合規(guī)業(yè)務類型的3%，詳情如圖2所示：

同時，我們也對其中6款iOS端app進行檢測，其中網(wǎng)絡支付業(yè)務類型占不合規(guī)業(yè)務類型的15%，網(wǎng)上購物業(yè)務類型占不合規(guī)業(yè)務類型的15%，快遞配送業(yè)務類型占不合規(guī)業(yè)務類型的15%，詳情如圖3所示：

根據(jù)《APP違法違規(guī)收集使用個人信息行為認定方法》我們將應用違規(guī)問題分為：私自收集個人信息、私自將個人信息共享給第三方、過度索取權限、私自收集使用個人信息、注銷賬號難、個人信息泄露風險、超范圍收集個人信息、強制用戶使用定向推送功能、頻繁申請權限9類。其中以私自收集個人信息、私自將個人信息共享給第三方、過度索取權限、私自收集使用個人信息的問題尤為突出。分別占全部違規(guī)問題的95%，87%，84%，81%，詳情如圖4所示：

我們對重點服務類型的APP進行分析，發(fā)現(xiàn)金融借貸類APP主要存在的問題為：私自將個人信息共享給第三方、個人信息泄露風險、超范圍收集個人信息、私自收集使用個人信息。詳情如下圖5所示：

網(wǎng)絡支付類APP主要存在的問題為：私自將個人信息共享給第三方、個人信息泄露風險、私自收集使用個人信息、超范圍收集個人信息。詳情如下圖所示：

我們通過對比不同平臺（iOS、Android ）上的同一款APP發(fā)現(xiàn)，此款APP在雙平臺上均存在私自收集個人信息、個人信息收集未進行申明的問題以及未提供注銷賬號途徑等問題。由于iOS系統(tǒng)特性，app未發(fā)現(xiàn)強制用戶使用定向推送功能的相關問題;未發(fā)現(xiàn)用戶明確表示不同意后，仍收集個人信息或打開可收集個人信息的權限，或頻繁征求用戶同意、干擾用戶正常使用的相關問題。

3 提高終端上個人信息保護的方法

對個人用戶來說，僅僅依靠個人隱私保護制度是遠遠不夠的。保護好個人隱私是我們每個公民應享有的權益，但是在不知不覺之中，我們的個人信息在網(wǎng)上被共享。

3.1增強個人隱私保護意識

（1）仔細閱讀APP個人隱私條款

在使用各類APP之前仔細閱讀個人隱私使用條款，仔細查閱用戶服務協(xié)議。嚴格控制敏感權限的調用如：位置信息;麥克風、錄音設備的調用;微信、支付寶賬號等。

（2）增強個人安全防范意識

定期對移動端設備和電腦終端進行病毒查殺、及時更新漏洞補丁;避免點擊陌生人發(fā)送的郵件及手機彩信或短信中的鏈接，以免造成由釣魚郵件或惡意鏈接引起的數(shù)據(jù)泄露;不要將重要賬號的用戶名和密碼保存在終端上。

3.2規(guī)范APP開發(fā)者使用個人信息的標準

移動端個人信息的保護僅靠個人是遠遠不夠的，科技是中立的，但資本逐利，無法用道德來約束。App開發(fā)者應嚴格管控個人信息數(shù)據(jù)的調用，做到以下幾點：

（1）完善隱私政策等收集使用規(guī)則，提供由用戶自主選擇同意或不同意選項。個人信息的調用及第三方SDK所需要的個人信息應與隱私政策中的使用規(guī)則一一對應。

（2）嵌入的第三方SDK及第三方SDK所需收集的個人信息應遵循最小化原則，與業(yè)務不相關的信息進行刪除處理，相關信息在隱私協(xié)議中進行補充。

（3）在用戶拒絕收集個人信息或拒絕授權后，應用不應頻繁向用戶申請同時也應再通過其他方式繼續(xù)收集用戶拒絕后的個人信息或權限。

（4）嵌入的第三方SDK及第三方SDK所收集的個人信息應進行加密傳輸。

（5）應在用戶同意隱私政策后，收集使用個人隱私數(shù)據(jù)。

4 結束語

海量的信息豐富了每一個接觸現(xiàn)代信息網(wǎng)絡的人的生活，與之共生的問題是絕大部分人在數(shù)據(jù)面前毫無隱私可言。在疫情防控期間，各省的防控小程序收集了身份證號碼、手機號、行蹤軌跡等大量敏感的個人信息，使得個人隱私保護被推上了風口浪尖。為了避免個人信息泄露，我們后續(xù)應當加強企業(yè)對個人信息安全使用的重視程度，增加開發(fā)人員的安全經驗，加大對違規(guī)收集個人隱私數(shù)據(jù)的APP的打擊力度，從嚴治理，同時加強行業(yè)自律。數(shù)據(jù)安全比不在與黑客的技術有多高級，更多的需要用戶自身加強防范意識，選擇可靠的軟件進行使用，定期修改密碼，做好自身防護工作，比起亡羊補牢可靠的多。

參考文獻

[1]中央網(wǎng)信辦，工業(yè)和信息化部，公安部，市場監(jiān)管總局.APP違法違規(guī)收集使用個人信息行為認定方法[S].

[2]中國互聯(lián)網(wǎng)協(xié)會反網(wǎng)絡病毒聯(lián)盟.移動互聯(lián)網(wǎng)惡意代碼描述規(guī)范[S].

[3]王小群，韓志輝，徐劍，朱天，饒毓，擺亮，毛洪亮.2018年我國互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢綜述[J].保密科學技術，2019（05）：4-9.

[4]聶國春 京東金融“竊圖”再引個人信息安全擔憂[N].《中國消費者報》.2019-02-26.

[5]馬慧，王鈺錚.手機APP侵害用戶權益的現(xiàn)象與本質[J].互聯(lián)網(wǎng)天地，2019（06）：51-52.