APP風起云涌背后的隱憂

天津市通信管理局│孫金青

APP風起云涌背后的隱憂

天津市通信管理局│孫金青

近年來，智能終端迅速普及，各類APP也隨之風生水起，在滿足用戶需求的同時，眾多安全性較低的APP也給不法分子提供了可乘之機，需要監(jiān)管部門基于互聯(lián)網(wǎng)思維進行監(jiān)管與防范。

隨著智慧城市和移動互聯(lián)網(wǎng)的快速發(fā)展，以及智能手機、平板電腦等移動終端的普及，移動應用軟件（APP）種類、數(shù)量呈爆發(fā)式增長，一方面APP在很大程度上滿足了公眾日常工作、學習和生活的高品質(zhì)需求，另一方面也帶來了手機用戶個人信息安全、財產(chǎn)安全、權(quán)益保護以及惡意軟件如何監(jiān)管等方面的問題。

小心便捷背后的“陷阱”

濫用權(quán)限索取個人信息

目前，仍存在眾多讀取用戶信息、濫用權(quán)限的手機APP，甚至看似簡單的APP，如手電筒、鬧鐘、動態(tài)壁紙等也要求用戶開啟手機的某些權(quán)限（如讀取通訊錄、短信內(nèi)容、位置信息等），而這些權(quán)限與其本身的應用并無任何關系。

移動APP泄漏手機用戶數(shù)據(jù)事件早已屢見不鮮。竊取通信錄、照片、位置信息、通話記錄、短信內(nèi)容、賬戶及密碼等個人信息的事也時有發(fā)生。而濫用權(quán)限恰恰是不規(guī)范收集用戶個人信息的重要途徑。工信部“關于電信服務質(zhì)量的通告(2016年第1號)”指出，2015年第四季度，在對40家手機應用商店的應用軟件進行技術(shù)檢測后，發(fā)現(xiàn)不良軟件41款，涉及違規(guī)收集使用用戶個人信息、惡意“吸費”、強行捆綁推廣其他無關應用軟件等問題。

非法手段盜取賬號余額

對于打車軟件、網(wǎng)購手機客戶端、微信紅包、支付寶等應用軟件而言，移動支付安全是手機用戶不得不面對的問題。惡意APP侵入手機，獲取銀行卡、支付寶等賬號、密碼，竊取賬號余額的事層出不窮。如：經(jīng)營網(wǎng)店的余某因掃描了“客戶”發(fā)來的“具有實物尺寸等信息的二維碼”，手機被“客戶”移入木馬，后余某發(fā)現(xiàn)不僅支付寶里的余額被全部轉(zhuǎn)走，另外一張與支付寶綁定的銀行卡中也有2000元被轉(zhuǎn)走。另外，違法犯罪分子還通過“偽基站”發(fā)送帶有木馬病毒的鏈接實施詐騙活動。

專業(yè)APP也非絕對安全

APP運營（多可以歸為電子商務范疇）相對專業(yè)，在公眾中具有較高的信任度，但從實際情況看，專業(yè)運營者提供的商品或服務也并非不存在問題，現(xiàn)實社會中的狀況往往都會映射到網(wǎng)絡空間中。如食品類外賣APP中不乏不良賣家：與線下去餐館不同，消費者無法對餐館衛(wèi)生作出大致的判斷，在享受食品APP帶來高速便捷用餐體驗時，或許不曾想到，“高大上”的美食可能來源于操作環(huán)境惡劣、食材來歷不明的“黑廚房”。

出現(xiàn)這些問題的原因主要有3方面：一是相關主體的權(quán)責被忽視，即手機用戶的選擇權(quán)等權(quán)益沒有得到保障，手機生產(chǎn)企業(yè)、APP開發(fā)者、運營者和分發(fā)渠道商等履責不到位。二是部分手機用戶安全意識弱，防范技能差和警惕性低是個人信息泄露、賬號余額被竊的一個重要原因；三是行政監(jiān)管工作沒有跟上網(wǎng)絡思維的步伐，對APP相關企業(yè)、線上商家以及利用APP為工具從事的活動缺少必要的事中、事后監(jiān)督。

明確相關主體權(quán)利和責任

手機用戶自主選擇APP的權(quán)利

客觀地講，品牌手機上預裝的APP多是品質(zhì)較高、較實用的工具，這些APP更受手機用戶歡迎。手機用戶對APP期望可以大體歸為兩點：第一，手機生產(chǎn)企業(yè)可以預裝APP，但必須將卸載權(quán)交給手機用戶。第二，除打車軟件、導航地圖、社交類APP等因功能需要讀取位置信息、通訊錄外，其他主要功能與位置、通訊錄無明顯相關性的APP不得以此要求為使用條件。當然，這些APP可以嘗試采取區(qū)別服務的方式，如手機用戶明確授權(quán)的，可以免費享受服務或者獲得更高、更好的服務。另外，對于手機用戶而言，需要提高對APP的辨別能力，不下載、不安裝來歷不明的APP，遇到可疑APP要積極向監(jiān)管部門舉報，共同凈化網(wǎng)絡環(huán)境，讓惡意APP無處遁形。

這樣，既可以充分尊重手機用戶的選擇權(quán)、知情權(quán)，也可以避免限制APP產(chǎn)品創(chuàng)新。在大數(shù)據(jù)時代，必須兼顧手機用戶權(quán)益和APP創(chuàng)新兩個方面。

手機生產(chǎn)企業(yè)的責任

規(guī)范手機生產(chǎn)企業(yè)（包括其主要銷售渠道）的行為是治理預裝APP的一個重要環(huán)節(jié)。在手機出廠前，生產(chǎn)企業(yè)一般會在手機里預裝一些應用軟件。手機生產(chǎn)企業(yè)預裝APP應該遵守一定的規(guī)則：首先，在產(chǎn)品說明書中提供預置軟件列表信息，并在產(chǎn)品說明書或外包裝標示預置軟件詳細信息的查詢方法。其次，確保所提供的除基本功能軟件之外的手機應用軟件須可卸載，且手機中附屬于該軟件的資源文件、配置文件和手機用戶數(shù)據(jù)文件等也應能夠被方便卸載、刪除。同時，確保已被卸載的預置軟件在手機操作系統(tǒng)升級時不再被強行恢復。再次，手機生產(chǎn)企業(yè)應采取有效措施約束代理商，未經(jīng)手機用戶同意不得擅自在手機中安裝應用軟件。提示手機用戶如對手機原配軟件有疑問，可以通過生產(chǎn)企業(yè)官方網(wǎng)站或客服中心進行型號、批次查詢。第四，對于必須獲取ROOT權(quán)限才能卸載預裝應用APP的，生產(chǎn)企業(yè)不得以此限制手機用戶享受保修服務的權(quán)利。

APP開發(fā)者、運營者的責任

APP開發(fā)與應用密不可分，二者相輔相成，這兩個主體的責任相互關聯(lián)：第一，作為開發(fā)商或應用運營者，在將APP發(fā)布之前應對其進行漏洞檢測，發(fā)現(xiàn)并消除APP中可以預見的、隱含的技術(shù)安全漏洞，初步保障APP的質(zhì)量。這不僅是保護手機用戶的利益，也是保護自身的利益。第二，APP開發(fā)者、應用運營者在將APP投入運營時，應通過自身官方網(wǎng)站、應用商店或其他分發(fā)平臺等明示所提供手機應用軟件的信息，包括名稱、功能描述、卸載方法、開發(fā)者信息、軟件安裝及運行所需權(quán)限列表等，明確告知手機用戶，應用軟件收集、使用手機用戶個人信息的內(nèi)容、目的、方式和范圍等。第三，正在運行的APP，在手機主頁面要有明確的提示。

明確APP分發(fā)渠道提供者的責任

應用商店也好，其他移動應用發(fā)布平臺也罷，都是手機用戶獲取APP的主要來源。作為移動應用發(fā)布平臺服務商，必須盡到一定的義務：第一，保障應用發(fā)布平臺的網(wǎng)絡安全。應用發(fā)布平臺要對其發(fā)布的APP安全負責，必須有效地管理平臺上的應用程序。第二，核驗所提供應用軟件運營者、開發(fā)者的真實身份、聯(lián)系方式等信息。第三，建立APP管理機制，對APP進行審核及安全、服務等相關檢測，以降低、甚至杜絕向手機用戶提供違法、違規(guī)軟件的概率。第四，記錄并留存所提供應用軟件，以及該軟件有關版本、上線時間、功能簡介、用途、MD5值、服務器接入等信息以備追溯檢測。第五，對所提供APP進行跟蹤監(jiān)測，建立完善手機用戶舉報投訴處置措施等，發(fā)現(xiàn)的惡意應用軟件及時下架。第六，加強網(wǎng)絡安全防護以及對相關人員的教育培訓，保障自身系統(tǒng)安全和手機用戶個人信息安全。

基于互聯(lián)網(wǎng)思維進行監(jiān)管與防范

完善法規(guī)明確部門職責分工

有觀點認為，在APP監(jiān)管事宜上，存在“九龍治水”現(xiàn)象，亟待打破“多頭管理”體制。其實，在網(wǎng)絡（包括移動互聯(lián)網(wǎng)）空間中發(fā)生的事件與現(xiàn)實社會中發(fā)生的事件是相似的，事件性質(zhì)一樣，不同的是手段、形式發(fā)生了變化。APP是法人、其他組織以及自然人進行各項活動而借助的工具或手段，它為各類主體活動提供了更為便捷的方式。因此，行政管理部門監(jiān)管對象、監(jiān)管職責可以直接拓展至網(wǎng)絡空間，相關行政管理部門依照分工、各司其職在網(wǎng)絡空間里履行自己的法定職責。對于職能交叉的部門要明確權(quán)責，以避免出現(xiàn)監(jiān)管真空或相互推諉。

如對于外賣APP的監(jiān)管：新修訂《食品安全法》規(guī)定，網(wǎng)絡食品交易第三方平臺提供者有對入網(wǎng)食品經(jīng)營者進行實名登記、明確其食品安全管理責任、審查其許可證的義務。同時發(fā)現(xiàn)入網(wǎng)食品經(jīng)營者有違法行為的，應當及時制止并立即報告食品藥品監(jiān)督管理部門、立即停止提供網(wǎng)絡交易平臺服務。如果網(wǎng)絡食品交易第三方平臺提供者不履行此項義務，由食品藥品監(jiān)督管理部門予以處罰。

建立健全APP認證制度

對APP新產(chǎn)品，由開發(fā)者自愿通過專業(yè)APP應用程序檢測機構(gòu)進行檢測是可行的，對即將發(fā)布的應用程序進行惡意代碼、隱蔽功能等安全審查。審查通過的應用程序進行數(shù)字簽名識別，在APP應用平臺發(fā)布時可以標注認證標識，以此幫助手機用戶篩選可信度高的應用程序。

同時，由公益性APP監(jiān)測機構(gòu)為公眾提供APP安全性檢測程序。手機客戶端的安全程序可以實時監(jiān)測終端各項指標，發(fā)現(xiàn)異常后，及時阻斷并進行追蹤。提升客戶端安全軟件的查殺能力，做到惡意APP能被及時查殺，并且可以追蹤惡意APP的來源，并將惡意軟件信息和數(shù)據(jù)共享到云平臺等，為以后的軟件檢測提供參考。

編輯｜趙艷薇 zhaoyanwei@bjxintong.com.cn