APP隱私保護及整改建議

霍然　黎凌

摘要：隨著我國移動互聯網快速發展，我國移動互聯網網民數量超過8.6億。大量的生活服務，金融支付服務向手機端轉移。這些服務在簡便了我們生活方式的同時，也對公民的個人信息帶來很大的安全隱患。為了有效的治理違法違規收集使用個人信息的APP，減少公民個人信息泄露的風險，本文針對已測APP存在的問題進行分析，并提出整改建議。

關鍵詞：個人信息保護;APP;整改建議

引言

隨著我國移動互聯網快速發展，我國已成為世界上網絡數據生產量最大、數據類型最豐富的國家之一。我國移動互聯網網民數量超過8.6億。隨著移動網絡的發展，大量的生活服務，金融支付服務向手機端轉移。根據2019年我中心工作統計發現移動程序強制授權，超規搜集個人信息費等現象十分突出。截至2019年11月底，我中心共發現移動惡意程序樣本1500余個，處置惡意APP下載鏈接1242個，涉及北京地區移動應用商店40余家。同時針對105款互聯網金融APP進行檢測，共發現漏洞505個。其中存在大量明文數據傳輸漏洞，網頁視圖明文存儲密碼漏洞和源代碼反編譯漏洞。這些漏洞存在信息泄露風險。大量竊取用戶信息的惡意程序相繼出現。防止移動端個人隱私數據泄露，維護終端消費者的合法權益，成為下一步治理移動互聯網網絡安全的重中之重。

1 四部委聯合發布治理公告

2019年1月中央網信辦、工業和信息化部、公安部、市場監管總局聯合制訂了《關于開展APP違法違規收集使用個人信息專項治理的公告》，并發布了《APP違法違規收集使用個人信息行為認定方法》?！豆妗返闹饕獌热莅ǎ?/p>

（1）《公告》要求App運營者采取有效措施加強個人信息保護。嚴格遵守《APP違法違規收集使用個人信息行為認定方法》中的相關條款;

（2）《公告》要求檢測機構對App隱私政策和個人信息收集使用情況進行評估;

（3）《公告》要求對違法違規收集使用個人信息行為進行處罰

（4）《公告》要求公安機關依法嚴厲打擊針對和利用個人信息的違法犯罪行為;

（5）《公告》鼓勵App進行個人信息安全認證。

2 APP個人隱私保護專項工作

2020年4月起，我中心針對230款APP開展檢測工作。根據APP提供服務的不同，我們將app的業務類型分為地圖導航、網絡約車、社區社交、網絡支付、新聞資訊、網上購物、短視頻、交通票務、婚戀相親、求職招聘、金融借貸、房產交易、問診掛號、安全管理及其他，共計15種業務類型分類，每款APP根據提供服務的多少可包含多種業務類型。其中4%的金融借貸類APP存在違規收集個人信息的問題;4%的網絡支付類APP存在違規收集個人信息的問題;76%的其他類型APP存在違規收集個人信息的問題。詳情如圖1所示：

在此次檢測中，主要針對Android端APP進行檢測。其中，其他業務類型占不合規業務類型的81%，3%網絡支付業務類型占不合規業務類型的3%，金融借貸業務類型占不合規業務類型的3%，詳情如圖2所示：

同時，我們也對其中6款iOS端app進行檢測，其中網絡支付業務類型占不合規業務類型的15%，網上購物業務類型占不合規業務類型的15%，快遞配送業務類型占不合規業務類型的15%，詳情如圖3所示：

根據《APP違法違規收集使用個人信息行為認定方法》我們將應用違規問題分為：私自收集個人信息、私自將個人信息共享給第三方、過度索取權限、私自收集使用個人信息、注銷賬號難、個人信息泄露風險、超范圍收集個人信息、強制用戶使用定向推送功能、頻繁申請權限9類。其中以私自收集個人信息、私自將個人信息共享給第三方、過度索取權限、私自收集使用個人信息的問題尤為突出。分別占全部違規問題的95%，87%，84%，81%，詳情如圖4所示：

我們對重點服務類型的APP進行分析，發現金融借貸類APP主要存在的問題為：私自將個人信息共享給第三方、個人信息泄露風險、超范圍收集個人信息、私自收集使用個人信息。詳情如下圖5所示：

網絡支付類APP主要存在的問題為：私自將個人信息共享給第三方、個人信息泄露風險、私自收集使用個人信息、超范圍收集個人信息。詳情如下圖所示：

我們通過對比不同平臺（iOS、Android ）上的同一款APP發現，此款APP在雙平臺上均存在私自收集個人信息、個人信息收集未進行申明的問題以及未提供注銷賬號途徑等問題。由于iOS系統特性，app未發現強制用戶使用定向推送功能的相關問題;未發現用戶明確表示不同意后，仍收集個人信息或打開可收集個人信息的權限，或頻繁征求用戶同意、干擾用戶正常使用的相關問題。

3 提高終端上個人信息保護的方法

對個人用戶來說，僅僅依靠個人隱私保護制度是遠遠不夠的。保護好個人隱私是我們每個公民應享有的權益，但是在不知不覺之中，我們的個人信息在網上被共享。

3.1增強個人隱私保護意識

（1）仔細閱讀APP個人隱私條款

在使用各類APP之前仔細閱讀個人隱私使用條款，仔細查閱用戶服務協議。嚴格控制敏感權限的調用如：位置信息;麥克風、錄音設備的調用;微信、支付寶賬號等。

（2）增強個人安全防范意識

定期對移動端設備和電腦終端進行病毒查殺、及時更新漏洞補丁;避免點擊陌生人發送的郵件及手機彩信或短信中的鏈接，以免造成由釣魚郵件或惡意鏈接引起的數據泄露;不要將重要賬號的用戶名和密碼保存在終端上。

3.2規范APP開發者使用個人信息的標準

移動端個人信息的保護僅靠個人是遠遠不夠的，科技是中立的，但資本逐利，無法用道德來約束。App開發者應嚴格管控個人信息數據的調用，做到以下幾點：

（1）完善隱私政策等收集使用規則，提供由用戶自主選擇同意或不同意選項。個人信息的調用及第三方SDK所需要的個人信息應與隱私政策中的使用規則一一對應。

（2）嵌入的第三方SDK及第三方SDK所需收集的個人信息應遵循最小化原則，與業務不相關的信息進行刪除處理，相關信息在隱私協議中進行補充。

（3）在用戶拒絕收集個人信息或拒絕授權后，應用不應頻繁向用戶申請同時也應再通過其他方式繼續收集用戶拒絕后的個人信息或權限。

（4）嵌入的第三方SDK及第三方SDK所收集的個人信息應進行加密傳輸。

（5）應在用戶同意隱私政策后，收集使用個人隱私數據。

4 結束語

海量的信息豐富了每一個接觸現代信息網絡的人的生活，與之共生的問題是絕大部分人在數據面前毫無隱私可言。在疫情防控期間，各省的防控小程序收集了身份證號碼、手機號、行蹤軌跡等大量敏感的個人信息，使得個人隱私保護被推上了風口浪尖。為了避免個人信息泄露，我們后續應當加強企業對個人信息安全使用的重視程度，增加開發人員的安全經驗，加大對違規收集個人隱私數據的APP的打擊力度，從嚴治理，同時加強行業自律。數據安全比不在與黑客的技術有多高級，更多的需要用戶自身加強防范意識，選擇可靠的軟件進行使用，定期修改密碼，做好自身防護工作，比起亡羊補牢可靠的多。

參考文獻

[1]中央網信辦，工業和信息化部，公安部，市場監管總局.APP違法違規收集使用個人信息行為認定方法[S].

[2]中國互聯網協會反網絡病毒聯盟.移動互聯網惡意代碼描述規范[S].

[3]王小群，韓志輝，徐劍，朱天，饒毓，擺亮，毛洪亮.2018年我國互聯網網絡安全態勢綜述[J].保密科學技術，2019（05）：4-9.

[4]聶國春 京東金融“竊圖”再引個人信息安全擔憂[N].《中國消費者報》.2019-02-26.

[5]馬慧，王鈺錚.手機APP侵害用戶權益的現象與本質[J].互聯網天地，2019（06）：51-52.