手機App個人信息安全風險與防范

近年來，隨著手機的智能化和通信技術的快速發展，我們正逐步邁向以智能手機為標志的移動互聯網時代，從社交娛樂到移動支付，手機已經滲透到我們生活和工作中的方方面面。然而，在享受移動互聯網時代帶來的各種便利的同時，不得不面對隨之而來的個人信息安全問題，2018年9月，中國消費者協會發布了《App個人信息泄露情況調查報告》，85.2%的受訪者遭遇過信息泄露情況，當用戶個人信息泄露后，約86.5%的受訪者曾收到推銷電話或短信的騷擾，約75.0%的受訪者接到詐騙電話，約63.4%的受訪者收到垃圾郵件。可見，手機App個人信息安全問題不容小覷。

2019年3月15日，央視“3·15”晚會揭露了一款名為“社保掌上通”的熱門個人社保查詢App泄露用戶個人信息的問題。主持人在現場演示查詢信息時，網絡安全專家通過抓取分析數據包發現，用戶的信息已被發送至一家大數據公司的服務器。在此過程中，用戶會被默認同意一份授權協議，包括不可撤銷地授權使用用戶社保賬戶密碼、采集用戶個人信息等諸多條款。

隨著互聯網業務向移動終端大面積轉移，加上移動終端用戶黏性大、實時在線率高等特點，各類安全威脅也紛紛向移動終端轉移，上述“社保掌上通”App泄露用戶信息的情況也只是當下手機App信息安全領域的冰山一角。

一、手機App泄露個人信息的途徑

（一）越界獲取隱私權限

根據《公共及商用服務信息系統個人信息保護指南》，手機App在使用個人信息時需要對個人信息主體盡到告知、說明和警示的義務，以及如實向個人信息主體告知個人信息的收集和使用范圍、個人信息的保護措施等。處理個人信息時要遵循“最小夠用”原則，要征得個人信息主體同意等原則。然而，據有關研究機構發布的《App個人隱私研究報告》，超功能范圍申請、收集、上傳用戶信息仍是目前手機App普遍存在的現象。

（1）手機聯系人權限。數據顯示，2018年中國各類手機App調用讀取聯系人權限已成隱私侵犯重災區，社交、視頻、網購等六類App讀取聯系人權限占比超過50%，最高的達到86.7%。究其原因，與手機App廠商推動平臺社交路徑傳播、打造熟人社區的營銷策略息息相關。

（2）讀取短信權限。App讀取短信權限常用于自動提取用戶短信驗證碼，有助于用戶提高App短信驗證操作的效率。但在針對用戶其余個人短信的讀取上，App的讀取權限并未受到有效監督或限制，部分不法App或可通過該權限調用，實現對用戶短信信息的竊取。數據顯示，移動資訊閱讀、社交、理財、旅游四類App調用權限占比不低于30.0%，嚴重威脅用戶隱私信息安全。

（3）獲取定位信息。根據手機App功能，地圖類、旅游類、網購類、社交類App具備定位功能，獲取用戶位置信息有利于提供更準確的服務，屬于合理訴求。但是調查顯示，部分移動視頻、音頻、資訊閱讀、工具類手機App仍存在調取、濫用定位信息情況。

（二）植入木馬病毒

智能手機主要操作系統包括Android和iOS。iOS系統相對安全，Android系統則更為開放，除官方應用商城外，部分App開發商會通過彈窗、廣告等形式，為用戶推送含有木馬病毒的App下載鏈接，用戶點擊下載并安裝后，木馬病毒就會自動掃描手機中通信、短信、賬號密碼等個人隱私信息，并將相關數據回傳服務器[4]，造成用戶信息泄露。2019年3月，360公司發布的《2018年中國手機安全狀況報告》顯示，2018年全年共截獲移動端新增惡意程序樣本434.2萬個，平均每天新增1.2萬個，其中隱私竊取類占比33.7%，嚴重威脅用戶個人信息安全。

（三）售賣用戶隱私

除上述兩個手機App信息泄露途徑之外，還有App廠商相互分享、買賣用戶數據等途徑，很多用戶都有這樣的體驗，剛剛在某App中瀏覽某類商品，很快就會在其他平臺中收到同類商品的推廣信息。事實上，售賣用戶隱私信息已形成灰色產業鏈，《App個人信息泄露情況調查報告》結果顯示，經營者或不法分子故意泄露、出售或者非法向他人提供個人信息的比例達到調查樣本的60.6%，各App廠商掌握的網頁瀏覽記錄、閱讀痕跡、支付記錄等碎片信息通過大數據分析整合，在精準地尋找用戶、提供服務的同時，也為不法分子實施違法行為提供了便利。

二、手機App個人信息泄露的原因

（一）個人隱私保護意識淡薄

著名的新經濟行業數據挖掘和分析機構艾媒咨詢（iiMediaResearch）發布的《2018年中國手機App隱私權限測評報告》稱，63.3%的受訪者表示在安裝手機App時沒有仔細閱讀隱私條款，24.3%的受訪者從來不閱讀隱私條款。這反映了大部分手機用戶都或多或少存在個人隱私保護意識淡薄的問題，有的用戶受限于網絡技術知識欠缺和App隱私條款文字篇幅長等原因，或者明知道可能會有泄露個人信息的危險還抱有僥幸心理，甚至認為是小問題無所謂，嘗到隱私泄露惡果的時候主動維權意識不強，多數人選擇自認倒霉，客觀上縱容了手機App信息泄露的愈演愈烈，形成惡性循環。

（二）廠商缺乏自律和責任感

據中國消費者協會調查結果，有的App中未發現對涉及個人信息的告知說明；有的App在完成用戶信息采集之后才出現《用戶協議》；有的App存在告知聲明中對個人信息的描述不準確、不清晰的現象，大部分關于個人信息保護的說明不容易被發現，用戶經常需要經過兩次及以上的點擊次數才能找到相關內容；有的App則強制用戶同意相關隱私條款，否則無法正常使用，反映了手機App廠商缺乏自律，企圖“蒙混過關”，有目的性地收集用戶個人信息，沒有做到真正意義上的公開透明，對于網絡空間公民隱私的保護缺乏責任感。

（三）法律層面約束不足

目前，我國在關于手機App個人信息保護方面的法律法規主要有《網絡安全法》《電子商務法》等，但仍存在很多亟待完善之處，例如對“個人信息”的界定標準不明確、手機App收集用戶信息“正當、合法、必要”3個原則的界定存在爭議，發生信息泄露后的舉證難、處罰力度不足等，無法在法律高度形成強約束力、牢牢牽住個人信息安全保護的“牛鼻子”，那么就很難規范這一領域的正常秩序。

三、防范對策

隨著“互聯網+”行動的進一步深入，未來智能手機的應用將在我們的生活中無處不在，其安全問題更加不能小視。我們需要從多方面多管齊下，盡力避免手機App泄露個人隱私信息事件的發生。

（一）個人層面

在選擇使用手機App時要做到“一個提高”和“四個注意”：“一個提高”是要提高個人隱私保護意識，移動互聯網時代智能手機和App產品日新月異，不法分子竊取隱私信息的手段也是“水漲船高”，高度重視個人隱私信息的無形價值，從主觀上提高隱私保護意識，分享、使用個人隱私信息時保持警惕，是在復雜多變的虛擬世界中構筑的第一道安全防線�！八膫�注意”具體來說，一是要注意選用安全合規的App產品和服務，并選擇正規渠道進行下載安裝，謹慎點擊來源不明的App下載鏈接，從源頭上杜絕木馬病毒，并安裝手機殺毒App，定期對手機進行安全檢測；二是要注意認真閱讀App的應用權限和用戶協議或隱私政策說明，了解操作注意事項；三是要注意培育良好使用習慣，不隨意開放和同意不必要的隱私權限，不隨意輸入個人隱私信息，定期維護和清理相關數據；四是要注意認真應對個人隱私信息被泄露的問題，發現個人信息被泄露問題時，要通過有效手段及時主動維權，必要時向有關部門反映，用法律武器維護自己的權利和利益。

（二）廠商層面

首先，手機App廠商必須樹立用戶維權第一責任人的意識，堅守安全底線，強化對用戶個人信息的保護責任；其次，應當通過合理合法的方式獲知用戶數據，并采取有效措施，確保用戶個人信息和數據安全，用服務質量和安全保障贏取用戶的選擇和信任；再次，提供相關服務和履行告知義務時，應該通過簡潔醒目、通俗易懂的方式，避免消費者的誤解和誤讀；最后，企業應當充分聽取和尊重用戶的合理訴求和意見并及時反饋處理，提升用戶滿意度和信賴感。

（三）法律層面

當前，移動互聯網黑色利益鏈錯綜復雜，形成了以開發、傳播、運營到最后利益整合分配的流水作業模式，甚至完成了從作坊式個人生產到集團化運作的規模性轉變。2019年兩會期間，部分政協委員和人大代表再度聚焦個人隱私保護，重申泄露隱私事件的頻發根本原因在于立法滯后、監管力度不夠、司法保護薄弱等，呼吁加快個人信息保護法以及其他相關法律的立法進程。要在法律層面保障發生泄露隱私信息事件時，讓民眾投訴有門，提高網絡取證技術能力，加大對網絡犯罪的打擊力度，營造一個安全綠色的網絡應用環境，切實保障民眾的合法權益。

 

（原載于《保密科學技術》雜志2019年8月刊）