APP是移动互联网应用(Application)的英文缩写,是指通过预装或下载获取,并且运行在移动终端设备上,能向用户提供信息服务的应用软件[1]。据cnNIC(中国互联网络信息中心)发布的《第46次中国互联网络发展状况统计报告》披露,截至2020年6月我国手机网民规模达9.32亿,占全国网民规模的99.15%和全国人口的66.57%,而国内市场监测到的APP数量达359万款,可见我国移动互联网发展之迅猛,APP种类和数量之多。APP为人们获取信息服务提供了便利,然而其作为收集用户数据的入口,也存在大量强制索‖63‖权、过度收集用户信息的侵权现象,威胁个人信息安全[2],因此本文对APP个人信息安全现状及对策进行了研究。
1APP个人信息安全现状
1.1APP个人信息安全已引起社会的关注和政府的重视
《知识经济》记者田野[3]对发生在2019年2月16日至2019年3月21日期间的3起泄密事件做了报道,一起为网友举报某金融APP在后台自动获取用户使用手机信息的截图,二起为央视“3•15”晚会点名某个人社保查询APP泄露个人信息并进行了现场演示,三起为中国消费者报某招股书的社交电商云集存在泄露用户信息问题。这三起APP个人信息安全事件都引起了广泛的社会关注,尤其是央视揭露的APP得到了全网下架、提供服务的第三方公司停业整顿的处理结果。APP个人信息安全问题也得到政府部门的高度重视。据《APP违法违规收集使用个人信息专项治理报告(2019)》介绍,2019年1月中央网信办、工信部、公安部和市场监管总局联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》。经过一年的专项治理,APP违法违规收集使用个人信息典型问题得到遏制、企业个人信息保护能力水平显著提升、网民网络安全感总体提升、全社会关注和重视的氛围已基本形成成效。
1.2APP个人信息安全问题
在信息社会,信息是一种重要资源,个人信息具有人格利益和财产利益,前者可用于识别特定主体,后者蕴含着商业价值,可以用作商业营销和财产交易[4],所以APP开发商、服务商等通过APP超权限收集、转移、共享和售卖个人信息,给广大APP用户切身利益带来损害,甚至威胁社会稳定和国家安全,下面就将常见问题归纳如下:第一,强制索取权限收集、共享和滥用个人信息。强制索权就是APP要求从移动终端操作系统获得“最少够用”权限以外更多的权限,如果不接受可能无法安装、注册、登录、使用。例如某些手电筒APP要求获取摄像头使用权限以外,还要获得读取通讯录、位置信息的权限,而后面这些权限对手电筒功能发挥并无必要[5]。APP收集的信息上传至后台服务器后就摆脱了用户的控制,很多被APP运营商用于广告推送或与合作的第三方商家共享,甚至通过出售、转让牟利。例如某些外卖APP泄露的个人信息(包含姓名、住址、手机号等),在信息交易群上被明码标价售卖,5000条个人信息起售,平均每条售价0.07~0.12元,严重侵害APP用户隐私权、人身权和财产权。据中国信息通信研究院安全研究所发布的《移动应用(App)数据安全与个人信息保护白皮书(2019年)》(以下简称《白皮书》)报告,检测200多款常见APP发现存在1265项安全问题,在突出的不合规问题中,未公开收集使用规则的占48.5%,未明示收集使用个人信息目的的占46.0%,超范围收集个人信息的占42.0%,私自共享个人信息和未经用户同意收集使用个人信息的均占40.0%,可见APP强制收集、共享、滥用个人信息现象非常普遍。第二,卸载、注销不彻底,存在个人信息留存泄露风险。陈银平等[1]检测30款APP发现3批次卸载不彻底,系统中留有软件的临时文件、活动程序或模块,这些残余文件能在系统启动时自动连接APP指向的网站或链接。《白皮书》报告,20.5%的APP未提供注销功能,26.9%的APP提供了注销功能但注销流程烦琐费时,这就造成一种结果:用户注册后难以顺利注销,留存的个人信息被APP运营商长期留存。一些APP运营商工作人员监守自盗,利用这些留存信息牟利,导致用户不得不长时间面对推销、诈骗电话或短信的骚扰。第三,明文存储信息,给网络黑客截获、利用信息提供了便利。《白皮书》报告,在被检测的APP中,四分之一的APP采用明文存储运行日志、设备信息、用户数据等,这些信息很容易被不法分子截获并利用。目前,传统互联网中存在的病毒木马、恶意程序等已渗透到移动互联网中,黑客截获APP用户个人信息并非难事,甚至还能篡改和删除用户数据[6]。第四,用户不能自己选择开启或关闭个性化服务选项。宁华等[2]介绍,有84.82%的APP可以不经用户同意即推送个性化服务,用户被迫接受APP运营商的“精准推销”。
2应对APP个人信息安全威胁的策略
2.1健全法律制度,严格执法监督
我国多个法律制度文件中均有涉及个人信息保护的文字,但就立法制度而言呈现“碎片化”特点,存在侵权主体责任不明确、对个人信息权益保障不足够、司法救济措施不完善、行政监督“九龙治水”等问题,所以应加强法律制度建设,可借鉴国际上成功的一些做法,完善个人信息收集、处理、利用保护的制度,加快《个人信息保护法》的立法程序。目前,个人信息行政监管主体涉及多个部门,监督执法低效,而且存在交叉管理漏洞,应成立专门的监督机构,在现行法律制度框架下专责监管责任,该机构可实施分层管理,中央层级负责统筹协调,地方层级负责监管执行,相关职能部门配合协作。在监管流程上应将重点放在事前和事中,以便从源头上预防APP个人信息越权收集、共享和滥用。
2.2明确主体责任,督促行业自律
APP用户个人相对APP运营商等主体处于弱势地位,以前述网友举报某金融APP非授权收集个人信息为例,在截图举证情况下该金融平台仍两次否认非授权收集用户信息,结果“大事化小,小事化了”,更多情况下,由于信息不对称,甚至连举证都做不到,为此可按照过错推定原则明确APP平台侵权行为的责任,根据损害事实、违规行为与损害事实的因果关系等认定侵权,以此确定APP运营商、平台及其他义务主体的责任,提高违法成本。行业自律可在政府监管之前督促APP平台等主体遵守行业规则,所以应鼓励APP相关主体成立行业协会,制定行规和操作准则,统一个人信息保护标准,建立争议听证、复核、解决和赔偿制度,通过奖惩机制约束会员行为,促进行业自律,为APP个人信息安全提供多方位保护。
2.3加强技术研究,堵塞安全漏洞
APP个人信息安全与传统层面的个人隐私保护有所不同,后者更突出精神层面的人格尊严,前者更注重具有经济价值的信息支配权,而且当代信息技术更新迭代之快也远非以前可比,这个特点决定了加强APP安全技术研究的重要性。一是强化安全保障技术,例如开发安全芯片、漏洞修复及其他安全防护技术。二是开发安全水平高的APP。要求应用服务开发人员在整个开发周期内都遵循安全编码原则,采用最新的操作系统及外部代码库、高等级API和安全SDK、身份认证、安全存储与安全传输等技术。三是规范APP收集使用、信息共享、推送及权限调用规则,信息收集使用必须告知收集的目的、范围、内容、方式、频次、保护措施等,信息共享须保证可追溯性,信息推送及权限调用应保证用户知情并可控制。四是建立APP分发上架审核机制,即APP进入应用商店前,分发平台要对APP开发者资质、安全措施进行严格审核,并且定期复核已上架APP的安全性,凡是安全审核不过关的都要下架。
2.4扩大宣传力度,提高安全意识
在信息爆炸时代,APP安全风险无处不在,提高个人安全意识对于个人信息安全也是非常重要的,为此应加强宣传引导,通过恶意代码植入、后门、信息盗用、网络诈骗、财产损失等个人信息泄露案例的分析,引导广大手机网民充分认识个人信息安全威胁的严重性,学会如何识别个人信息安全威胁,保持对自身个人信息安全的警觉性,养成安全使用APP的良好习惯。其次,提高APP用户的维权意识。国家应持续不断地加强法律知识宣传教育,引导公民拿起法律武器维护自己的合法权益。主动维权的人越多,对越权收集、共享、滥用个人信息主体的压力就会越大,违法成本也会越高,全社会形成“过街老鼠人人喊打”的氛围,那些企图通过滥用APP个人信息牟利的人才会越来越少。
3结语
针对APP存在越权收集、共享和滥用个人信息,卸载、注销不彻底,明文存储信息,个性化服务选项不能自己选择开启或关闭等问题,本文提出了健全法律制度、严格执法监督、明确主体责任、督促行业自律、加强安全技术研究、提高手机网民安全意识的对策。
参考文献:
[1]陈银平,刘艳.手机APP个人信息安全现状分析——基于30款手机APP的测试结果[J].中国管理信息化,2020,23
《APP个人信息安全现状及对策研究》来源:《网络安全技术与应用》,作者:严玉慧 杨之恺