手机APP个人信息安全现状分析
[摘要]随着移动互联网的发展和智能终端的不断普及,手机APP得到广泛应用。但因行业发展不规范以及监管力度不够等原因,手机APP个人信息泄露事件频发。本文基于30款手机APP个人信息安全的检测结果,分析了个人信息泄露的原因,并从法律层面、政府层面、企业层面、个人层面等几个方面提出了解决个人信息泄露问题的建议。
[关键词]手机;APP;信息安全;个人信息;信息泄露
doi:.1673-0194.2020.18.089
[中图分类号]TP309[文献标识码]A[文章编号]1673-0194(2020)18-0-02
0引言
根据国家网信办发布的《移动互联网应用程序信息服务管理规定》,移动互联网应用程序(简称APP)指通过预装、下载等方式获取并运行在移动智能终端上、向用户提供信息服务的应用软件。随着移动互联网的快速发展和智能终端的不断普及,手机APP得到广泛应用。据工信部统计数据显示,截至2018年底,我国市场上有449万款APP,手机APP包括影音视听、实用工具、聊天社交、图书阅读、时尚购物、摄影摄像、学习教育、旅行交通、金融理财、娱乐消遣、新闻资讯、居家生活、体育运动、医疗健康和效率办公等类别,涵盖了人们生活和工作的方方面面。随着对手机APP的需求增多,APP的開发上线量骤增,但因行业发展不规范以及监管力度不够等原因,手机APP产品质量参差不齐,恶意收费、窃听、窃录、位置信息泄露等安全事件频发。2018年9月,中国消费者协会发布了《APP个人信息泄露情况调查报告》,结果表明85.2%的被调查人员经历过个人信息泄露事件。2018年11月,中国消费者协会又发布了《100款APP个人信息收集与隐私政策测评报告》,测评报告指出91款APP过度收集用户个人信息,59款APP过度收集位置信息。由此可见,手机APP个人信息安全问题不容忽视。
1手机APP个人信息安全调查
2019年9月,笔者所在单位对来自小米应用商店、华为应用商店和OPPO应用商店的30款手机APP安全性进行测试,其中,新闻资讯类手机APP产品15款,时尚购物类手机APP产品15款。测试项目包括安装与卸载、启动与退出、更新、收集用户数据、修改用户数据、流量耗费、费用损失、信息泄露及广告行为。测试结果显示:安装与卸载中的卸载不彻底3批次(10%);收集用户数据13批次(43%);修改用户数据6批次(20%);流量耗费15批次(50%);费用损失7批次(23%);信息泄露7批次(23%);广告行为中的存在通知栏广告13批次(43%),存在积分墙4批次(13%),具体数据如图1所示。
本文中安装与卸载指在下载和安装应用软件过程中捆绑下载其他应用软件;安装用户未知和未允许的第三方应用软件;用户无法随时卸载应用软件;卸载不彻底,在系统中留下应用软件的临时文件和活动程序或模块等问题。启动与退出指启动时自动连接某网站或链接,退出时未停止运行所有属于该软件的进程等问题。更新指在有更新版本时,未经用户允许自动更新。收集用户数据指在用户未确认的情况下开启通话录音、本地录音、拍照、摄像和定位等。修改用户数据指在用户无确认的情况下删除或修改用户电话本数据、通话记录、短信数据等。流量耗费指在用户无确认的情况下通过移动通信网络数据连接、WLAN网络连接和无线外围接口传送数据等。费用损失指在用户无确认的情况下拨打电话、发送短信、发送彩信和开启移动通信网络连接并收发数据等。信息泄露指在用户无确认的情况下读取并传送用户电话本数据、通话记录、短信数据、彩信数据、通话录音、本地录音、图片、视频、音频和定位信息等。广告行为指存在通知栏广告,未经用户许可创建桌面快捷方式、书签、图标或修改默认设置等方式进行广告展示。
1.1在收集用户数据检测项中
13款APP存在未向用户明示并经用户同意,擅自收集用户数据行为的风险,其中,11款APP为新闻资讯类APP,占比84.6%。自2017年7月1日实施《移动智能终端应用软件预置和分发管理暂行规定》以来,越来越多的手机应用APP开发企业开始通过用户提示、隐私协议签订等方式明示提供APP的信息,主要包括APP的名称、功能描述、开发者信息、软件安装及运行所需权限等,并明确告知用户APP收集、使用用户个人信息的内容、目的、方式和范围等。但由于缺乏监管力度,仍存在擅自泄露手机用户数据行为的问题,这类问题会给一些流氓软件可乘之机,获取用户手机里的资料,或者榨取更隐私的信息,比如银行账户等。尤其对于擅自获取的位置信息,不法分子能够根据手机定位信息分析个人行迹,对活动地点自动分析、归类,从而实施诈骗行为,给用户造成人身或财产伤害。
1.2在修改用户数据检测项中
6款APP存在未向用户明示并经用户同意,擅自修改用户数据行为的风险,这6款APP均为时尚购物类APP。时尚购物类APP通常需获取用户的通讯录、个人身份信息、个人财产信息、个人上网记录、个人位置信息等敏感信息,一旦获取后未向用户明示并经用户同意,擅自修改用户数据,将给用户造成人身或财产伤害。
1.3在信息泄露检测项中
7款APP存在未向用户明示并经用户同意,擅自调用终端通信功能,造成用户信息泄露行为的风险,其中,3款APP为新闻资讯类APP,4款APP为时尚购物类APP。目前,手机具有通讯录、短信、照片等数据备份功能,容易使不法分子获取个人身份信息、财产信息、上网记录、位置等敏感信息,导致用户莫名接收垃圾短信、骚扰电话,甚至出现财产损失。
2手机APP个人信息泄露原因
2.1个人安全意识及主动维权意识淡薄
中国消费者协会发布的《APP个人信息泄露情况调查报告》显示,能够认真阅读完应用权限和用户协议或隐私政策说明的受访者仅占19.7%,而26.2%的受访者从不阅读应用权限和用户协议或隐私政策。从调查数据可知,大部分手机用户保护个人信息安全意识淡薄,或由于网络技术知识欠缺和文字表述篇幅小等原因,或因为不授权就无法使用,或出于对APP运营商的信任,或认为用户协议内容都大同小异,导致一些消费者大致浏览或仅阅读重点章节,隐私政策文字说明甚至根本不阅读,这样容易遗漏重点信息或关键描述。在个人信息泄露后,消费者虽然会采取各种措施手段维护自身权益,但是选择消极应对和不采取任何措施的不在少数,消费者主动维权意识需要加强。
2.2APP开发商缺乏自律和责任感
GB/T35273《信息安全技术个人信息安全规范》中对APP隐私政策有明确规范,主要包括个人信息收集原则、收集个人敏感信息时明示同意、个人信息的保存及使用以及对外共享、转让、公开披露有关情况。虽然标准有规定,但事实上很多APP产品存在隐私政策不规范问题。中国消费者协会的调查结果显示,有的APP隐私条款不清,有的不主动向用户展示隐私条款或者展示内容晦涩难懂,有的不提供访问、更正、删除个人信息的途径,有的未遵循最小化收集个人信息规定,有的未明确告知用户个人信息的使用方式,有的存在默认同意或不提示阅读,还有一些存在“自行承担风险”等霸王条款,甚至有的APP根本没有隐私条款。这些现象反映出APP厂商缺乏自律,未严格遵守标准规定的有目的性地收集用户个人信息,对用户隐私的保护缺乏责任感。
2.3法律法规约束不足
现阶段,手机APP个人信息保护方面的法律法规主要有《网络安全法》和《电子商务法》,但还存在一些需要完善的地方,例如:《网络安全法》规定“收集使用个人信息,应遵循合法、正当、必要的原则”,但原则的界定存在争议。此外,发生个人信息泄露事件后举证困难、相应的处罚力度不足。如果不能在法律层面上形成强有力的约束,那么将很难规范这一领域的正常秩序。
3解决APP个人信息安全泄露问题的策略
3.1健全相关法律法规
目前,我国针对APP收集个人信息行为出台了一系列规范性文件和推荐性标准,但对消费者关心的惩戒手段和赔偿问题等涉及不深。建议进一步明确网络信息服务中,交易双方的权利和义务,尤其要约束APP运营者商的责任和义务。此外,在相关标准和指南中进一步细化APP运营者收集、使用个人信息的规范。
3.2提高政府监管能力
有关主管部门应严厉惩罚各类违法違规行为,严厉打击贩卖个人信息行为,按照《网络安全法》《消费者权益保护法》等依法予以处罚。常态化监管容易泄露个人隐私信息行为,因此,相关主管部门应密切关注APP市场的发展态势,建立定期抽查制度,及时公布抽查结果,对于存在泄露个人信息隐患的APP。提醒消费者谨慎下载使用。
3.3推行个人信息保护设计理念
APP个人信息安全问题大多是因为在设计之初侧重于完善功能性,轻视安全性,导致重视业务功能而忽视个人信息保护的客观现象。因此,APP运营商应重视个人信息安全问题,在组织运营管理和APP产品设计阶段,将信息安全性贯彻到技术、系统、操作等各个层面,全面提高个人信息保护水平。
3.4培育良好信息信用意识和使用习惯
对于用户而言,在下载或使用手机应用APP产品时,应注意以下几点:一是去正规的应用商店下载手机应用APP,选择官方版本,并安装正规的手机安全管家软件对个人信息进行保护;二是首次使用或注册前仔细阅读相关隐私协议,尽量不注册使用可疑的APP;三是通过后台设置,限制APP获取不必要的权限;四是认真应对。当发现个人信息被泄露时,应采取有效手段,及时主动维护自身权益,必要时向有关部门反映。