魏昂 李東格 呂堯

摘? ?要：近年來(lái)，手機(jī)APP強(qiáng)制授權(quán)、過(guò)度索權(quán)、超范圍收集個(gè)人信息的現(xiàn)象大量存在，APP背后的個(gè)人隱私安全問(wèn)題面臨著嚴(yán)峻挑戰(zhàn)。為了更好的保障個(gè)人隱私安全，文章分析了APP個(gè)人隱私安全存在的制度不完善、越界獲權(quán)等威脅，通過(guò)對(duì)APP隱私安全治理進(jìn)行研究，設(shè)計(jì)了隱私政策內(nèi)容及制定規(guī)范，并從法律、政府職能、開(kāi)發(fā)管理者、個(gè)人層面提出安全防范對(duì)策。

關(guān)鍵詞：APP;隱私安全;隱私政策;防范對(duì)策

1 引言

伴隨著移動(dòng)互聯(lián)網(wǎng)相關(guān)技術(shù)的快速發(fā)展和應(yīng)用，我國(guó)移動(dòng)設(shè)備和智能終端占據(jù)市場(chǎng)規(guī)模份額持續(xù)增長(zhǎng)，移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（Application，APP）市場(chǎng)不斷活躍。據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心統(tǒng)計(jì)，我國(guó)境內(nèi)應(yīng)用商店數(shù)量已超過(guò)200家，上架APP近500萬(wàn)款，下載總量超過(guò)萬(wàn)億次，發(fā)展勢(shì)頭迅猛。移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序正不斷地滲透到人們的日常生活、學(xué)習(xí)、工作中。

在各類(lèi)APP為人們生活帶來(lái)便捷的同時(shí)，APP背后的個(gè)人隱私安全問(wèn)題也日益突出。例如超范圍收集個(gè)人信息、強(qiáng)制授權(quán)、過(guò)度索權(quán)的現(xiàn)象屢禁不止，APP隱私政策缺失或設(shè)計(jì)不足，大量個(gè)人隱私信息包括賬號(hào)信息、IMEI、短信、通訊錄、通話記錄嚴(yán)重外泄，卻無(wú)法追究責(zé)任，違法違規(guī)使用用戶個(gè)人信息的問(wèn)題十分突出。

2 APP個(gè)人隱私安全威脅

2.1 隱私政策不完善

自《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱(chēng)“網(wǎng)絡(luò)安全法”）[1]的正式實(shí)施以來(lái)，APP行業(yè)標(biāo)準(zhǔn)日益完善，大部分APP開(kāi)發(fā)管理者已經(jīng)意識(shí)到個(gè)人信息保護(hù)的重要性，按照相關(guān)法律法規(guī)制定了隱私政策并公開(kāi)發(fā)布。但是仍有一部分APP未以單獨(dú)成文的形式發(fā)布隱私政策，而是作為用戶協(xié)議、用戶說(shuō)明等文件中的一部分，甚至無(wú)隱私政策。即使是制定了隱私政策的APP，仍存在著隱私政策描述不清晰、不完整的問(wèn)題，未能逐一說(shuō)明APP涉及收集個(gè)人信息的各項(xiàng)業(yè)務(wù)功能及其收集的個(gè)人信息類(lèi)型，也未能清晰完整地描述個(gè)人信息處理規(guī)則等情況。

目前，雖然沒(méi)有明確的法律法規(guī)明文規(guī)定APP上架必須具有隱私政策，但是APP開(kāi)發(fā)管理者應(yīng)當(dāng)制定并完善單獨(dú)成文的隱私政策，明確告知用戶個(gè)人信息收集、使用、存在的危險(xiǎn)等內(nèi)容，保障用戶個(gè)人信息的安全性。

2.2 越界違規(guī)獲取隱私信息

根據(jù)《網(wǎng)絡(luò)安全法》第四十一條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開(kāi)收集、使用規(guī)則，明確收集、使用信息的目的、方式和范圍，并經(jīng)過(guò)被收集者的同意。處理個(gè)人信息要遵循“最小夠用”原則，要征得個(gè)人信息主體同意等原則。但是，根據(jù)中國(guó)消費(fèi)者協(xié)會(huì)發(fā)布的《100款A(yù)PP個(gè)人信息收集與隱私政策測(cè)評(píng)報(bào)告》顯示，91款A(yù)PP列出的權(quán)限涉嫌“越界”，越界違規(guī)獲取了定位、通訊錄、攝像頭等信息APP占總比91%，APP涉嫌過(guò)度收集或使用個(gè)人信息情況如圖1所示。

2.3 第三方SDK良莠不齊

SDK（Software Development Kit）[2]即軟件開(kāi)發(fā)工具包。很多互聯(lián)網(wǎng)初創(chuàng)型企業(yè)，在創(chuàng)業(yè)之初，由于資金和人力方面的限制，APP運(yùn)營(yíng)者為了節(jié)約開(kāi)發(fā)成本、提高工作效率，通常都會(huì)使用多種第三方的SDK。

第三方開(kāi)發(fā)的SDK在設(shè)計(jì)能力上也是良莠不齊，有些SDK往往側(cè)重于功能性的完善，而在安全性方面考慮不足，從而導(dǎo)致APP使用第三方SDK時(shí)會(huì)發(fā)生許多安全問(wèn)題。一些APP對(duì)嵌入的第三方SDK未采取任何明示方式告知用戶SDK收集個(gè)人信息目的、方式、范圍，利用第三方SDK隱瞞收集個(gè)人信息標(biāo)識(shí)、軌跡、個(gè)人偏好、網(wǎng)絡(luò)設(shè)備信息等類(lèi)型的個(gè)人信息，并向遠(yuǎn)程服務(wù)器甚至境外服務(wù)器進(jìn)行回傳。

2.4 手機(jī)病毒勒索

手機(jī)病毒是一種具有傳染性、破壞性的手機(jī)惡意程序，可以做到侵入用戶手機(jī)、獲取個(gè)人短信、通訊錄等信息，APP用戶卻毫不知情。據(jù)呂云峰[3]文章研究顯示，近年來(lái)手機(jī)病毒增長(zhǎng)迅速，主要以信息竊取、資費(fèi)消耗、流氓行為、惡意扣費(fèi)為主。手機(jī)病毒類(lèi)型比例如圖2所示，其中信息竊取類(lèi)病毒占比26%，位居第一，其次是資費(fèi)消耗類(lèi)病毒占比25%，第三名是流氓行為類(lèi)病毒占比18%。

除官方應(yīng)用商城外，部分APP開(kāi)發(fā)商會(huì)通過(guò)彈窗、廣告等形式，為用戶推送含有木馬病毒的APP下載鏈接，用戶點(diǎn)擊下載并安裝后，病毒就會(huì)自動(dòng)掃描手機(jī)中通信、短信、賬號(hào)密碼等個(gè)人隱私信息[4]，并將相關(guān)數(shù)據(jù)回傳服務(wù)器，嚴(yán)重威脅用戶個(gè)人信息安全。

3 APP隱私安全治理研究

3.1 指導(dǎo)和政策

自2016年以來(lái)，我國(guó)制定了多項(xiàng)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序服務(wù)管理規(guī)范，有效指導(dǎo)APP運(yùn)營(yíng)者加強(qiáng)用戶個(gè)人信息保護(hù)，規(guī)范市場(chǎng)秩序。我國(guó)近年來(lái)制定的個(gè)人信息保護(hù)指導(dǎo)與政策文件如表1所示。

為了更好的保障個(gè)人信息安全，維護(hù)廣大網(wǎng)民合法權(quán)益。中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局于2019年在全國(guó)范圍內(nèi)組織開(kāi)展APP違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理，組織開(kāi)展移動(dòng)應(yīng)用專(zhuān)項(xiàng)評(píng)估。專(zhuān)項(xiàng)治理工作初見(jiàn)成效，發(fā)布了包括《APP違法違規(guī)收集使用個(gè)人信息自評(píng)估指南》《網(wǎng)絡(luò)安全實(shí)踐指南—移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定辦法》等多項(xiàng)隱私安全治理指導(dǎo)文件。

3.2 隱私政策制定規(guī)范

隱私政策文件將作為APP上線的基本規(guī)范內(nèi)容，APP開(kāi)發(fā)管理者應(yīng)明確按照相關(guān)法律法規(guī)，制定內(nèi)容清晰易懂，符合通用語(yǔ)言習(xí)慣，易于訪問(wèn)（少于五次點(diǎn)擊可訪問(wèn)）的成文隱私政策。同時(shí)應(yīng)保證隱私政策所告知的信息應(yīng)真實(shí)、準(zhǔn)確、完整，當(dāng)APP功能發(fā)生變化時(shí)，應(yīng)及時(shí)更新隱私政策并重新告知個(gè)人信息主體。若APP無(wú)獨(dú)立成文的隱私政策，監(jiān)管部門(mén)應(yīng)指導(dǎo)各應(yīng)用商店拒絕其上架。

隱私政策制定規(guī)范內(nèi)容，參考畢穎[5]提出的報(bào)告指南，包括但不限于八點(diǎn)。

（1） 個(gè)人信息控制者的基本情況，包括注冊(cè)名稱(chēng)、注冊(cè)地址、常用辦公地點(diǎn)和相關(guān)負(fù)責(zé)人的聯(lián)系方式等。

（2） 收集、使用個(gè)人信息的目的，以及目的所涵蓋的各個(gè)業(yè)務(wù)功能，例如將個(gè)人信息用于推送商業(yè)廣告，將個(gè)人信息用于形成直接用戶畫(huà)像及其用途等。

（3） 各業(yè)務(wù)功能分別收集的個(gè)人信息，以及收集方式和頻率、存放地域、存儲(chǔ)期限等個(gè)人信息處理規(guī)則和實(shí)際收集的個(gè)人信息范圍。

（4） 對(duì)外共享、轉(zhuǎn)讓、公開(kāi)披露個(gè)人信息的目的、涉及的個(gè)人信息類(lèi)型、接收個(gè)人信息的第三方類(lèi)型，以及所承擔(dān)的相應(yīng)法律責(zé)任。

（5） 遵循的個(gè)人信息安全基本原則，具備的數(shù)據(jù)安全能力，以及采取的個(gè)人信息安全保護(hù)措施。

（6） 個(gè)人信息主體的權(quán)利和實(shí)現(xiàn)機(jī)制，如訪問(wèn)方法、更正方法、刪除方法、注銷(xiāo)賬戶的方法、撤回同意的方法、獲取個(gè)人信息副本的方法、約束信息系統(tǒng)自動(dòng)決策的方法等。

（7）提供個(gè)人信息后可能存在的安全風(fēng)險(xiǎn)，及不提供個(gè)人信息可能產(chǎn)生的影響。

（8） 處理個(gè)人信息主體詢問(wèn)、投訴的渠道和機(jī)制，以及外部糾紛解決機(jī)構(gòu)及聯(lián)絡(luò)方式。

4 APP隱私安全防范對(duì)策

在數(shù)據(jù)時(shí)代下，APP個(gè)人隱私安全需要社會(huì)各界共同努力。一是國(guó)家立法部門(mén)應(yīng)建立更完善的網(wǎng)絡(luò)隱私保護(hù)立法，為消費(fèi)者個(gè)人信息安全提供最根本的制度保障。二是各部門(mén)應(yīng)采取嚴(yán)厲手段，對(duì)違法使用個(gè)人信息進(jìn)行牟利行為進(jìn)行打擊。三是APP開(kāi)發(fā)管理者應(yīng)開(kāi)發(fā)更加完善的個(gè)人信息保護(hù)手段，避免第三方惡意SDK造成個(gè)人信息泄露的威脅;同時(shí)應(yīng)建立規(guī)范的隱私政策，并積極提示用戶閱讀;對(duì)于權(quán)限的調(diào)用，個(gè)人敏感信息的采集，應(yīng)明確告知目的并通過(guò)顯著方式提醒用戶，充分保障用戶知情權(quán)和自愿權(quán)。四是APP使用者下載手機(jī)軟件時(shí)一定要通過(guò)正規(guī)應(yīng)用市場(chǎng)下載，切勿直接點(diǎn)擊不安全的網(wǎng)頁(yè)彈窗安裝;同時(shí)積極閱讀隱私政策，明確個(gè)人信息收集規(guī)則，盡量減少APP權(quán)限的授予，避免非必要權(quán)限授權(quán);最后，當(dāng)發(fā)現(xiàn)強(qiáng)制、隱瞞開(kāi)啟權(quán)限，隱私收集個(gè)人信息的軟件，及時(shí)向APP專(zhuān)項(xiàng)治理組或有關(guān)部門(mén)舉報(bào)。

5 結(jié)束語(yǔ)

隨著移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序數(shù)量不斷增長(zhǎng)，APP的安全問(wèn)題需求和呼聲也越來(lái)越高。本文首先分析了APP個(gè)人隱私安全存在的APP隱私政策不完善、越界違規(guī)獲取隱私權(quán)限、第三方SDK良莠不齊和病毒勒索威脅。接著進(jìn)行隱私安全治理相關(guān)研究，并針對(duì)隱私政策設(shè)計(jì)了指導(dǎo)規(guī)范。最后應(yīng)對(duì)APP隱私安全，從上層法律法規(guī)到開(kāi)發(fā)管理者最后到使用者，提出了APP隱私安全保護(hù)策略。

參考文獻(xiàn)

[1] 全國(guó)人大常委會(huì).中華人民共和國(guó)網(wǎng)絡(luò)安全法[EB/OL]. http：//xxzx.mca.gov.cn/article/wlaqf2017/wjjd/201705/20170500891068.shtml.

[2] Anonymous. Software development kit[J]. Laser Focus World，2019，55（7）.

[3] 呂云峰.2018年瑞星網(wǎng)絡(luò)安全報(bào)告與趨勢(shì)展望[J].信息安全研究，2019，5（03）：186-191.

[4] 仲田.向過(guò)度索權(quán)的手機(jī)APP“開(kāi)刀”[J].智慧中國(guó)， 2019（06）：72-73.

[5] 畢穎.《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》劍指何方[J].保密工作，2019（07）：60-62.