魏昂 李东格 吕尧
摘 要:近年来,手机APP强制授权、过度索权、超范围收集个人信息的现象大量存在,APP背后的个人隐私安全问题面临着严峻挑战。为了更好的保障个人隐私安全,文章分析了APP个人隐私安全存在的制度不完善、越界获權等威胁,通过对APP隐私安全治理进行研究,设计了隐私政策内容及制定规范,并从法律、政府职能、开发管理者、个人层面提出安全防范对策。
关键词:APP;隐私安全;隐私政策;防范对策
1 引言
伴随着移动互联网相关技术的快速发展和应用,我国移动设备和智能终端占据市场规模份额持续增长,移动互联网应用程序(Application,APP)市场不断活跃。据国家互联网应急中心统计,我国境内应用商店数量已超过200家,上架APP近500万款,下载总量超过万亿次,发展势头迅猛。移动互联网应用程序正不断地渗透到人们的日常生活、学习、工作中。
在各类APP为人们生活带来便捷的同时,APP背后的个人隐私安全问题也日益突出。例如超范围收集个人信息、强制授权、过度索权的现象屡禁不止,APP隐私政策缺失或设计不足,大量个人隐私信息包括账号信息、IMEI、短信、通讯录、通话记录严重外泄,却无法追究责任,违法违规使用用户个人信息的问题十分突出。
2 APP个人隐私安全威胁
2.1 隐私政策不完善
自《中华人民共和国网络安全法》(以下简称“网络安全法”)[1]的正式实施以来,APP行业标准日益完善,大部分APP开发管理者已经意识到个人信息保护的重要性,按照相关法律法规制定了隐私政策并公开发布。但是仍有一部分APP未以单独成文的形式发布隐私政策,而是作为用户协议、用户说明等文件中的一部分,甚至无隐私政策。即使是制定了隐私政策的APP,仍存在着隐私政策描述不清晰、不完整的问題,未能逐一说明APP涉及收集个人信息的各项业务功能及其收集的个人信息类型,也未能清晰完整地描述个人信息处理规则等情况。
目前,虽然没有明确的法律法规明文规定APP上架必须具有隐私政策,但是APP开发管理者应当制定并完善单独成文的隐私政策,明确告知用户个人信息收集、使用、存在的危险等内容,保障用户个人信息的安全性。
2.2 越界违规获取隐私信息
根据《网络安全法》第四十一条规定,网络运营者收集、使用个人信息应当遵循合法、正当、必要的原则,公开收集、使用规则,明确收集、使用信息的目的、方式和范围,并经过被收集者的同意。处理个人信息要遵循“最小够用”原则,要征得个人信息主体同意等原则。但是,根据中国消费者协会发布的《100款APP个人信息收集与隐私政策测评报告》显示,91款APP列出的权限涉嫌“越界”,越界违规获取了定位、通讯录、摄像头等信息APP占总比91%,APP涉嫌过度收集或使用个人信息情况如图1所示。
2.3 第三方SDK良莠不齐
SDK(Software Development Kit)[2]即软件开发工具包。很多互联网初创型企业,在创业之初,由于资金和人力方面的限制,APP运营者为了节约开发成本、提高工作效率,通常都会使用多种第三方的SDK。
第三方开发的SDK在设计能力上也是良莠不齐,有些SDK往往侧重于功能性的完善,而在安全性方面考虑不足,从而导致APP使用第三方SDK时会发生许多安全问题。一些APP对嵌入的第三方SDK未采取任何明示方式告知用户SDK收集个人信息目的、方式、范围,利用第三方SDK隐瞒收集个人信息标识、轨迹、个人偏好、网络设备信息等类型的个人信息,并向远程服务器甚至境外服务器进行回传。
2.4 手机病毒勒索
手机病毒是一种具有传染性、破坏性的手机恶意程序,可以做到侵入用户手机、获取个人短信、通讯录等信息,APP用户却毫不知情。据吕云峰[3]文章研究显示,近年来手机病毒增长迅速,主要以信息窃取、资费消耗、流氓行为、恶意扣费为主。手机病毒类型比例如图2所示,其中信息窃取类病毒占比26%,位居第一,其次是资费消耗类病毒占比25%,第三名是流氓行为类病毒占比18%。
除官方应用商城外,部分APP开发商会通过弹窗、广告等形式,为用户推送含有木马病毒的APP下载链接,用户点击下载并安装后,病毒就会自动扫描手机中通信、短信、账号密码等个人隐私信息[4],并将相关数据回传服务器,严重威胁用户个人信息安全。
3 APP隐私安全治理研究
3.1 指导和政策
自2016年以来,我国制定了多项移动互联网应用程序服务管理规范,有效指导APP运营者加强用户个人信息保护,规范市场秩序。我国近年来制定的个人信息保护指导与政策文件如表1所示。
为了更好的保障个人信息安全,维护广大网民合法权益。中央网信办、工业和信息化部、公安部、市场监管总局于2019年在全国范围内组织开展APP违法违规收集使用个人信息专项治理,组织开展移动应用专项评估。专项治理工作初见成效,发布了包括《APP违法违规收集使用个人信息自评估指南》《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》《APP违法违规收集使用个人信息行为认定办法》等多项隐私安全治理指导文件。
3.2 隐私政策制定规范
隐私政策文件将作为APP上线的基本规范内容,APP开发管理者应明确按照相关法律法规,制定内容清晰易懂,符合通用语言习惯,易于访问(少于五次点击可访问)的成文隐私政策。同时应保证隐私政策所告知的信息应真实、准确、完整,当APP功能发生变化时,应及时更新隐私政策并重新告知个人信息主体。若APP无独立成文的隐私政策,监管部门应指导各应用商店拒绝其上架。
隐私政策制定规范内容,参考毕颖[5]提出的报告指南,包括但不限于八点。
(1) 个人信息控制者的基本情况,包括注册名称、注册地址、常用办公地点和相关负责人的联系方式等。
(2) 收集、使用个人信息的目的,以及目的所涵盖的各个业务功能,例如将个人信息用于推送商业广告,将个人信息用于形成直接用户画像及其用途等。
(3) 各业务功能分别收集的个人信息,以及收集方式和频率、存放地域、存储期限等个人信息处理规则和实际收集的个人信息范围。
(4) 对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型,以及所承担的相应法律责任。
(5) 遵循的个人信息安全基本原则,具备的数据安全能力,以及采取的个人信息安全保护措施。
(6) 个人信息主体的权利和实现机制,如访问方法、更正方法、删除方法、注销账户的方法、撤回同意的方法、获取个人信息副本的方法、约束信息系统自动决策的方法等。
(7)提供个人信息后可能存在的安全风险,及不提供个人信息可能产生的影响。
(8) 处理个人信息主体询问、投诉的渠道和机制,以及外部纠纷解决机构及联络方式。
4 APP隐私安全防范对策
在数据时代下,APP个人隐私安全需要社会各界共同努力。一是国家立法部门应建立更完善的网络隐私保护立法,为消费者个人信息安全提供最根本的制度保障。二是各部门应采取严厉手段,对违法使用个人信息进行牟利行为进行打击。三是APP开发管理者应开发更加完善的个人信息保护手段,避免第三方恶意SDK造成个人信息泄露的威脅;同时应建立规范的隐私政策,并积极提示用户阅读;对于权限的调用,个人敏感信息的采集,应明确告知目的并通过显著方式提醒用户,充分保障用户知情权和自愿权。四是APP使用者下载手机软件时一定要通过正规应用市场下载,切勿直接点击不安全的网页弹窗安装;同时积极阅读隐私政策,明确个人信息收集规则,尽量减少APP权限的授予,避免非必要权限授权;最后,当发现强制、隐瞒开启权限,隐私收集个人信息的软件,及时向APP专项治理组或有关部门举报。
5 结束语
随着移动互联网应用程序数量不断增长,APP的安全问题需求和呼声也越来越高。本文首先分析了APP个人隐私安全存在的APP隐私政策不完善、越界违规获取隐私权限、第三方SDK良莠不齐和病毒勒索威胁。接着进行隐私安全治理相关研究,并针对隐私政策设计了指导规范。最后应对APP隐私安全,从上层法律法规到开发管理者最后到使用者,提出了APP隐私安全保护策略。
参考文献
[1] 全国人大常委会.中华人民共和国网络安全法[EB/OL]. http://xxzx.mca.gov.cn/article/wlaqf2017/wjjd/201705/20170500891068.shtml.
[2] Anonymous. Software development kit[J]. Laser Focus World,2019,55(7).
[3] 吕云峰.2018年瑞星网络安全报告与趋势展望[J].信息安全研究,2019,5(03):186-191.
[4] 仲田.向过度索权的手机APP“开刀”[J].智慧中国, 2019(06):72-73.
[5] 毕颖.《互联网个人信息安全保护指南》剑指何方[J].保密工作,2019(07):60-62.