App权限对用户个人隐私的威胁及处理对策

摘要：现阶段，群众的生活质量提升，智能手机及平板电脑等终端用户数量呈现爆发式增长，移动互联网APP市场进入迅猛发展阶段。近几年，手机APP市场进入全新的发展阶段，给人民群众带来便利的同时，也带来了安全隐患，尤其是个人隐私信息泄露事件频发，导致群众的生活质量无法得到保证，甚至一些不良电话及信息对群众的精神健康产生影响。泄露的个人信息还可能被犯罪分子利用，进行违法犯罪活动，进而影响到我们的财产甚至生命安全。对此，我国应当认识到APP权限管理的意义，认识到APP使用过程中对个人隐私的威胁，根据实际情况制定用户隐私保护方法，为群众安全使用APP奠定坚实的基础。

关键词：App权限;用户隐私;安全防范

现阶段，互联网技术高速发展，网民的数量随之增多，市场上开发出各种APP。根据CNNIC第48次《中国互联网络发展状况统计报告》显示，我国网民规模达10.11亿，网民中使用手机上网的比例高达99.6%，网民的人均每周上网时长为26.9个小时。网络是一把双刃剑，人们在享受着信息化社会所带来的便捷服务同时，也承受着个人信息被泄露风险。由APP导致的个人信息安全已经是非常重要的问题，在社会各界引起广泛的关注，我国APP信息泄露包括以下因素。①APP作为线上及线下数据交汇口，在服务过程中往往会收集客户的信息，可能涉及个人隐私。②APP收集个人隐私也会存在边界，但目前的边界设定并不完善。③我国网络隐私保护法也并不完善。④Thomas M.Lenard与Paul H.Rubin在其著作的《大数据、隐私和常见的解决方案》中指出，开发企业通过APP获得用户信息，APP收集信息往往是在暗地里进行，多数用户并没有关闭APP授权，没有经过用户同意，自行收集用户信息。对此，在APP运行过程中，应当对用户隐私权限进行分析，合理规划权限及做好法律归属，对不合理收集权限的行为进行处理，包括用户隐私。

一、APP对个人安全隐私的威胁

我国市场上监测到的APP数量约300多万款，下载量突破万亿次。人们每天通过APP进行购物及娱乐，在网络及APP上留下各种足迹及丰富的信息，形成全面的个人数据。智能手机及平板等工具上储存了大量的个人信息，包括个人隐私信息（身份证、银行卡号、家庭住址）、网络综合信息（IP地址、活动内容、浏览痕迹），也包括通信隐私（短信、电话及APP沟通信息）、空间隐私（智能社会的出入特定区域）、生理隐私（个人健康情况及身体部位信息）。虽然个人信息保护问题已经引起人们的广泛重视，但依旧无法彻底解决。APP悄无声息的收集个人信息，过度索取、强制授权等，导致用户在网络中处于透明状态，让用户个人权益受到危害，甚至影響我国的社会安全。在移动互联网高速发展的背景下，APP对个人隐私的威胁，具体包括以下几个方面。

（一）用户素质不同，安全意识存在差异

根据工业和信息化部数据显示，我国移动电话用户总数达16.43亿户，4G移动电话用户为10.69亿户，5G移动电话用户达到3.55亿户。我国上到老下到小均使用网络，90%以上的家庭人均一部智能设备，智能设备普及率为116.3部/百人。移动互联网已经在我国全面普及，但用户素质存在较大差异，部分用户对网络安全及个人信息保护的概念认识不足，年长及年幼的群体使用智能设备时，盲目下载，盲目在APP上输入个人信息，对权限设置不关注，对隐私政策等相关协议内容不了解。针对多数有安全意识的群体，此类群体生活节奏快，部分APP在安装过程中主动提示用户阅读隐私政策等相关协议，但多数用户为快速进入APP，直接点击同意，导致个人隐私泄露风险加剧。

（二）APP应用市场风险大，缺乏统一管理

现阶段，随着移动互联网的发展，大量的科技企业诞生，开发出各类APP，很多互联网服务提供者跟随市场变化，将APP作为主要服务渠道，与此同时，为获取客户数量，也通过各种广告诱导用户下载APP。作为APP分发重要渠道的应用市场在APP推广上发挥了巨大作用，APP应用市场基本原则是保护用户权益，为用户提供服务，并对恶意软件进行检测和屏蔽。自整体上看，我国的APP应用市场缺乏有效管理，APP应用市场鱼龙混杂，对部分APP隐私权限审核不严格，导致用户个人隐私泄露，甚至对用户的生命财产安全产生影响。

（三）APP强制越界及滥用权限

在用户安装使用APP过程中，多数APP需要获得用户权限，部分APP若获得权限低，则无法正常运行，甚至无法让用户使用。而开放的权限高，则容易获取个人信息，无法保证用户的基本权益。部分APP没有必要获得用户信息，但开发企业盲目跟风，强制获得用户信息，超过APP既有的权限。APP并未告知用户获得信息的路径，以越界的方式获得用户智能设备上的图片及信息记录等，甚至获得用户个人住址及敏感信息，让信息处于高危状态。APP用户在操作及行为习惯上，往往无法为用户提供个性化服务，反而使索取用户信息，使用户无法保护自身的隐私。也有部分APP在使用后，用户无法清除个人信息，导致用户隐私处于长期暴露状态。在APP使用中，个人信息容易被泄露，主要是APP平台自身安全性不强。同时，黑客入侵也会导致用户信息丢失，加之目前的病毒泛滥，很多APP潜藏病毒，导致个人用户信息处于不可控的状态。

二、App权限对用户隐私影响调查

在用户日常使用智能设备过程中，态度是支持行为的主观感受，人们往往是主观上需要下载APP，在APP上获得娱乐及一些交易行为，而APP在使用时容易侵犯职业、年龄、教育程度等基本信息。据国内外调查显示，反隐私泄露意愿与实际的侵权行为存在相关性，对规避侵权影响因素具有重要意义，侵权行为作为保护隐私意愿的直接体现，行为意象则是对主观行为的影像因素，可分析个人对行为的态度。知觉行为控制作为个人及与预期个体采取某项行为的一种精神影响，知觉行为越大，行为意象越大，付出的行为越多。对此，一项研究中，将态度作为基础，其中包括个人行为信念函数，态度也是对某一现象的主观判断，态度积极，则行为意象大，态度不积极，行为意象小。群众保护隐私的态度越强烈，则愿意保护个人隐私，一些保护态度较弱的居民，会受到自身心理状态影响对隐私保护不重视，导致个人隐私保护意愿不强，导致个人信息大量泄漏。而安全态度过高的群众，心理较为保守，感知水平高，无法正常使用APP。在个人及社会因素影响下，每个人的信念行为、态度、主观规范均会受到影响，直接影响用户的实际行为。对此，基于文化程度及年龄、APP种类、网龄等基本因素为APP对用户隐私的影响可深入研究。

在一项调查中（见图1），将我国某地区的居民作为调查对象，调查用户使用APP的情况及隐私保护意识。根据调查需求，抽取20-70岁群体，选择301份问卷，其中获得有效问卷252份，占比83.7%。调查对象是该地区户籍居民，调查问卷中包括个人体征、隐私保护意识、使用APP时对权限的态度、隐私是否受到侵犯、政府及APP开发商如何做好用户权限的管理工作。在该调查中，对其中的变量进行设置，包括被解释变量及核心解释变量。其中，被解释变量包括群众的反隐私意愿，对群众反映的侵权行为进行分析，使用五分制量表，1分代表规避程度最高，5分代表规避程度最低。在表1可见到用户隐私保护态度，平均值在4分左右，调查的用户认为，在提交信息时应当保持谨慎、并注意验证身份、慎重向第三方提供信息、及时将个人信息销毁、关闭非必要权限。一但APP权限影响到个人隐私，应当及时制止行为，但自身无法制止，还需使用APP，无奈的情况下只能让APP收集个人信息。用户希望法律上能获得隐私边界，对个人权限进行合理设置，避免无意义收集信息。相关的APP公司也要承担起责任，将企业的价值发挥，让用户有规避风险的权限。监管部门也要加大力度对APP进行整治，针对非法收集用户信息的行为应当严厉打击，保护用户隐私。APP开发应当将用户需求作为导向，合理对APP权限进行设置，坚持以用户为主原则，我国也要注意法律保护，完善立法管理，保护群众的合法权益。

三、APP权限管理及个人信息安全的防范策略

（一）建立体系，规范管理

在APP市场发展中，我国应当认识APP对群众产生的影响，自国家层面引起足够的重视，社会各界广泛参与，自国家及行业层面构建法律保护体系，保護个人信息安全，建立良好的网络环境。也要制定APP行业标准，规范管理工作，实施统一管理，加强安全监测，合理规范APP的审核流程。在相关标准中，根据运营商的基本资料，优化用户隐私权限，将个人信息保护纳入APP开发及运营中，实现最小化授权的目的。政府部门也要构建APP个人信息保护制度，对APP上线及版本等进行安全评估，有效维护用户安全。我国立法部门应当建立完善的隐私保护法律，拓展用户投诉范围，为保护隐私提供基本帮助。针对隐私保护往往需要内部力量及外部力量的结合。群众在发现隐私受到侵犯时，往往没有投诉部门，投诉渠道少及反响不足，导致群众反隐私的态度差，为促进用户隐私保护工作顺利进展，保护群众的信息安全，应当完善网络隐私保护法，拓展用户投诉渠道，营造安全及干净的环境。

（二）行业自律，明确企业责任

在APP开发中，企业承担巨大的责任，行业自律作为企业发展的基础，在企业发展过程中应当严格遵循我国的法律规定，落实个人信息收集规定，不断完善APP开发信息保护机制，将个人信息保护放在重要位置。企业内部贯彻规划、开发、运营等各个环节，维护用户的合法权益。一旦发生用户隐私泄露，或者引发巨大的社会反响，企业也将面对较大的法律责任。对此，APP开发者，应当认识到做好隐私权限归属的意义。在上述调查中，文化水平越高的群体对隐私保护越重视，现阶段的APP下载量大，网络反隐私的意愿也在不断增强。刚接触APP的用户往往会观察隐私权限，谨慎同意隐私协议，反隐私意愿强烈，但伴随网民的网络用时长，反隐私的意愿降低。对此，APP开发者应当做好规划及管理工作，注重行业自律，明确企业责任是企业长远发展的关键。

（三）规范使用规则，明确责任归属

个人信息收集及使用规则的目的是让用户了解APP后使用软件，收集规则中包括目的、方式、范围及频率，个人信息使用规则应当具有明确的目的、完整的资料，且简单易懂。在基本使用原则下，用户自愿填写信息，不必要的职业及身份等信息可不填写。为明确其中的责任归属，保证信息追溯，APP开发者应当制定清晰的信息分享原则，在公开的市场环境下，用户明确其中的各项内容，在用户同意的情况下可以公开用户ID等基本信息。开发者也要与用户签订安全协议，明确其中的安全责任，并督促用户落实。规范消息推送权限，部分用户在使用APP时会收到广告商发送的信息，APP一般是精准营销，遵循用户可知控的原则，最小化权限申请，用户具有关闭推送消息的权限，避免消息对用户的生活产生影响。开发者也要设置个性化开关，通过有效的约束向用户提供标识，用户每次使用APP后可清除记录或者关闭消息推送。

四、结束语

现阶段，人们已经进入数字化生活时代，保护个人隐私应当自法律法规到应用开发建立多层次防护方式。在实际的个人隐私信息保护过程中，APP开发者应当对APP权限进行合理归属，从而保证设备使用安全及APP运行安全、群众的个人信息安全。用户应当进一步加强个人信息保护意识，在使用APP过程中避免不法分子切取个人信息，并注意保护个人电子资产，以免APP成为某些不法分子切取信息的渠道。国家应当进一步健全法律法规，规范APP收集使用个人信息行为，避免由于用户使用APP提供的服务导致个人信息安全受到影响。

参  考  文  献

[1]王彩玲. App个人信息泄露黑色产业链治理研究[J]. 辽宁警察学院学报，2022，24（01）：57-63.

[2]杜代忠. Android应用隐私政策与权限使用的一致性分析引擎的研究与实现[D].北京邮电大学，2021.

[3]蒋逸天，胡馨月. 政务APP个人信息保护法治路径研究[J]. 西部学刊，2021，（06）：55-58.

[4]李德清. 移动APP程序在水调自动化系统中的应用研究[J]. 云南水力发电，2020，36（08）：211-215+219.

[5]魏馨莹. 基于卷积神经网络的虚拟试衣APP研究与实现[J]. 电脑编程技巧与维护， 2020，（08）：59-62.

[6]韩德民，汪子辰. App过度收集与使用个人信息的法律规制问题研究[J]. 现代交际， 2020，（13）：84-85.

[7]王涛，马川. 基于Pi演算的Android App权限提升攻击检测[J]. 计算机应用研究，2020，37（12）：3699-3703.

[8]杨蓉. 四部委：100个APP用户信息调查每个APP都存在强制超范围索要权限[J]. 计算机与网络， 2019，45（13）：12-13.

[9] 百度系两款APP未经提示开启隐私权限[J]. 科学大观园，2018，（08）：24-25.

[10]朱欣欣，刘晓溢，熊琦琦. App权限对用户隐私的影响研究[J]. 无线互联科技， 2021，18（20）：13-18+41.

作者单位：万小博    国家计算机网络应急技术处理协调中心上海分中心

万小博（1987.08-），男，河北保定，硕士，工程师，研究方向：公共互联网网络安全，APP个人信息安全保护。