隨著(zhù)用戶(hù)個(gè)人信息保護意識的覺(jué)醒，個(gè)人信息安全受到了前所未有的廣泛關(guān)注，2019年可以說(shuō)是個(gè)人信息安全“崛起”的一年。中國信息通信研究院經(jīng)過(guò)長(cháng)期的檢測分析發(fā)現， 我國移動(dòng)互聯(lián)網(wǎng)應用普遍存在隱私政策缺失、權限濫用、私自收集共享、強制定向推送等個(gè)人信息安全問(wèn)題。要解決這些問(wèn)題，提升APP個(gè)人信息安全能力，需要終端廠(chǎng)商、應用服務(wù)商、應用分發(fā)商、安全廠(chǎng)商全產(chǎn)業(yè)鏈的共同努力。

近年來(lái)，移動(dòng)互聯(lián)網(wǎng)應用（APP）的種類(lèi)和數量呈爆發(fā)式增長(cháng)，移動(dòng)互聯(lián)網(wǎng)應用作為收集用戶(hù)數據的主要入口，強制授權、過(guò)度收集等侵害用戶(hù)權益的現象層出不窮，明文傳輸、誘導下載等現象屢見(jiàn)不鮮，移動(dòng)互聯(lián)網(wǎng)應用引發(fā)的安全威脅和個(gè)人信息保護風(fēng)險，逐漸成為國家和社會(huì )的關(guān)注焦點(diǎn)，進(jìn)一步推進(jìn)移動(dòng)互聯(lián)網(wǎng)應用安全和個(gè)人信息保護工作已勢在必行。

在5G移動(dòng)通信、大數據、物聯(lián)網(wǎng)、人工智能等技術(shù)的推動(dòng)下，我國移動(dòng)互聯(lián)網(wǎng)產(chǎn)業(yè)正呈現垂直化、專(zhuān)業(yè)化和平臺化趨勢，對推動(dòng)實(shí)體經(jīng)濟轉型、促進(jìn)經(jīng)濟社會(huì )發(fā)展起到了基礎性的支撐作用。產(chǎn)業(yè)總體收入突破萬(wàn)億元大關(guān)。然而，APP在豐富大眾數字生活的同時(shí)，也擴大了網(wǎng)絡(luò )暴露面，帶來(lái)了新威脅和新風(fēng)險。

當前，企業(yè)通過(guò)APP收集用戶(hù)數據的范圍不斷擴大，隨著(zhù)用戶(hù)數據使用、共享、交易的不斷深入，用戶(hù)數據已成為企業(yè)發(fā)展的重要戰略性資產(chǎn)。然而，企業(yè)安全意識和個(gè)人信息保護水平參差不齊，強制索權、過(guò)度收集、非授權轉移共享、個(gè)性化展示和定向推送不規范、賬戶(hù)注銷(xiāo)難等問(wèn)題層出不窮，既嚴重威脅了廣大人民群眾的切身利益，又影響了企業(yè)的發(fā)展，甚至威脅國家的安全。

隨著(zhù)行業(yè)的發(fā)展及權益保障意識的提高，用戶(hù)對移動(dòng)互聯(lián)網(wǎng)應用違規收集使用個(gè)人信息、過(guò)度索權、頻繁騷擾等侵害用戶(hù)權益的問(wèn)題感受強烈。根據網(wǎng)絡(luò )不良與垃圾信息舉報受理中心數據顯示，近年來(lái)，APP用戶(hù)個(gè)人信息安全相關(guān)投訴量急劇上升，投訴內容涉及個(gè)人信息收集使用規則、權限申請、個(gè)人信息收集、個(gè)人信息使用、個(gè)性化服務(wù)、賬號注銷(xiāo)等多個(gè)方面，其中幾類(lèi)問(wèn)題尤為突出，賬號注銷(xiāo)難的比例高達30%，私自共享給第三方比例為21%，不給權限不讓用比例為14%，超范圍收集個(gè)人信息比例為11%，私自收集個(gè)人信息比例為7%，過(guò)度索取權限比例為7%，頻繁申請權限比例為1%。除了用戶(hù)感受強烈的這些表象問(wèn)題，還存在更深層次的成因，本文將對移動(dòng)互聯(lián)網(wǎng)應用常見(jiàn)的個(gè)人信息安全問(wèn)題展開(kāi)研究分析。

一是個(gè)人信息收集使用規則效果不佳。APP應公開(kāi)收集、使用規則，并明示收集、使用信息的目的、方式和范圍。APP使用規則通常以隱私政策形式呈現，是APP廠(chǎng)商向用戶(hù)明示收集使用信息行為的主要途徑。隱私政策缺乏，隱私政策內容不清晰、用詞含糊、語(yǔ)義不清、冗長(cháng)難懂、用戶(hù)難理解，“霸王條款”限制用戶(hù)權利，默認、強制用戶(hù)同意隱私政策，侵犯用戶(hù)選擇權等都是目前的常態(tài)化問(wèn)題。

二是強制、頻繁、過(guò)度索權成為普遍現象。系統權限是終端操作系統賦予用戶(hù)的應用管控能力，對于位置、錄音、設備標識、通話(huà)記錄等敏感信息的收集，用戶(hù)可通過(guò)開(kāi)啟、關(guān)閉權限進(jìn)行管控。然而部分應用不給權限不讓安裝、不給權限不讓登錄、不給權限不讓使用某項無(wú)關(guān)業(yè)務(wù)，變相強制用戶(hù)授權，為肆意收集個(gè)人信息大開(kāi)方便之門(mén)。同時(shí)，提前申請權限或無(wú)業(yè)務(wù)功能申請權限；權限無(wú)關(guān)場(chǎng)景或服務(wù)下頻繁申請權限，變相誘導用戶(hù)授權等現象也逐漸成為新的關(guān)注點(diǎn)。權限問(wèn)題是當前用戶(hù)感受最強烈、最為集中的問(wèn)題。

三是私自收集頻發(fā)，超范圍收集問(wèn)題突出。用戶(hù)數據作為企業(yè)發(fā)展的重要戰略性資產(chǎn)，最大化收集是互聯(lián)網(wǎng)應用發(fā)展早期的常見(jiàn)現象。個(gè)人信息收集使用規則中，常見(jiàn)缺乏告知，或者不明確告知收集使用個(gè)人信息的目的、方式和范圍；有些APP在獲得用戶(hù)同意前，收集用戶(hù)個(gè)人信息?；蛟诜欠?wù)所必需或無(wú)合理應用場(chǎng)景情況下，超范圍或超頻次收集個(gè)人信息。還有些APP在登錄時(shí)，將收集銀行卡號、身份證號、人臉、指紋等敏感信息作為應用開(kāi)啟使用的前提條件，或通過(guò)積分、獎勵等方式誘導用戶(hù)輸入相關(guān)敏感信息。

四是數據共享行為不規范，缺乏約束措施。大數據技術(shù)推動(dòng)了APP的深度發(fā)展，數據的交易和共享應在明示并獲得用戶(hù)同意的基礎上進(jìn)行。有的用戶(hù)數據共享行為未向用戶(hù)明示；有的未經(jīng)用戶(hù)同意轉移用戶(hù)個(gè)人信息。有的APP在用戶(hù)拒絕同意的情況下，依然轉移用戶(hù)數據至第三方；有的APP未對第三方數據共享行為進(jìn)行安全評估，無(wú)法保障所共享用戶(hù)數據在第三方使用時(shí)的安全。

五是無(wú)開(kāi)啟或關(guān)閉個(gè)性化服務(wù)選項。APP未向用戶(hù)告知并經(jīng)用戶(hù)同意的情況下，收集用戶(hù)搜索、瀏覽記錄和使用習慣等個(gè)性化特征，并將其用于定向推送服務(wù)或精準營(yíng)銷(xiāo)等。用戶(hù)通常無(wú)法選擇是否使用或接受個(gè)性化服務(wù)及定向推送。調查發(fā)現，84.42%的應用存在未經(jīng)用戶(hù)同意，強制接受個(gè)性化服務(wù)或精準營(yíng)銷(xiāo)的現象。

六是設置不合理障礙，賬號注銷(xiāo)難。APP通過(guò)賬號注冊，提供更具價(jià)值的服務(wù)。為了留存用戶(hù)，在注銷(xiāo)環(huán)節設置各種障礙是常見(jiàn)現象。有的APP不提供賬號注銷(xiāo)服務(wù)，或應用聲明提供賬號注銷(xiāo)服務(wù)，但注銷(xiāo)入口難以尋找、注銷(xiāo)功能無(wú)效或跳轉到無(wú)關(guān)頁(yè)面。有的APP在用戶(hù)使用注銷(xiāo)功能時(shí)，注銷(xiāo)失敗、無(wú)響應或超出注銷(xiāo)承諾時(shí)限。有的APP設置指定方式、指定地點(diǎn)等作為注銷(xiāo)必要前提等。

提升APP個(gè)人信息安全能力，加強用戶(hù)權益保護，需要全產(chǎn)業(yè)鏈的共同努力。

加強行業(yè)自律，明確企業(yè)主體責任。行業(yè)自律是用戶(hù)個(gè)人信息保護的關(guān)鍵，也是企業(yè)可持續發(fā)展的內在基礎。廣大應用服務(wù)和應用分發(fā)廠(chǎng)商應主動(dòng)適應個(gè)人信息保護和數據管理新形勢新要求，嚴格遵守法律法規，貫徹落實(shí)個(gè)人信息收集使用規定，不斷完善企業(yè)內部的個(gè)人信息保護和數據管理制度，持續優(yōu)化用戶(hù)隱私政策，并將個(gè)人信息保護的要求貫徹執行到規劃、開(kāi)發(fā)、運營(yíng)等各個(gè)環(huán)節，切實(shí)有效維護好用戶(hù)合法權益。

依托公眾監督，及時(shí)響應用戶(hù)關(guān)切。公眾監督是保障用戶(hù)權益的重要渠道，也是約束企業(yè)行為的有效方式。應用服務(wù)、應用分發(fā)平臺廠(chǎng)商應高度重視用戶(hù)權益保障，秉承以用戶(hù)為中心的思想，健全公眾參與監督的機制，主動(dòng)關(guān)注用戶(hù)感受和體驗，尊重并保障用戶(hù)的投訴權，為用戶(hù)舉報投訴設置便捷的方式和渠道。

規范收集使用規則，落實(shí)告知同意。個(gè)人信息收集使用規則是用戶(hù)了解APP用戶(hù)個(gè)人信息收集使用的主要渠道，收集使用規則應包含信息收集的內容、目的、方式、范圍、頻次、保護措施。同時(shí)，個(gè)人信息收集使用規則應清晰、明確、完整、易懂。移動(dòng)應用服務(wù)商應嚴格依照收集使用規則收集處理用戶(hù)個(gè)人信息，并遵循告知同意原則，在收集用戶(hù)個(gè)人信息前，明示并經(jīng)用戶(hù)同意。

規范信息共享規則，明確責任歸屬。為明確責任歸屬，增加信息可追溯性。移動(dòng)應用服務(wù)商應制定清晰、明確的信息共享規則，在公開(kāi)、轉移、共享用戶(hù)個(gè)人信息前，應先明示用戶(hù)公開(kāi)、轉移、共享的內容、對象、用途等相關(guān)信息，征得用戶(hù)同意后，方可公開(kāi)、轉移或共享信息。移動(dòng)應用服務(wù)商應與共享、轉移的信息接收方訂立安全協(xié)議，明確各方信息保護責任，并督促落實(shí)。

規范推送及權限調用，加強用戶(hù)可知可控。APP通常是基于用戶(hù)畫(huà)像進(jìn)行定向推送和精準營(yíng)銷(xiāo)，APP的開(kāi)發(fā)者應遵循用戶(hù)可知可控的原則，進(jìn)行最小化權限申請，并提供完善的個(gè)性化推送開(kāi)關(guān)選項，以有效約束在未向用戶(hù)告知或未以顯著(zhù)方式標示情況下，將收集到的用戶(hù)搜索、瀏覽記錄、使用習慣等個(gè)人信息用于定向推送或精準營(yíng)銷(xiāo)。

提高應用防護能力，保障用戶(hù)合法權益。安全防護能力是移動(dòng)應用保護用戶(hù)個(gè)人信息的基礎保障。APP開(kāi)發(fā)者應采取必要的手段保障應用的安全性和用戶(hù)數據的機密性、完整性和可用性。應用服務(wù)開(kāi)發(fā)者應將安全編碼原則貫穿整個(gè)軟件開(kāi)發(fā)周期，采用高等級API和安全SDK、適配最新操作系統及外部代碼庫，并對應用進(jìn)行必要的安全加固，采用安全存儲和傳輸技術(shù)保障用戶(hù)敏感信息安全，通過(guò)完善的身份認證機制保障通信過(guò)程安全。

規范平臺信息聲明，保證下載用戶(hù)知情。應用平臺信息聲明是用戶(hù)了解應用基本信息的重要途徑。平臺應向用戶(hù)明示應用名稱(chēng)、功能描述、卸載方法、開(kāi)發(fā)者信息、應用安裝及運行所需權限列表等基礎信息，明確告知用戶(hù)應用收集使用用戶(hù)個(gè)人信息的內容、目的、方式和范圍。

完善安全審核職責，落實(shí)分發(fā)上架機制。應用分發(fā)平臺審核機制是用戶(hù)個(gè)人信息保護的重要關(guān)口。平臺應審核開(kāi)發(fā)者資質(zhì)和應用相關(guān)信息，制定明確的上架要求并建立完備的檢測機制，通過(guò)自動(dòng)化檢測和人工審核等手段，對應用收集使用用戶(hù)個(gè)人信息的行為進(jìn)行規范。并對應用進(jìn)行跟蹤監測和管控，定期對已上架的應用進(jìn)行復查，發(fā)現問(wèn)題立即下架。

健全投訴反饋渠道，配合監管落實(shí)規范。應用分發(fā)平臺承擔連接用戶(hù)、應用及終端的橋梁責任，是用戶(hù)個(gè)人信息保護工作的重要環(huán)節。應用分發(fā)平臺應建立多種渠道，及時(shí)接收和反映用戶(hù)的建議和投訴，并通過(guò)既定的規則流程，及時(shí)響應用戶(hù)投訴和應用侵權審核情況。

加強多方溝通協(xié)調，強化產(chǎn)業(yè)協(xié)作體系。針對當前用戶(hù)普遍關(guān)注的移動(dòng)互聯(lián)網(wǎng)應用用戶(hù)個(gè)人信息安全問(wèn)題，移動(dòng)互聯(lián)網(wǎng)產(chǎn)業(yè)界應積極響應產(chǎn)業(yè)訴求，加強終端廠(chǎng)商、應用服務(wù)商、應用分發(fā)商、安全廠(chǎng)商等多方面的溝通協(xié)調，在設備安全、應用安全、數據安全等多方面加強交流合作，共享技術(shù)經(jīng)驗，制定行業(yè)標準規范，強化產(chǎn)業(yè)協(xié)作體系，保障移動(dòng)互聯(lián)網(wǎng)應用用戶(hù)個(gè)人信息安全。

來(lái)源：質(zhì)量與認證