管住App个人信息流失的“重灾区”

2019-04-26 来源:

袁胜

 

   App,是英文Application缩写,在移动互联网尚没有今天这么发达的时候,App指的是电脑上的应用程序或者应用软件,而在今天,说起App,基本上就是指手机应用程序。

 

伴随互联网发展 App一片繁荣


得益于我国电信行业的强劲发展,我国已经做到人手不止一部手机。近日,工信部发布的《中国无线电管理年度报告(2018年)》显示,2018年我国移动电话用户总数达到15.7亿户,移动电话用户普及率达到112.2部/百人。

同时这些手机用户绝大部分也是移动“网民”。据中国互联网络信息中心(CNNIC)近期发布的第43次《中国互联网络发展状况统计报告》显示,截至2018年12月,我国手机网民规模达8.17亿,网民通过手机接入互联网比例高达98.6%。

有需求就会有市场,随着手机已成为人们日常生活中不可或缺的工具,在这些手机上运行的App数量也在高速增长,据工信部发布的互联网和相关服务业统计数据,2018年市场上监测到的App数量总量已达到449万款。

《中国互联网络发展状况统计报告》也显示,截至2018年12月底,第三方应用商店分发App累计数量超过1.8万亿次。游戏类、系统工具类、影音播放类、社交通讯类、日常工具类、生活服务类、互联网金融类、电子商务类等8类App下载量超过千亿次。

在绝大多数用户的手机上,都有几个甚至几十个App,方便着人们的衣食住行。可以说,没有App的发展就没有当前的互联网经济,App市场的繁荣,不仅是“互联网+”的深入推进与消费升级带动的供给持续增加,还是游戏、金融、社交、生活服务等互联网新兴服务领域不断竞争和创新的结果,这都促使了App下载和使用规模的快速增长。

 

App已成个人信息流失的“重灾区”


App的飞速发展给人们的生活带来极大便利的同时,也将个人信息泄露的风险无限放大。App繁荣背后的使用权限和隐私问题,随着近年来互联网个人信息泄露事件的不断爆发,而逐渐成为社会的焦点问题。

个人信息泄露的源头是什么?关键问题出在App过度采集上。当前,手机App过度采集个人信息已经成了一种行业默认的常态。当我们下载安装App时,会发现手机App需要获取的权限种类繁多,尤其是一些自身功能使用非必要的权限。比如新闻资讯类App要求用户的身份信息、上网浏览记录等,金融类App要求读取用户的通讯录、开启位置信息等。令人无奈的是,不接受这些不合理的权限,用户往往就无法正常使用这些App。

据“App个人信息举报”微信公众号接收的举报数据,“超范围收集与业务功能无关信息”是用户举报最多的行为。南都记者曾经对2015年至2018年工信部公布的检测发现问题的应用软件名单进行统计,695款App存在违规收集使用用户个人信息、强制捆绑推广无关软件、恶意“吸费”等行为。2018年北京市消费者协会发布的《手机App个人信息安全调查报告》显示,有89.62%的用户认为手机App存在过度采集个人信息的行为。

这些过度的权限直接获取了用户的各种个人隐私信息,包括用户的身份信息、交易信息、浏览记录、生物识别信息、通讯录、短信、位置信息、财产信息等,极大地增加了用户个人信息泄露的风险。

中消协发布的《App个人信息泄露情况调查报告》反映,遭遇过个人信息泄露情况的人数占比为85.2%。在今年的3·15晚会上,就曝光了手机App泄露个人隐私信息的乱象。主持人现场使用一款名为“社保掌上通”的App查询个人社保信息,一旁的网络安全专家通过抓取分析数据包发现,查询时,用户的信息已被发送至一家大数据公司的服务器。

最为恶劣的是,部分App还会利用获取的用户信息进行个人信息贩卖、黑灰产甚至诈骗等非法行为,给用户的利益带来了严重的损害。

《App个人信息泄露情况调查报告》指出,推销电话或短信骚扰、诈骗电话、垃圾邮件,这是受访者最常见的三大问题。此外,消费者还面临着收到非法链接、个人账户密码被盗等风险。

“暗网”上叫卖的某酒店集团的客户入住信息,某快递企业泄露的3亿用户个人信息,包括姓名、电话、地址等,究其泄露根源,岂不正是来自于自家应用的努力收集?

显然,App一片繁荣的背后,已成个人信息流失的“重灾区”。在违规收集个人信息已成为业界“潜规则”甚至常态化的形势下,手机用户的个人信息安全正在受到前所未有的威胁。

 

App治理正当时


今年1月25日,中央网信办、工业和信息化部、公安部、市场监管总局正式发布《关于开展App违法违规收集使用个人信息专项治理的公告》,明确提出由全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会,编制大众化应用基本业务功能及必要信息规范、App违法违规收集使用个人信息治理评估要点,对App隐私政策和个人信息收集使用情况进行评估。对违规行为,将按照《网络安全法》《消费者权益保护法》等依法予以处罚。

在此之前,网信办、工信部、公安部等多家部委都对App市场存在的乱象进行了多次整治。例如,2018年9月以来,国家网信办会同工信部、公安部等有关部门开展专项整治,发现并清理7873款存在恶意扣费、信息窃取等高危恶意行为的App。工信部长期对App进行技术检测,对违规App进行曝光并责令下架。公安部近期公布的“净网2018”成果中,就包括了下架具有恶意行为的App3.5万余款。

但四部委的这次联合行动,是有史以来针对App违法违规收集使用个人信息行为层级最高、规模最大、范围最广、指向最明确的一次专项治理行动。

不难看出,这次专项治理行动,是国家在个人信息保护领域加大执法力度的一个具体表现,通过整治规范App市场的乱象,不仅要堵住公民个人信息外泄的口子,同时警示App运营者,严格履行法律规定的责任义务,合法取得用户个人信息,并切实做好保护措施。

 

管好App 方能促移动互联网发展


随着人们开始认真思考 “用隐私交换便利”的代价,个人信息保护的行动正在全球范围内掀起。欧盟去年出台了号称“史上最严的数据保护法案”一般数据保护条例(GDPR);美国2012年颁布的《消费者隐私权利法案》,和2016年12月公布的“宽带和其它电信服务中用户隐私保护规则”(简称“FCC新规”),都对网络时代的用户隐私和个人信息保护做出了明确规定。

随着2017年6月1日《网络安全法》的正式生效,我国将散落在不同法律法规和规范性文件中的个人信息保护规定成体系地进行了梳理和总结,为网络运营者收集、使用个人信息确认并强化了法律责任。此外,2018年5月1日《信息安全技术个人信息安全规范》的正式实施,为我国个人信息保护工作的提供了基础性标准文件。

当前社会对个人信息保护愈加重视,《个人信息保护法》呼之欲出,可以说,随着社会的强烈关注,在法律和标准层面,我国个人信息安全和隐私保护正在得到大力加强,方方面面都在不断完善,为个人信息安全提供着更加全面的法律和制度保障。

在监管层面,此次四部委的专项治理行动不仅要大力整治,打破App市场长期以来存在的种种陋规,更要通过此次行动,重新树立一个清朗、透明、安全的行业个人信息保护新风:企业自觉自律,坚守“安全”底线,用户具备安全隐私意识,放心使用App。解决了个人信息保护的关键问题,移动互联网行业才能真正做到持续健康发展。

(本文刊登于《中国信息安全》杂志2019年第4期)