霍然　黎凌

摘要：随着我国移动互联网快速发展，我国移动互联网网民数量超过8.6亿。大量的生活服务，金融支付服务向手机端转移。这些服务在简便了我们生活方式的同时，也对公民的个人信息带来很大的安全隐患。为了有效的治理违法违规收集使用个人信息的APP，减少公民个人信息泄露的风险，本文针对已测APP存在的问题进行分析，并提出整改建议。

关键词：个人信息保护;APP;整改建议

引言

随着我国移动互联网快速发展，我国已成为世界上网络数据生产量最大、数据类型最丰富的国家之一。我国移动互联网网民数量超过8.6亿。随着移动网络的发展，大量的生活服务，金融支付服务向手机端转移。根据2019年我中心工作统计发现移动程序强制授权，超规搜集个人信息费等现象十分突出。截至2019年11月底，我中心共发现移动恶意程序样本1500余个，处置恶意APP下载链接1242个，涉及北京地区移动应用商店40余家。同时针对105款互联网金融APP进行检测，共发现漏洞505个。其中存在大量明文数据传输漏洞，网页视图明文存储密码漏洞和源代码反编译漏洞。这些漏洞存在信息泄露风险。大量窃取用户信息的恶意程序相继出现。防止移动端个人隐私数据泄露，维护终端消费者的合法权益，成为下一步治理移动互联网网络安全的重中之重。

1 四部委联合发布治理公告

2019年1月中央网信办、工业和信息化部、公安部、市场监管总局联合制订了《关于开展APP违法违规收集使用个人信息专项治理的公告》，并发布了《APP违法违规收集使用个人信息行为认定方法》。《公告》的主要内容包括：

（1）《公告》要求App运营者采取有效措施加强个人信息保护。严格遵守《APP违法违规收集使用个人信息行为认定方法》中的相关条款;

（2）《公告》要求检测机构对App隐私政策和个人信息收集使用情况进行评估;

（3）《公告》要求对违法违规收集使用个人信息行为进行处罚

（4）《公告》要求公安机关依法严厉打击针对和利用个人信息的违法犯罪行为;

（5）《公告》鼓励App进行个人信息安全认证。

2 APP个人隐私保护专项工作

2020年4月起，我中心针对230款APP开展检测工作。根据APP提供服务的不同，我们将app的业务类型分为地图导航、网络约车、社区社交、网络支付、新闻资讯、网上购物、短视频、交通票务、婚恋相亲、求职招聘、金融借贷、房产交易、问诊挂号、安全管理及其他，共计15种业务类型分类，每款APP根据提供服务的多少可包含多种业务类型。其中4%的金融借贷类APP存在违规收集个人信息的问题;4%的网络支付类APP存在违规收集个人信息的问题;76%的其他类型APP存在违规收集个人信息的问题。详情如图1所示：

在此次检测中，主要针对Android端APP進行检测。其中，其他业务类型占不合规业务类型的81%，3%网络支付业务类型占不合规业务类型的3%，金融借贷业务类型占不合规业务类型的3%，详情如图2所示：

同时，我们也对其中6款iOS端app进行检测，其中网络支付业务类型占不合规业务类型的15%，网上购物业务类型占不合规业务类型的15%，快递配送业务类型占不合规业务类型的15%，详情如图3所示：

根据《APP违法违规收集使用个人信息行为认定方法》我们将应用违规问题分为：私自收集个人信息、私自将个人信息共享给第三方、过度索取权限、私自收集使用个人信息、注销账号难、个人信息泄露风险、超范围收集个人信息、强制用户使用定向推送功能、频繁申请权限9类。其中以私自收集个人信息、私自将个人信息共享给第三方、过度索取权限、私自收集使用个人信息的问题尤为突出。分别占全部违规问题的95%，87%，84%，81%，详情如图4所示：

我们对重点服务类型的APP进行分析，发现金融借贷类APP主要存在的问题为：私自将个人信息共享给第三方、个人信息泄露风险、超范围收集个人信息、私自收集使用个人信息。详情如下图5所示：

网络支付类APP主要存在的问题为：私自将个人信息共享给第三方、个人信息泄露风险、私自收集使用个人信息、超范围收集个人信息。详情如下图所示：

我们通过对比不同平台（iOS、Android ）上的同一款APP发现，此款APP在双平台上均存在私自收集个人信息、个人信息收集未进行申明的问题以及未提供注销账号途径等问题。由于iOS系统特性，app未发现强制用户使用定向推送功能的相关问题;未发现用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用的相关问题。

3 提高终端上个人信息保护的方法

对个人用户来说，仅仅依靠个人隐私保护制度是远远不够的。保护好个人隐私是我们每个公民应享有的权益，但是在不知不觉之中，我们的个人信息在网上被共享。

3.1增强个人隐私保护意识

（1）仔细阅读APP个人隐私条款

在使用各类APP之前仔细阅读个人隐私使用条款，仔细查阅用户服务协议。严格控制敏感权限的调用如：位置信息;麦克风、录音设备的调用;微信、支付宝账号等。

（2）增强个人安全防范意识

定期对移动端设备和电脑终端进行病毒查杀、及时更新漏洞补丁;避免点击陌生人发送的邮件及手机彩信或短信中的链接，以免造成由钓鱼邮件或恶意链接引起的数据泄露;不要将重要账号的用户名和密码保存在终端上。

3.2规范APP开发者使用个人信息的标准

移动端个人信息的保护仅靠个人是远远不够的，科技是中立的，但资本逐利，无法用道德来约束。App开发者应严格管控个人信息数据的调用，做到以下几点：

（1）完善隐私政策等收集使用规则，提供由用户自主选择同意或不同意选项。个人信息的调用及第三方SDK所需要的个人信息应与隐私政策中的使用规则一一对应。

（2）嵌入的第三方SDK及第三方SDK所需收集的个人信息应遵循最小化原则，与业务不相关的信息进行删除处理，相关信息在隐私协议中进行补充。

（3）在用户拒绝收集个人信息或拒绝授权后，应用不应频繁向用户申请同时也应再通过其他方式继续收集用户拒绝后的个人信息或权限。

（4）嵌入的第三方SDK及第三方SDK所收集的个人信息应进行加密传输。

（5）应在用户同意隐私政策后，收集使用个人隐私数据。

4 结束语

海量的信息丰富了每一个接触现代信息网络的人的生活，与之共生的问题是绝大部分人在数据面前毫无隐私可言。在疫情防控期间，各省的防控小程序收集了身份证号码、手机号、行踪轨迹等大量敏感的个人信息，使得个人隐私保护被推上了风口浪尖。为了避免个人信息泄露，我们后续应当加强企业对个人信息安全使用的重视程度，增加开发人员的安全经验，加大对违规收集个人隐私数据的APP的打击力度，从严治理，同时加强行业自律。数据安全比不在与黑客的技术有多高级，更多的需要用户自身加强防范意识，选择可靠的软件进行使用，定期修改密码，做好自身防护工作，比起亡羊补牢可靠的多。

参考文献

[1]中央网信办，工业和信息化部，公安部，市场监管总局.APP违法违规收集使用个人信息行为认定方法[S].

[2]中国互联网协会反网络病毒联盟.移动互联网恶意代码描述规范[S].

[3]王小群，韩志辉，徐剑，朱天，饶毓，摆亮，毛洪亮.2018年我国互联网网络安全态势综述[J].保密科学技术，2019（05）：4-9.

[4]聂国春 京东金融“窃图”再引个人信息安全担忧[N].《中国消费者报》.2019-02-26.

[5]马慧，王钰铮.手机APP侵害用户权益的现象与本质[J].互联网天地，2019（06）：51-52.