李俊磊，邹同浩

（广东司法警官职业学院，广东 广州 510520）

客户端应用程序（Application program，APP）主要指运行在移动终端设备平台上的第三方应用程序，其种类覆盖人民生活的每一个角落，小到社交通信、新闻阅读、影音娱乐、美食购物、出行导航等，大到教育商务、金融理财、运动健康等，个人的一天活动基本可依赖APP完成，人们的生活走向了数字化。

1 APP带来的个人信息安全威胁

据CNCERT统计，我国境内应用商店数量已超过200家，上架APP近500万款，下载总量超过万亿次，还在以指数形式递增[1]。在庞大的用户群体和移动设备背景下，用户每天都在利用APP进行购物支付、消遣娱乐，对智能设备的依赖性越来越强，留下的个人操作足迹和信息数据越来越丰富，形成的个人信息数据越来越全面。

智能设备上几乎保存着个人全部隐私数据，涉及以下几个方面：（1）个人信息隐私，如身份证号、银行卡号、家庭住址、网络活动的综合信息（IP地址、浏览踪迹、活动内容）。（2）通信隐私，包括电话、短信、聊天通信平台中的信息等。（3）空间隐私，个人在智能设备上出入特定空间或区域。（4）身体隐私，即身体健康状况信息等。甚至，还有很多信息并不一定涉及个人隐私，但是在大数据时代，通过数据挖掘分析技术对信息进行重组，就包含了涉及用户个人隐私的信息。

琳琅满目的APP在为用户生活带来前所未有的指尖快乐时，也给用户的个人信息安全带来了新威胁和新风险。安全问题值得重视，APP正悄无声息地对个人安全造成不利影响，如强制授权、过度窃取、超范围收集个人信息等现象大量存在，使用户的个人信息在网络中处于“透明状态”，违法违规使用个人信息的问题十分突出，不仅让用户的个人信息和利益受到危害，也给国家安全产生了严重威胁。在当前的移动互联网时代下，APP的大面积安装、使用，对个人造成的安全威胁不容轻视，常见的个人信息安全威胁包括以下方面。

1.1 用户群体素质不一，安全意识薄弱

工业和信息化部发布的数据显示，我国三大运营商移动电话用户总数接近16亿户，4G用户规模为12.3亿户，可见，我国的用户群体庞大，现在全国上下出现大到老人、小至婴儿，都基本上人均一部智能设备，完全达到APP应用普及化。然而，用户群体的素质不一，有些用户连什么是网络安全、个人信息安全的概念和意识都不清楚，特别年长的和年幼的两大用户群，在使用智能设备安装应用时，直接盲目点击下载，对于应用存在的风险、要获取的权限、相关协议内容等全然不知。

对于有安全意识的绝大数用户而言，由于生活节奏快，有些APP虽然在安装的过程中会提醒用户查看《用户协议》，但是协议条款过长，用户为了省事，抱着相信的心态，手指一点同意该协议，使用过程中APP需要提供个人隐私数据和权限毫不犹豫地操作，加剧了风险和威胁。

1.2 APP市场鱼龙混杂，缺乏统一平台约束

正因APP市场的空前利好，很多开发商都关注到了这一市场，各种各样的APP如雨后春笋般被开发出来，APP商城作为用户下载APP的主要渠道，理应保障用户的利益，对上线的APP进行恶意软件检测、隐私泄露检查、安装漏洞扫描、人工审核等安全管理，确保APP的安全性能，但由于缺乏统一平台约束，导致APP市场鱼龙混杂。市场上有大量的恶意APP存在，随时可能被用户下载安装，给用户的生命财产造成安全隐患。CNCERT统计数据显示，我国2016年7月1日—2019年10月31日，累计发现违法有害恶意APP高达19 538款[2]。

1.3 APP强制、越界滥用权限

目前，用户在安装时，大多数APP都需要获取用户的权限，如果获取的权限过低，会导致APP运行异常，甚至无法使用；如果权限过高，则会导致APP权限滥用，无法保障用户的合法权益。有些APP没有必要获取用户权限和收集用户个人信息，然而，开发者或者开发商盲目跟风，“越界”“过度”甚至强制、超范围索要用户权限。

APP没有明显告知用户获取权限的信息及用途，甚至通过“越界”方式收集用户设备上的照片、通信信息、生物识别信息（人脸、指纹）、交易账号信息、各购物APP上的账号密码及收件地址、行程等个人隐私和敏感信息，让个人信息时刻处于危险状态。比如，APP对用户的操作记录和行为习惯进行“画像”，提供个性化服务[3]，进行定向推送和营销，而用户却无法拒绝。另外，有些APP存在“用户进来了就别出去”的怪象，用户注册和使用后，想注销和清空个人信息时却困难重重，甚至连操作入口都没有。

1.4 泄露用户隐私信息，导致用户利益受损

在使用APP的过程中，个人用户隐私信息数据库容易被泄露出去，包括APP平台本身的安全性不强、管理人员非法处理用户信息利益链；黑客入侵和平台漏洞等导致信息泄露。同时，当前病毒泛滥，有网络的地方就有可能存在病毒的风险，近年来，病毒对智能移动设备的侵害行为越来越多，病毒感染导致用户信息处于不可控状态，危害不断。

2 APP个人信息安全防范对策

2.1 建立体系，规范管理

APP的安全问题事关个人和国家，必须要高度重视，社会各界要共同参与，从国家、行业层面建立法律保护体系，保护用户的个人信息安全，构建良好的安全生态；制定APP行业标准，规范管理，对APP的上线实行统一管理，加强安全性检测，规范审核流程；在相关标准、指南中进一步细化APP运营者收集用户个人信息规范，持续优化用户隐私政策，并将个人信息保护贯彻APP的规划、开发、运营等各个环节，做到“最小化”授权。

相关政府部门将建立 APP个人信息安全认证制度，对APP的上线、版本升级前均开展安全评估工作，同时，鼓励搜索引擎和应用商店优先推荐认证APP，切实、有效地维护好用户的合法权益。

2.2 安全开发，加固防护

从技术上解决APP的安全性问题，在研发APP的过程中，融入信息安全技术，提高应用的安全性，把隐患拒之网外。通过运用数字签名技术，保证数据在网络中传输过程中数据的完整性、防篡改和不可伪造，避免网络不法分子利用攻击手段窃取信息。同时，要加强对APP缓存进行加密处理，对用户账号密码进行加密，区分不同角色的操作权限。

开发者应将安全编码原则贯穿整个软件开发周期，采用高级API和安全SDK，并采用身份认证、电子签章、区块链等技术措施对应用进行必要的安全加固，采用安全存储和传输技术保障用户敏感信息安全，通过完善的身份认证机制保障通信过程安全。

在研发前期，重视安全需求调研，对数据存储、数据传输都采用加密算法编码，对APP接口进行加密隐藏，以防止第三方应用程序进行反编译操作，充分做好上线前的测试工作，特别是针对APP的安全性能进行测试。引入区块链技术对APP生命周期中的各过程管理，加强随机抽查，对达不到安全标准的APP，下架处理。对于下线的APP应要求及时删除销毁所有用户数据。利用大数据、人工智能技术、态势感知技术对个人信息泄露等安全事件进行预警。

2.3 增强意识，安全使用APP

广大的市民用户应该加强安全防范意识，主动接受网络安全、信息安全、数据安全等方面的学习，掌握基本的安全常识，提高警惕，培养良好的使用习惯，深刻认识到APP存在安全隐患，对APP获取的权限做到心中有数，从正规渠道下载APP，防止下载高仿、不安全应用，安装APP时仔细阅读协议，对于应用获取的权限，选择性的进行设置，在不影响正常使用的情况下，没有特殊要求不将设备进行ROOT处理，禁用不必要的高权限如手机号码联系人、短信等，坚守“最小权限化”。在设备上安装杀毒软件，定期对软件应用进行清查。

3 结语

在APP“满天飞”的数字化生活时代，每一个市民用户都应加强安全防范意识，从制定法律法规、应用安全开发技术、安装杀毒软件和个人正确操作使用等多层次建立安全体系，在设备安全、应用安全、数据安全等多方面保障APP用户的个人信息安全，不要让个人信息成为不法分子的猎物，保护好个人的电子资产，用户才能在移动互联网上享受APP的便捷功能。