移动用户位置信息安全保护策略研究*

2022-11-09卢丹王琦王可邵晓萌韩佳琳

信息通信技术与政策 2022年10期

卢丹王琦王可邵晓萌韩佳琳

(中国信息通信研究院安全研究所，北京100191)

0 引言

定位技术已应用在生活的各个方面，人们享受到了定位技术带来的各种便捷，各类互联网应用也在技术发展中获益。定位服务除了满足人们娱乐生活以外，在紧急情况下，通过及时定位事故车辆或受困人员，为人们提供额外的安全保障。

目前常用的定位技术包括卫星定位、基站定位、Wi-Fi/蓝牙/UWB定位，以及通过“打卡”或扫描二维码等方式实现的定位功能。各类定位服务特点不同，有其不同的适用场景。卫星定位覆盖范围最广，适合于空旷环境；基站定位在市区环境下具有一定优势，能够弥补卫星定位在建筑物遮挡情况下精度不高的问题；Wi-Fi/蓝牙/UWB定位适用于室内环境或局域网环境，但推广应用方面存在难度；“打卡”或扫描二维码等方式目前也已应用较为普遍，该方式在新冠肺炎疫情期间发挥了巨大作用，精度最高，但较为被动，缺乏连续性和时效性。各类定位技术应用特点不同，在融合应用后能够弥补各自优缺点，可为用户提供了更全面的服务。

随着定位技术应用范围的日益普及，定位技术带来的隐私泄露风险已成为用户最关心的问题。企业收集的用户位置信息可能会因为使用方式不当或安全防护措施不足而造成数据泄露，从而被非法利用或被黑产贩卖到其他渠道。此外，个别企业也存在过度收集或使用用户数据的情况。这些数据可能会被用于定向推送垃圾广告、用于跟踪特定人物甚至重要人物，还可能会被国外情报机构利用，严重危害国家安全。纽约时报曾在调查中，从一家提供位置服务的互联网公司工作人员手中轻松获取一份包括1 200万美国人位置信息的特殊样本，该样本覆盖用户在华盛顿、纽约、旧金山和洛杉矶等几个主要城市移动的位置信息，涵盖了用户几个月内的精确位置。这些数据是互联网公司通过用户手机安装的APP获得，通过获取终端位置访问权限获取位置信息。该方式已成为位置信息泄露的主要途径，除此之外，用户位置还可能在连接Wi-Fi、蓝牙或扫描二维码等过程中被悄无声息获取。因此，加强用户位置数据保护，防止用户数据被过度采集或非法利用已成为一项重要的研究内容。

位置信息属于用户重要的一类敏感信息。为保护用户个人信息的安全性，我国已从法律、政策、技术标准等方面形成了完备的安全管理体系。

1 我国用户位置信息安全管理体系

目前，我国在用户位置信息保护方面，已基本形成以《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)为上位法，以《APP违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》《移动互联网应用程序个人信息保护管理规定》等政策文件为实施依据的体系化安全管理模式。对位置信息的采集、使用、存储等全流程以及涉及的主体都提出了明确的安全管理要求。目前，配套的安全技术要求和检测标准已基本在征求意见或发布阶段，从应用商店对APP的审核依据，到APP个人信息采集范围等多个环节，都制定了细化和明确的标准，为法律政策的有效落地、安全管理的规范性实施提供了有利的支撑。

1.1 法律

2021年9月1日，《数据安全法》正式实施，明确要求任何组织、个人收集数据必须釆取合法、正当的方式，不得窃取或者以其他非法方式获取数据。2021年11月1日，《个人信息保护法》正式实施，紧紧围绕规范个人信息处理活动、保障个人信息权益，构建了以“告知—同意”为核心的个人信息处理规则，将个人信息保护提高到重要位置。依据《数据安全法》《个人信息保护法》，任何企业想获取用户位置信息必须获得用户授权。不得以个人不同意提供为由拒绝服务。同时，处理用户位置信息的服务提供商也将作为位置信息保护的第一责任人，需要采取必要措施保障用户位置信息的安全性。

1.2 政策

在政策层面，多部门配套出台行政法规，目前已对APP应用采集个人信息进行了严格限制。从2019年年初开始，中央网信办、工业和信息化部、公安部及国家市场监督管理总局四部门开展了联合行动，发布系列举措，严格规范APP个人信息收集行为。2019年，四部门发布《APP违法违规收集使用个人信息行为认定方法》[1]，并开展APP违法违规收集使用个人信息专项治理行动。认定方法中，明确将APP收集与提供业务功能无关的个人信息、超实际需求频率收集、收集敏感信息未同步告知或超已告知范围使用敏感信息等行为判定为违规行为。依据该认定方法，APP使用用户位置信息需同步告知，使用范围必须与告知范围完全一致，不能超需求频率收集位置信息形成位置轨迹。

2021年3月，《常见类型移动互联网应用程序必要个人信息范围规定》[2]提出，在常见类型APP中，位置信息仅作为地图导航类、网约车类、“共享单车、共享汽车、租赁汽车”等用车服务类应用所需的必要个人信息，行踪轨迹仅为网络约车类应用所需的必要个人信息。依据该规定，除上述类型的应用外，若用户拒绝向应用提供位置信息或行踪轨迹，用户也有权使用应用的基本功能。

《移动互联网应用程序个人信息保护管理规定》[3]目前也已向公众征求意见，该规定进一步规范了APP个人信息处理相关活动，并强化了包括APP开发运营者、APP分发平台、APP第三方服务提供、移动智能终端生产企业、网络接入服务提供者在内从事APP个人信息处理活动的相关主体责任。待该规定正式实施后，对于违规采集用户位置的相关主体，将可采用定期整改与社会公示、下架处置、断开连接、终端禁入等多级措施进行管控，对于严重侵害用户权益的，将依照有关规定予以处罚或依据法律追究刑事责任。

从目前的政策要求看出，国家对用户位置等个人信息的保护力度在逐步加大，通过制定明确的安全管理要求，并实施严格的处罚机制，规范企业行为，为用户位置等个人信息筑起了一道坚固的安全防线。

1.3 标准规范

为配套支撑政策的有效实施，国家标准、行业标准、团体标准均在同步制定当中。《信息安全技术移动互联网应用程序(APP)收集个人信息基本要求》于2022年4月发布，《信息安全技术移动互联网应用程序(APP)个人信息安全测评规范》目前正在征求意见阶段，该两项国家标准为第三方检测机构和国家监管机构开展APP个人信息安全测评和检查提供技术支撑。

作为APP专项治理工作组成员，中国网络空间安全协会于2021年11月发布团体标准《应用商店APP个人信息收集使用上架审核和管理规范》，并公开向社会征求意见，该规范将为APP分发平台加强对上架APP进行规范性审核、监测提供指导。

2022年5月，由电信终端产业协会制定的《APP收集使用个人信息最小必要评估规范总则》《APP 收集使用个人信息最小必要评估规范位置信息》等团体标准正式报批。该系列标准是对“最小必要原则”的规范和细化，将对移动应用程序收集、加工、应用位置信息过程提供规范化参考。

2022年4月，《移动智能终端安全技术要求》正式实施，该标准明确要求了移动智能终端应在用户确认的情况下才能应用程序提供定位功能。终端将用户许可作为是否提供信息的唯一参考。该要求也成为终端获得入网许可的必要条件。

可以看出，在标准制定方面，已围绕终端、应用商店审核和APP数据收集等方面提出了安全要求，能够对入网终端对APP采集位置信息时的用户询问流程、应用商店审核模式和APP位置数据采集范围进行标准化。这在一定程度上保障了通过安全检测和评估的终端、APP和应用商店在保护用户位置信息方面符合国家要求。

2 风险分析

从我国用户位置信息安全管理体系可以看出，国家已对位置信息等个人信息进行了规范，同步开展了严格的监管。截至2022年5月，工业和信息化部已累计开展了23轮针对APP违规收集信息的专项治理工作，对应用平台上线的APP违规收集用户个人信息情况进行了整顿[4]。目前，APP若超权限获取用户位置或超范围使用位置信息将受到严厉惩处。

在严格的监管环境下，一些黑灰产仍在企图挖掘各类途径获取用户位置信息，个人信息安全风险仍然存在。本文在分析定位技术原理的基础上，开展位置信息安全风险研究。用户位置信息暴露的主要路径分析如图1所示，涉及的主要对象包括移动终端、APP、核心网，以及其他定位主体。下面将从每类对象出发，分析可能存在的安全风险。

2.1 移动终端

移动终端通过集成定位模块或安装定位算法实现定位功能。终端目前可采用的定位方式包括卫星定位、Wi-Fi/蓝牙/UWB定位等。

终端维护各类定位数据，主要依据的调用流程如图2所示，通过接口向APP提供位置读取权限。

终端操作系统的安全性很大程度决定了位置数据的安全性，然而，部分用户会忽略终端安全的重要性，会为增加使用自由度而采用“刷机”“越狱”等方式修改手机操作系统，该方式将可能破坏终端安全机制和授权方式，从而引入安全风险。也有部分用户因价格因素，选择购买价格更占优势的“山寨机”。此类“山寨机”绝大部分未经安全检验，存在对定位数据等个人信息读取权限管理混乱等隐患，导致位置信息违规提供给APP。

图2 APP获取位置信息流程

图3 5G定位系统架构

2.2 APP

依据我国在个人信息保护领域发布的政策和标准，上架的APP都要在个人信息收集方面接受监督。然而，除官网应用商店外，也存在其他APP推广途径，如通过下载链接获取APP。这类APP安全风险较大，一方面可能未按照国家法律政策要求收集位置信息，存在过度采集的风险；另一方面，APP后台数据库的安全性以及数据使用方式均无法保障，存在数据泄露、超范围使用的风险。

2.3 核心网

基站定位作为另一种重要的定位方式。核心网通过测量终端信号强度、上下行信号时间差以及信号到达/离开角等参数计算终端与基站的相对位置，并基于基站真实位置信息得到终端真实位置。在5G网络中(见图3)，定位功能主要由定位管理功能(Location Management Function，LMF)、移动定位中心网关(Gateway for Mobile Location Center，GMLC)以及定位服务(Location Service，LCS)客户端等网元和功能模块共同实现[5]。

网元和平台的安全性对于位置信息的安全性至关重要。需防范针对5G核心网发起的网络攻击或因运维人员操作不当，越权访问等因素导致的位置数据泄露或违规使用等风险。

2.4 其他定位服务

扫描二维码等定位方式依赖于二维码等实体的实际位置。用户扫描二维码后，应用后台便可获取用户与二维码的关联关系，通过将二维码与实际所在物理位置进行关联，便可精准获知用户在扫描时刻的位置信息。

对于来源不明的二维码，其运营主体不明确，数据使用方式未受监督，将存在较大的安全风险，无法排除恶意收集位置信息和违规使用个人敏感信息的可能性。

3 用户位置信息保护策略研究

通过对位置信息安全风险研究发现，目前的位置信息安全风险点主要存在于终端、APP、核心网、定位服务，以及用户使用方式。因此，需要终端厂商、应用服务提供商、基础电信企业、定位服务提供商、用户等参与主体共同努力，通过加强各环节的流程管控，共同保护用户位置数据的合规使用。

为防范位置信息在流转环节可能存在的违规采集、超范围使用、数据泄露等安全风险，建议实施移动用户定位安全保护策略(见图4)，以降低目前存在的位置信息安全风险。该策略由应用管理、数据安全保护、个人行为引导3部分组成。

图4 用户位置信息保护策略

3.1 应用管理

在我国用户位置信息安全管理体系下，应用商店、第三方检测机构应依据现有法律政策规定的必要个人信息采集范围，对上架应用进行严格审核，保障应用程序能按照最小必要原则合规采集、使用用户位置信息。除了严格管理应用商店上架的应用程序外，需进一步防范非可信来源的应用违规采集用户位置信息。为提高用户对可信应用的感知度，可采用应用标识管理等方式，对合规应用进行标注，该方式能在有效管理应用的同时，进一步帮助终端区分可信和非可信应用。对有标识的应用，终端可依据用户授权方式提供位置信息访问权限；对无标识的应用，则认为未通过合规检测，终端可为用户进行风险预警，或仅提供模糊位置。通过标识对应用进行管理，能有效防止用户精准位置被非信任应用获取，是保护用户位置信息安全的一种重要方式。

3.2 数据安全保护

加强应用提供商、定位服务提供商后台数据库，以及LMF、GMLC、LCS客户端等核心网网元、定位平台的安全评测，有针对性加强安全防护能力部署，是保护定位数据安全性的一种重要方式。可采用严格管理定位数据访问权限，对定位数据进行加密存储和传输、部署必要的入侵防御能力等措施降低可能存在的来自内部运维人员和外部网络攻击带来的安全风险。此外，应细化和保留定位数据使用的全流程日志记录内容，通过自查和第三方监督等方式定期查阅日志，保障定位数据全流程使用的合规性。

3.3 用户行为引导

除上述策略外，应通过宣传教育等方式，帮助用户提高个人信息保护意识。通过注意终端和应用使用方式，尽可能避免因个人行为不当造成的数据泄露。一是避免通过应用商店以外的其他渠道获取APP，仅下载和使用经过第三方检测机构或应用平台严格审核后的APP。二是对APP授予位置信息读取权限前，根据使用场景谨慎评估是否授权。三是仅在需要时开启蓝牙、Wi-Fi等功能，避免周边部署的Wi-Fi路由器、蓝牙发射器等设备基于参考节点位置关联、获取终端位置信息。四是谨慎扫描二维码，在扫描二维码前应了解二维码的发布平台、用途等关键信息，避免扫描来路不明的二维码导致位置信息泄露。