于润东 中国信息通信研究院技术与标准研究所助理工程师

常　城 中国信息通信研究院技术与标准研究所助理工程师

关于加强手机应用软件用户个人信息保护工作的几点建议

于润东 中国信息通信研究院技术与标准研究所助理工程师

常城 中国信息通信研究院技术与标准研究所助理工程师

对手机应用软件用户个人信息保护检测工作的基本情况，以及用户个人信息保护重点问题进行了介绍和分析；在此基础上，提出了我国推进手机应用软件用户个人信息保护工作的指导性建议，为我国进一步加强用户个人信息及相关权益保护提供借鉴和帮助。

手机应用软件 用户个人信息保护 建议

1　引言

以云计算、大数据、物联网代表的技术创新正掀起信息产业新的发展浪潮，新型移动智能终端、OTO等互联网服务发展迅猛，移动互联网已慢慢改变了人们的生活习惯和行为模式。用户个人信息作为信息服务与用户连接的载体，为信息领域新产品、新服务发展提供了重要支撑。正因为用户个人信息具备的高价值属性，用户个人信息未经授权即过度采集和滥用的问题愈发严重，用户个人信息泄露事件频繁发生，用户个人权益受到了严重威胁。

一般情况下，通过手机泄露用户个人信息的途径有3种：

（1）手机预装操作系统存在安全漏洞或被植入恶意程序。

（2）用户在使用通信网络提供的基础及增值服务过程中短信等服务内容被拦截、盗用。

（3）智能手机内容应用通过权限调用等手段获取用户个人信息。伴随我国智能手机产业的飞速发展，智能手机在手机市场的占有率将进一步提高。可以预测，通过智能手机应用获取用户个人信息的行为将更加多样，海量移动终端和应用对用户个人信息的收集和使用将无处不在。

工业和信息化部先后出台《规范互联网信息服务市场秩序若干规定》和《电信和互联网用户个人信息保护规定》，对我国电信服务和互联网信息服务过程中收集、使用用户个人信息的活动提出了明确要求。然而面对智能终端快速发展的形势，以及具体细则及条例指引缺乏的现状，恶意手机应用窃取用户个人信息的事件仍频有发生。面对严峻的用户个人信息保护形势，手机应用市场亟需树立行业规范，相关部门亟需加强技术检测手段建立和监管机制完善，进而营造良好的用户个人信息保护氛围，维护用户的合法权益。

本文将对智能手机市场热门手机应用软件的用户个人信息保护检测结果进行分析，总结手机应用软件的用户个人信息保护重点问题，提出用户个人信息保护的指导性建议，为我国进一步加强用户个人信息及相关权益保护提供借鉴和帮助。

2　手机应用软件用户个人信息保护

2.1手机应用软件基本情况

现有热门手机应用软件主要分为工具类、游戏类、社交类、影音类、主题类、阅读类等。其中，工具类包括地图及导航服务、点评推荐等应用软件；游戏类包括网络手游及单机手游等应用软件；社交类包括即时通信及微博等社交应用软件；影音类包括视频内容、音乐内容等应用软件；以及其他类包括阅读，主题等手机应用软件。

手机应用软件目前主要运行在三大操作系统，分别是谷歌Android、苹果iOS、微软WindowsPhone操作系统。其中，Android操作系统占比最大，Android是一个开放源码的手机操作系统，运行在其上的手机应用商店数量众多，各个应用商店对其上架手机应用软件的审核机制不尽相同，对手机应用软件的安全检查水平参差不齐。从目前国内用户对手机应用软件不合理采集、使用用户个人信息的投诉情况以及大量手机应用软件市场分析报告看，问题应用较多集中在Android应用市场。

2.2手机应用软件用户个人信息监测基本情况

自2013年下半年起，受工业和信息化部信息通信管理局委托，中国信息通信研究院技术与标准研究所“用户个人信息保护实验室”对Android手机应用软件用户个人信息保护情况进行定期跟踪监测，监测统计结果显示，目前手机应用软件存在大量采集用户个人信息的行为。

为了分析Android系统手机应用软件采集用户个人信息的行为，“用户个人信息保护实验室”每个月随机对40家移动应用商店的4万款手机应用软件进行抽样检测。主要对4类行为进行检测，以某个月份的检测为例，结果如下：

（1）读取用户设备信息情况

检测的用户设备信息包括手机IMEI、IMSI、手机号码及位置信息。结果显示，各类型手机应用软件读取用户设备信息行为占比约80%左右（见图1）。

（2）读取用户联系人和通信信息

检测的用户联系人和通信信息包括用户通讯录、通话记录、短信记录等信息。结果显示，各类型手机应用软件读取用户联系人和通信信息行为占比约5%左右（见图2）。

图1　各类型手机应用软件读取用户码号及位置信息统计情况

图2　各类型手机应用软件读取用户联系人和通信信息统计情况

（3）读取用户系统信息

检测的用户系统信息包括用户手机应用安装列表、音视频列表、手机系统日志等信息。结果显示，各类型手机应用软件读取用户系统信息行为占比约50%左右（见图3）。

（4）手机应用软件植入广告或权限存疑

各类型手机应用软件植入广告或权限存疑（内嵌广告、申请权限存疑）行为占比约95%左右（见图4）。

图3　各类型手机应用软件读取用户系统信息统计情况

图4　各类型手机应用软件存在植入广告或权限存疑行为统计情况

2.3手机应用软件用户个人信息保护重点问题

结合监测统计结果以及对部分应用的针对性检测结果，分析发现手机应用软件存在的用户个人信息保护重点问题如下：

（1）权限调用不全为服务所必需

工具类、社交类应用软件可以作为服务必要获取用户位置信息，然而监测发现大量阅读类、主题类、影音类应用软件在没有提供位置服务的情况下获取用户位置信息，部分应用存在调用提供服务不需要的相关权限行为。

（2）部分应用调取手机权限未经用户允许

监测发现部分应用在调用手机通讯录、位置信息等权限时未明确提示用户，部分应用存在用户不知情情况下获取用户个人信息现象。

（3）部分应用私自将用户通讯录及位置信息发送到远端服务器

监测发现部分应用获取用户通讯录及位置信息后，未经用户允许即将用户个人信息传送至远端服务器。

以上3类重点问题显示，基于手机应用软件的用户个人信息采集和使用现象非常突出，已成为当前用户个人信息保护工作的重灾区。如果放任手机应用软件对用户个人信息继续不合理采集与使用，将对电信与互联网服务行业产生很大程度的负面影响。

3　建立手机应用软件健康环境建议

3.1推动行业自律

纵观手机应用软件市场，用户个人信息违规采集和使用的事件仍频频发生，这与手机应用市场上大部分应用商店松散的应用上架管理机制不无关系，手机应用市场还未形成良好的个人信息保护环境。各大手机应用商店如果能够加强对开发者的审查管理以及建立完善的应用上架前审核机制，将对手机应用软件市场绿色化、规范化提供极大地帮助。建议手机应用市场的各家应用商店对应用上架前进行严格的检测，进而促进良好的行业发展环境，营造一个企业和用户的双赢局面。

在用户个人信息保护上，美国一直积极探索行业自律之路，形成了建议性的行业指引（Suggestive IndustryGuidelines，一般是行业组织、公司或产业实体制定该行业的行为指引或隐私标准为行业内的隐私保护提供示范）以及网络隐私认证计划（Online Privacy Program，是一种私人行业实体致力于实现网络隐私保护的自律形式），对个人信息进行了有效保护，同时促进了信息流通。我国在用户个人信息保护上还未形成良好的行业自律环境。建议以手机应用软件市场为试点，加强手机应用软件产业规范行为指引，推进建立电信和互联网行业用户个人信息保护联盟，对手机应用软件进行标准一致性认证，推动行业联动营造良好的手机应用软件产业健康发展环境。

3.2加强政府监管

检测经验标明，违规问题的发现与取证仍然是手机应用市场用户个人信息保护工作的难点，权威的检测结果及准确的违规行为研判是保证问题有效处理的关键。建议我国加强手机应用市场用户个人信息保护技术检测能力和违规取证能力建设，推动行业权威第三方检测平台建设，一方面为政府监管提供技术手段支持，另一方面为用户维权提供权威检测。

用户个人信息保护现有监管条令并未细化到手机应用软件市场，建议政府相关部门尽快出台更加细化且可操作性强的规章制度和标准，为手机软件市场用户个人信息侵权判定提供依据，为企业自律提出明确的指导性文件。建议逐步加强监管手段建设，形成完善的用户个人信息保护检查及管理制度，分阶段对手机应用市场进行大规模检查，对发现的违规行为加大处罚力度，促进手机应用市场健康发展，进而带动整个电信互联网行业绿色发展，切实加强用户个人信息保护、维护用户合法权益。

Suggestions for Personal Information Protection of MobileApps

In this paper，weintroduce our test effort on personal information protection of mobile apps， and summarize the key problems of current personal information protection work. Basing on this， we propose the suggestions for personal in formation protection of molibe apps in China， so as to provide

and help for other personal information protection work.

mobileapps，personalinformationprotection，suggestions

2015-09-20）