天津市通信管理局│孙金青

APP风起云涌背后的隐忧

天津市通信管理局│孙金青

近年来，智能终端迅速普及，各类APP也随之风生水起，在满足用户需求的同时，众多安全性较低的APP也给不法分子提供了可乘之机，需要监管部门基于互联网思维进行监管与防范。

随着智慧城市和移动互联网的快速发展，以及智能手机、平板电脑等移动终端的普及，移动应用软件（APP）种类、数量呈爆发式增长，一方面APP在很大程度上满足了公众日常工作、学习和生活的高品质需求，另一方面也带来了手机用户个人信息安全、财产安全、权益保护以及恶意软件如何监管等方面的问题。

小心便捷背后的“陷阱”

滥用权限索取个人信息

目前，仍存在众多读取用户信息、滥用权限的手机APP，甚至看似简单的APP，如手电筒、闹钟、动态壁纸等也要求用户开启手机的某些权限（如读取通讯录、短信内容、位置信息等），而这些权限与其本身的应用并无任何关系。

移动APP泄漏手机用户数据事件早已屡见不鲜。窃取通信录、照片、位置信息、通话记录、短信内容、账户及密码等个人信息的事也时有发生。而滥用权限恰恰是不规范收集用户个人信息的重要途径。工信部“关于电信服务质量的通告(2016年第1号)”指出，2015年第四季度，在对40家手机应用商店的应用软件进行技术检测后，发现不良软件41款，涉及违规收集使用用户个人信息、恶意“吸费”、强行捆绑推广其他无关应用软件等问题。

非法手段盗取账号余额

对于打车软件、网购手机客户端、微信红包、支付宝等应用软件而言，移动支付安全是手机用户不得不面对的问题。恶意APP侵入手机，获取银行卡、支付宝等账号、密码，窃取账号余额的事层出不穷。如：经营网店的余某因扫描了“客户”发来的“具有实物尺寸等信息的二维码”，手机被“客户”移入木马，后余某发现不仅支付宝里的余额被全部转走，另外一张与支付宝绑定的银行卡中也有2000元被转走。另外，违法犯罪分子还通过“伪基站”发送带有木马病毒的链接实施诈骗活动。

专业APP也非绝对安全

APP运营（多可以归为电子商务范畴）相对专业，在公众中具有较高的信任度，但从实际情况看，专业运营者提供的商品或服务也并非不存在问题，现实社会中的状况往往都会映射到网络空间中。如食品类外卖APP中不乏不良卖家：与线下去餐馆不同，消费者无法对餐馆卫生作出大致的判断，在享受食品APP带来高速便捷用餐体验时，或许不曾想到，“高大上”的美食可能来源于操作环境恶劣、食材来历不明的“黑厨房”。

出现这些问题的原因主要有3方面：一是相关主体的权责被忽视，即手机用户的选择权等权益没有得到保障，手机生产企业、APP开发者、运营者和分发渠道商等履责不到位。二是部分手机用户安全意识弱，防范技能差和警惕性低是个人信息泄露、账号余额被窃的一个重要原因；三是行政监管工作没有跟上网络思维的步伐，对APP相关企业、线上商家以及利用APP为工具从事的活动缺少必要的事中、事后监督。

明确相关主体权利和责任

手机用户自主选择APP的权利

客观地讲，品牌手机上预装的APP多是品质较高、较实用的工具，这些APP更受手机用户欢迎。手机用户对APP期望可以大体归为两点：第一，手机生产企业可以预装APP，但必须将卸载权交给手机用户。第二，除打车软件、导航地图、社交类APP等因功能需要读取位置信息、通讯录外，其他主要功能与位置、通讯录无明显相关性的APP不得以此要求为使用条件。当然，这些APP可以尝试采取区别服务的方式，如手机用户明确授权的，可以免费享受服务或者获得更高、更好的服务。另外，对于手机用户而言，需要提高对APP的辨别能力，不下载、不安装来历不明的APP，遇到可疑APP要积极向监管部门举报，共同净化网络环境，让恶意APP无处遁形。

这样，既可以充分尊重手机用户的选择权、知情权，也可以避免限制APP产品创新。在大数据时代，必须兼顾手机用户权益和APP创新两个方面。

手机生产企业的责任

规范手机生产企业（包括其主要销售渠道）的行为是治理预装APP的一个重要环节。在手机出厂前，生产企业一般会在手机里预装一些应用软件。手机生产企业预装APP应该遵守一定的规则：首先，在产品说明书中提供预置软件列表信息，并在产品说明书或外包装标示预置软件详细信息的查询方法。其次，确保所提供的除基本功能软件之外的手机应用软件须可卸载，且手机中附属于该软件的资源文件、配置文件和手机用户数据文件等也应能够被方便卸载、删除。同时，确保已被卸载的预置软件在手机操作系统升级时不再被强行恢复。再次，手机生产企业应采取有效措施约束代理商，未经手机用户同意不得擅自在手机中安装应用软件。提示手机用户如对手机原配软件有疑问，可以通过生产企业官方网站或客服中心进行型号、批次查询。第四，对于必须获取ROOT权限才能卸载预装应用APP的，生产企业不得以此限制手机用户享受保修服务的权利。

APP开发者、运营者的责任

APP开发与应用密不可分，二者相辅相成，这两个主体的责任相互关联：第一，作为开发商或应用运营者，在将APP发布之前应对其进行漏洞检测，发现并消除APP中可以预见的、隐含的技术安全漏洞，初步保障APP的质量。这不仅是保护手机用户的利益，也是保护自身的利益。第二，APP开发者、应用运营者在将APP投入运营时，应通过自身官方网站、应用商店或其他分发平台等明示所提供手机应用软件的信息，包括名称、功能描述、卸载方法、开发者信息、软件安装及运行所需权限列表等，明确告知手机用户，应用软件收集、使用手机用户个人信息的内容、目的、方式和范围等。第三，正在运行的APP，在手机主页面要有明确的提示。

明确APP分发渠道提供者的责任

应用商店也好，其他移动应用发布平台也罢，都是手机用户获取APP的主要来源。作为移动应用发布平台服务商，必须尽到一定的义务：第一，保障应用发布平台的网络安全。应用发布平台要对其发布的APP安全负责，必须有效地管理平台上的应用程序。第二，核验所提供应用软件运营者、开发者的真实身份、联系方式等信息。第三，建立APP管理机制，对APP进行审核及安全、服务等相关检测，以降低、甚至杜绝向手机用户提供违法、违规软件的概率。第四，记录并留存所提供应用软件，以及该软件有关版本、上线时间、功能简介、用途、MD5值、服务器接入等信息以备追溯检测。第五，对所提供APP进行跟踪监测，建立完善手机用户举报投诉处置措施等，发现的恶意应用软件及时下架。第六，加强网络安全防护以及对相关人员的教育培训，保障自身系统安全和手机用户个人信息安全。

基于互联网思维进行监管与防范

完善法规明确部门职责分工

有观点认为，在APP监管事宜上，存在“九龙治水”现象，亟待打破“多头管理”体制。其实，在网络（包括移动互联网）空间中发生的事件与现实社会中发生的事件是相似的，事件性质一样，不同的是手段、形式发生了变化。APP是法人、其他组织以及自然人进行各项活动而借助的工具或手段，它为各类主体活动提供了更为便捷的方式。因此，行政管理部门监管对象、监管职责可以直接拓展至网络空间，相关行政管理部门依照分工、各司其职在网络空间里履行自己的法定职责。对于职能交叉的部门要明确权责，以避免出现监管真空或相互推诿。

如对于外卖APP的监管：新修订《食品安全法》规定，网络食品交易第三方平台提供者有对入网食品经营者进行实名登记、明确其食品安全管理责任、审查其许可证的义务。同时发现入网食品经营者有违法行为的，应当及时制止并立即报告食品药品监督管理部门、立即停止提供网络交易平台服务。如果网络食品交易第三方平台提供者不履行此项义务，由食品药品监督管理部门予以处罚。

建立健全APP认证制度

对APP新产品，由开发者自愿通过专业APP应用程序检测机构进行检测是可行的，对即将发布的应用程序进行恶意代码、隐蔽功能等安全审查。审查通过的应用程序进行数字签名识别，在APP应用平台发布时可以标注认证标识，以此帮助手机用户筛选可信度高的应用程序。

同时，由公益性APP监测机构为公众提供APP安全性检测程序。手机客户端的安全程序可以实时监测终端各项指标，发现异常后，及时阻断并进行追踪。提升客户端安全软件的查杀能力，做到恶意APP能被及时查杀，并且可以追踪恶意APP的来源，并将恶意软件信息和数据共享到云平台等，为以后的软件检测提供参考。

编辑｜赵艳薇 zhaoyanwei@bjxintong.com.cn