掌心时代的安全探行
2020-05-04林桦芫
林桦芫
APP(移动互联网应用程序)已经渗入生活的各个方面,在给人们带来各种便利的同时,也存留下不小的安全风险,比如个人信息被泄露后滥用、高仿APP甚至已形成危害用户网络安全的产业链。在掌心时代,网络安全的本质仍是技术对抗,保障APP的安全运营与操作离不开网络安全技术和产业的有力支撑。
掌心时代守护安全
据中国互联网络信息中心发布的第46次《中国互联网络发展状况统计报告》,截至今年6月,中国内地网民规模达9.4亿人,手机上网比例高达99.2%,远超37.3%的台式电脑、31.8%的笔记本电脑上网比例,越来越多的人习惯用手机APP处理各种事务,“在移动领域,设备只占使用体验的一小部分,用户的大部分体验还是网络。尽管移动安全产品会影响用户的使用体验,但它也能提升设备的安全性。”与之相对的是,今年以来公安部依法处置了7000多款存在违法违規行为的APP。《全国移动APP风险监测评估报告》的统计数据显示,其收录的318万款APP中,95%以上的APP存在一定程度的漏洞,近一成存在恶意行为,存在着隐私泄露的隐患,安全存疑。
去年全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会即已成立APP违法违规收集使用个人信息专项治理工作组,推动APP违法违规收集使用个人信息评估工作。此前工信部印发的《电信和互联网行业提升网络数据安全保护能力专项行动方案》提出,要深化APP违法违规专项治理,持续推进APP违法违规收集使用个人信息专项治理行动,并在2020年累计巡查4.8万余款APP,专项检查200多款APP。
9月20日,APP专项治理工作组联合中国电子技术标准化研究院发布“APP个人信息保护合规评估工具”,其将为企业免费提供APP隐私条款评估、个人信息保护合规自查等在线服务。同时,我国APP安全认证工作正式开展,云闪付、苏宁易购、中国移动、百度地图等10家企业的18款APP获颁安全认证证书;根据规定,获证APP运营者在认证过程中存在欺骗、隐瞒、违反承诺等不当行为,认证机构将撤销认证。中国网络安全审查技术与认证中心主任魏昊表示,“开展APP安全认证工作,主要是建立、完善权威公信的APP安全认证体系,利用市场选择机制引导APP运营者规范个人信息收集、使用、转让等行为,为数据安全综合治理提供基础性技术支撑,规范市场秩序。同时,将APP安全认证作为一种常态化机制在APP治理工作中的积极作用发挥出来,减少各行业管理部门的重复检测和评估,降低企业负担。”中国传媒大学文化产业管理学院法律系主任郑宁则认为,“APP安全认证制度的建立和实施,旨在帮助政府部门充分利用市场选择机制的引领作用,营造良好的APP消费使用环境,建立规范化的收集、使用个人信息的APP行业生态。”
多方合力共建生态
注册备案、行业调研、专业策划原型、系统架构策划、UI设计、客户端开发、上架应用、后期维护……APP制作门槛并不高,且多数应用市场审核并不严格,APP安全爆雷事件由此多发;同时,一些企业抱着“不管有用没用,多收集一点总没坏处”的心态,滥采用户信息和资料,备做它用……这样的市场混沌情形下,个人在互联网上的困境自然越来越明显。
个人信息安全已被行业及公众愈加重视,但亦不必陷入绝对的恐慌情绪,APP专项治理工作组专家何延哲表示,“一方面,用户的隐私保护意识越来越高是好事,但另一方面,很多人陷入了一个误区,似乎一谈到收集个人信息就是完全错误的,但事实上APP收集个人信息在很多情况下也是为用户服务。”这其间需要把握的度量在于,“我国出台的相关法律法规保护个人信息的使用,主要就是体现在要求用户有知情权,另外要允许用户在拒绝这些权限索取的情况下,依然提供正常的服务。”
实际上,APP哪些收集个人信息的行为属于违法、违规已有明确界定,2018年的国家标准《个人信息安全规范》即对收集个人信息给出三项衡量标准——收集个人信息与实现产品或服务的业务功能之间的直接关联、最低频率和最少数量关系。个人信息的收集使用规则需有一个从无到有、从不透明到透明的过程,最明显的就是两三年前没有隐私政策的APP占主流,如今有隐私政策的APP才是主流,以往很少设置的注销功能也成为标配,根据规定,只要注销账号,企业必须在业务系统中去除个人信息。
建立、完善权威公信的APP安全认证体系至关重要,国内的知名安全软件公司已经纷纷出现在移动安全市场。但APP技术迭代日新月异,安全漏洞的解决不可能一劳永逸,正如相关专家所指出的,“APP个人信息安全保护涉及多个主体,需要政府部门、APP企业、SDK企业、手机企业、应用商店企业、行业组织、研究机构共同努力,形成个人信息保护的良好生态和强大合力。”意即达到认证让APP更安全,监管让认证更有效的状态。