傅小兵 冯志伟 国家计算机网络应急技术处理协调中心江西分中心 江西省南昌市 330038

0 前言

移动APP的信息安全情况近两年受到舆论媒体重点关注，2020年“3●15”晚会曝光了趣头条APP虚假广告和多款APP违规收集个人用户信息的情况。而在2021年“3●15”晚会上，再次针对四款诱导老年人下载、违规收集老年人个人信息的APP违规行为予以曝光。移动APP各类信息安全问题已经引起社会和公众的广泛关注，如何确保移动APP的个人信息安全已成为亟待解决的问题。

1 APP安全现状

1.1 移动互联网规模飞速发展

根据工信部统计数据显示，截止2020年12月，国内市场上监测到的APP（移动互联网应用）数量为345万款，较2019年减少22万款。其中排名前四的游戏类、日常工具类、电子商务类和生活服务类APP占比合计达59.2%。我国的网民总体规模较2019年增加8886万人，达到了十亿网民的规模，其中手机网民规模达到了的9.86亿，使我国成为了全球最大的数字社会。网民增长的主体由青年群体向未成年和老年群体转化的趋势日益明显，19岁以下和50岁以上分别占总体比例为16.6%和26.3%。

1.2 移动互联网信息安全风险加剧

根据CNCERT发布的《2020年上半年我国互联网网络安全监测数据分析报告》，上半年新增移动互联网恶意程序163万余个，同比增长58.3%。通过对恶意程序的恶意行为统计发现，排名前三的仍然是流氓行为类、资费消耗类和信息窃取类，占比分别为36.5%、29.2%和15.1%。信息窃取类恶意程序感染用户手机后会在用户不知情或未授权的情况下，获取通信录、短信、位置、通话等个人隐私信息。

出于经济目的，一些用户常用量大面广的APP会依靠收集个人用户数据进行“用户画像”，从而针对用户 “精准营销”，例如在浏览器中搜索了某些信息，打开另外的网页或应用，用户会收到搜索过的相关产品的广告推送。

移动互联网时代，数据成为重要资源。个人信息数据涉及个人的方方面面，具有重要价值，已经成为众多违法行为的目标。近年来数据泄露、滥用以及利用已泄露数据实施电信诈骗等事件时有发生，个人信息数据亟需保护。

1.3 移动互联网治理工作初见成效

为切实治理个人信息保护方面存在的乱象，2019年1月25日，中央网信办、工业和信息化部、公安部和国家市场监管总局等四部门联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》并成立APP专项治理工作组，工作组成立后相继出台完善《APP违法违规收集使用个人信息行为认定方法》《个人信息安全规范》等标准规范，APP运营者履行个人信息保护责任义务的能力和水平得到提高，全社会开始日益关注个人信息安全问题。

2 APP信息安全隐患风险分析

随着移动支付、消遣娱乐等软件的普及，用户对移动APP的依赖越来越强，但随之留下的个人操作记录和信息数据也越来丰富，个人信息安全问题也日益凸显。

常见个人信息主要包括以下几个方面：1）个人身份信息，如身份证号、家庭住址、电话号码等；2）通信信息，包括来电记录、聊天短信等信息；3）空间隐私，手机定位信息、常在地点等；4）身体信息，即健康状况信息，包括每日步数、心率频率、睡眠时间等。甚至，其他一些相关的基本信息经过数据重组，即可还原人物画像（用户的喜好、作息、频繁出入点）；5）财产信息，包括银行卡号、支付宝等其他电子支付账号信息。

导致以上个人隐私信息泄露的原因主要有以下几点：1）用户群体素质不一，安全意识薄弱。移动互联网受众也逐渐“老龄化”“未成年化”，小到幼儿、大到老人基本会使用移动APP，而这些受众很少会关注自身隐私安全；2）APP应用市场鱼龙混杂，缺乏平台统一监管。APP市场的红利被众多开发商关注到，导致各类APP被迅速开发上线，但上线前却很少会对APP进行技术检测工作，上线后也很少会进行安全监测来确保APP的安全运行；3）APP强制索权、越界索取权限。多数APP安装时需要获取用户权限，但很多用户权限都是不必要性的，APP在没有明显告知用户获取权限的信息及用途的情况下强制索权甚至越界索取权限，厂商通过这种方式来获取用户的个人信息，利用大数据分析来获取超额利益。4）明文存储个人信息。许多APP会在用户的终端、APP后台明文存储用户的个人隐私信息，容易被别有用心者非法获取了数据，为恶意欺诈等行为推波助澜。5）账号注销限制多，甚至无法进行账号注销。账号注销本应是用户的个人权利，但是厂商因为“用户量”这一市场竞争力和商业衡量指标，对用户注销设置很多不合理的条件，有些APP设置了需要提交额外个人信息等条件才可完成注销，不论最后注销与否都存在数据过度留存的风险。

3 APP信息安全防护思考和建议

解决信息安全隐患在移动互联网的应用服务领域是一项重大的挑战，应当从实际情况出发，在政府、行业组织、企业的多方协作下以法律法规为准绳，行业标准为指引，强有力的执法和行业监管为保障，技术手段作为依托构建一个全方位的管理体系。

在建章立制方面，加快推动如《个人信息保护法》、《数据安全法》的出台，通过立法全方位细化约束APP个人信息的收集、处理和利用，并不断完善现有的法律和规章制度。

在监管方面，应建立APP数据安全的长效监管机制，开展APP备案工作，建立APP数据安全监测、通报机制，及时发现安全隐患，督促整改。开展APP违法违规收集个人隐私专项行动，定期开展针对APP运营者、重点移动应用商店、智能终端企业的监督检查，以查促管，督促产业链上下游落实自身责任。建立信用监管机制，基于隐患整改和投诉举报信息，对存在不良信用记录的APP重点监管，对造成用户权益受损的APP运营单位及个人依法依规进行处罚。

在行业层面，应推动行业行为准则落地见效，依托现有的行业组织，推动相关标准和规范在从业活动中应用，配合监管部门开展监督检查工作。加大APP安全使用宣传，提高全社会对个人信息安全保护的认识。

在企业层面，应当积极开展APP违法违规收集使用个人信息自评估工作，建立严格和完善的数据安全和用户信息保护机制。加强技术检测防护，把安全理念贯穿融入业务全流程，上线前落实合规及技术检测，上线后进行安全监测来确保APP的安全运行。