王彩玲

（河南警察学院 网络安全系，河南 郑州 450046）

大数据时代，与社会、组织以及个人存在关系密切的战略资源即为个人信息。广大人民对个人信息安全的关注愈发显著，但我国个人信息泄露事件并未扼杀住[1]。因此，有效治理公民个人信息泄露是我国信息安全领域目前亟待处理的问题之一。我们必须制定新的理论科学指导，探索有效、合理的信息安全监管模式来解决该问题。目前，一些西方国家在公民个人信息泄露治理问题中大多以多元主体整治理论为主。不仅政府需要充分使用其管理职能，社会各界组织和公民均须积极加入到处理个人信息泄露的问题中，一起构建不存在危险的个人信息化环境[2]。我国虽然对个人信息泄露治理问题也制定了有关处理方法，但治标不治本，监管效果欠佳。2018年，我国消费者协会颁布《App个人信息泄露情况调查报告》，报告指出目前至少85%的受访者存在信息泄露状态，用户个人信息泄露后，至少85%的受访者会受到推销电话与短信的骚扰。由此可见，App个人信息泄露安全治理刻不容缓[3]。

为此，以 App 个人信息泄露黑色产业链治理问题为研究核心，探究应用程序个人信息泄露的途径，分析应用程序个人信息泄露黑色产业链的结构，从法律保护手段及保障机制两方面控制应用程序个人信息的泄露，并提出 App 个人信息泄露黑色产业链治理策略，为当下 App 个人信息泄露黑色产业链治理提供有价值的参考。

一、App 个人信息保护困境的成因

（一）App 个人信息保护的法律保护手段不够完善

1.立法保障不足

在 App 个人信息保护方面，立法体系在保护方面的不完善主要表现在三个方面。

（1）缺乏针对性的个人信息保护法律

在应用程序个人信息泄露黑色产业链的治理上，我国现有的个人信息保护立法还不够健全，个人信息保护的原则在法律文本中分散。没有完整的个人信息保护法，是针对应用程序用户的。就个人信息而言，没有系统的保护规定。应用程序个人信息问题属于互联网移动网络领域的信息安全问题，个人信息保护本身属于系统工程。建立统一的个人信息保护指南，可以充分保护应用程序行业用户的个人信息。要在最短的时间内制定有针对性的个人信息保护法，制定个人保护基本方针，完善个人信息保护机制。

（2）法律文本对个人信息保护缺乏详细的规定

从目前我国对个人信息保护法律内容的研究来看，很多法律内容只是对用户个人信息保护的声明，而个人信息保护的基本原则并不完善。由于没有基于基本原则的指导，个人信息保护制度中缺乏统一的指导思想，导致某些规则之间相互排斥，从而阻碍了法律的实施。信息保护尚未真正解决[4]。

（3）用户个人信息权益保护不完善

目前，在应用程序个人信息违法交易黑色产业链治理中，没有明确的责任赔偿标准，也没有明确的民事责任，用户个人信息权益保护不完善，直接影响到保护用户的个人信息权利。对比之下，一些西方国家对 App 个人信息泄露的法律保护问题先后颁布了具有针对性的个人信息保护法，比如：美国在1974 年、1986 年分别颁布的《隐私权法》《电子通讯隐私法》，德国在1977 年颁布的《联邦个人数据保护法》，欧盟国家在1995 年颁布的《欧洲联盟数据保护指令》等，均在一定程度上有效催化了自身国家互联网信息产业的蓬勃发展。

2.缺乏统一的行政管理措施标准

虽然建立了国家网信部门，但在治理应用程序个人信息非法交易黑色产业链方面，我国应用程序个人信息监管机构的协调性不强，即使设立了国家网信部门，具体的个人信息保护并不协调。对应用程序个人信息泄露黑色产业链的监管存在着监管多、监管不到位、执法资源不能合理利用等问题。由于应用程序个人信息保护涉及到多个环节、多层次，而目前对个人信息泄露的黑色产业链缺乏系统性、多级的监管机制。

3.司法救济措施的不足

对应用程序中的个人信息的泄露，按照我国的消费者权益保护法，即使法律对各种纠纷的处理方式作出了规定，但现实中，诉讼是比较适宜的。但是，由于诉讼费用高昂，侵权人和受害人数量庞大，民事法律关系变得十分复杂。这个时候举证困难的增加，导致应用程序消费者在侵权救济中陷入了困境。私人信息因其有显著的经济价值，逐渐为不法之徒用以牟利。所以，违法者侵犯了使用者的个人信息权利，不仅会使权利人遭受财产损失，而且会造成精神上的损失。为此，对侵犯个人信息的赔偿，应建立严格的补偿机制，对精神损害进行双重保护。另外，我国目前侵犯个人信息领域的民事责任制度还没有对其进行规范，从而导致了对个人信息侵权的司法救济措施缺失[5]。

（二）App 个人信息保护的保障机制不完善

1.安全保护技术欠缺

App 技术与人们生活方式的发展存在直接联系，移动互联网技术的发展使应用程序成为人们生活里不可或缺的存在。而伴随新技术的使用，新的安全隐患也愈发严重。消费者个人信息变成非法人员重点关注的窃取目标，而目前已有的安全保护技术工作效率较差，拦截效果不是很理想。

2.行业自律规范不健全

App 行业在互联网技术的催化下，发展速度得以加快。而因为 App 行业规范不健全，致使行业乱象频频出现，对用户个人信息安全存在严重的威胁。我国 App 应用市场的审核机制较为缺乏，因为缺少行业自律规范，App 行业通过安全审查的数目极少，仅存在少量应用程序厂家通过审核。App 应用市场中，有些不法商家为了抢占市场，安全技术抛之脑后。且因为自律性规范的不健全，消费者专业知识不足，不能判断应用程序的真伪性，便易掉入陷阱。山寨版应用程序的出现，对 App 行业的绿色发展存在显著的负面影响，对消费者个人信息安全存在不利影响。

3.个人保护意识欠缺

因商业营销策略的更新，精准化营销模式的出现，网站通过Cookie 采集用户信息，便可以围绕用户的喜好、习惯对其推荐其感兴趣的商品与服务信息，为用户提供针对性的网页内容。若用户的个人隐私信息泄露，便会出现严重的不良后果，但是应用程序消费者没有意识到个人信息泄露的负面后果。

最节省成本的保护安全措施即为用户个人保护意识的增强，但是很多终端用户在安装应用程序时，因为自己没有充足的自我保护意识，不能准确判断安全隐患。

二、App 泄露个人信息的途径

当前，应用程序中存在的非法收集个人信息、过度授权、频繁骚扰、侵害用户权益等问题比较突出，引发了强烈的社会关注。App 泄露个人信息的途径主要是越界提取用户隐私权限、加入木马病毒、买卖用户个人信息这三种。

（一）越界提取隐私权限

手机应用程序在使用个人信息时必须对用户即时告知并申请用户同意。处理用户个人信息的过程中必须按照“最小够用”标准，得到用户同意[6]。但是，在相关研究部门总结的《App个人隐私研究报告》中指出，越限申请、采集、传输用户信息是当下手机应用程序常见的情况。越界提取隐私权限主要分为手机联系人权限、窃取短信权限、窃取定位信息。

1.手机联系人权限

2018 年，我国各类手机应用程序使用读取联系人权限已成为个人隐私泄露的重要环节。社交、视频、网购等很多类型 App 读取用户手机联系人权限的比例大于50%，甚至高达85%。

2.窃取短信权限

应用程序窃取短信权限主要发生在用户短信验证码的使用过程中。用户短信验证码在优化应用程序短信验证处理的效率之时，也为应用程序窃取短信信息提供了便利途径。目前，在窃取用户个人短信这一问题上，应用程序的读取权限不存在有效的监督机制，很多不正规的应用程序能够通过此权限窃取用户的短信信息。据相关资料显示，社交、理财、旅游等众多应用程序对用户隐私信息安全存在十分严重的威胁[7-8]。

3.窃取定位信息

地图类、旅游类、网购类、社交类应用程序均存在定位功能，此类功能若监管不善，将泄露用户位置信息。根据有关研究资料显示，许多移动视频、资讯阅读等应用程序存在滥用用户定位信息的问题[9]。

对应用程序用户而言，目前手机中很多应用程序均存在权限调用的情况，权限被调用对用户个人信息安全存在一定威胁。App 权限调用详情见表1。

表1 App 权限调用详情

（二）加入木马病毒

智能手机的处理系统分为IOS苹果系统、Android安卓系统。IOS系统的安全性较高，而Android系统的开放性较高，很多应用程序开发商会以弹窗、广告的模式，向用户弹出存在木马病毒的应用程序下载弹窗，用户下载后便会在手机中植入木马病毒。木马病毒就会私自窃取用户的通信、短信、账号密码等个人信息，并把窃取的信息传输至自己的服务器中，从而出现用户信息泄露的情况[10-11]。

（三）买卖用户个人信息

应用程序个人信息泄露的背后，也存在App厂商互相分享、买卖用户个人信息的情况。比如，有的用户在某个应用程序中查看了某种商品，在其他应用程序中也会看到此类商品的销售信息。实际上，买卖用户个人信息目前属于一种黑色产业链，不法商家以买卖用户个人信息为生。

三、App 个人信息泄露黑色产业链模式分析

近几年，规模显著的App个人信息泄露事件频频出现，出现大量个人信息非法交易的黑色产业链。在高利润的诱惑下，个人信息黑色产业链在漏洞挖掘、入侵工具研发、诈骗勒索等环节均存在具有专业性的分工模式。2016 年，公安部门在整治应用程序个人信息泄露的专项行动中，共查缴用户信息将近300 亿条，处理违法有害信息超过40 万条。应用程序个人信息泄露黑色产业链的出现，对用户个人信息存在十分严重的负面影响[12]。App个人信息泄露黑色产业链的结构如图1 所示。

图1 App 个人信息泄露黑色产业链

（一）信息泄露环节

信息泄露环节主要以非法入侵与内部泄露两种模式泄露用户个人信息。

1.非法入侵

不法人员使用木马、恶意程序等专业性方法，在违背法律的条件下入侵用户应用程序，非法提取用户个人信息，此模式属于用户个人信息泄露数量最多的一种。

2.内部泄露

应用程序内部人员利用职务便利，窃取用户的个人隐私数据，在利益的驱使下售卖用户信息，这属于应用程序个人信息泄露黑色产业链中信息泄露环节的核心模式之一[13]。

（二）传播交易环节

用户个人信息被非法提取后，因电子数据复制性较好，传播速度快，在应用程序个人信息交易环节，职业中间人便随即出现。此类用于连接上下游、实现用户个人信息分销的人士属于应用程序个人信息泄露黑色产业链的核心角色之一。职业中间人的工作分为数据服务商、信息售卖人。数据服务商在黑客、应用程序内部人员手中获取用户个人信息，并对用户个人信息实施处理、分类等操作，便于数据交换、倒卖。信息售卖人在数据服务商手中得到用户个人信息后，通过网络电话、网站、黑客论坛的形式实现应用程序个人信息售卖。

（三）获利环节

应用程序个人信息非法买卖的黑色产业链属于违法犯罪活动的上游信息供给方，对公民的财产安全存在显著威胁。电信诈骗事件里，诈骗人员使用非法得到的用户个人信息实施电信诈骗时，对用户信息了解得一清二楚。另外，不法分子使用用户个人信息，可实施工商企业注册、手机号码注册等非法行为，以此贩卖获利，对社会的正常运行秩序造成严重扰乱。

四、App 个人信息泄露黑色产业链治理策略

2021 年1 月，中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App 违法违规收集使用个人信息专项治理的公告》，成立了 App 违法违规收集使用个人信息专项治理工作组。本文针对上述对应用程序个人信息泄露的途径及黑色产业链模式的分析，提出下述应用程序个人信息泄露黑色产业链治理策略，加大对应用程序个人信息泄露的治理力度，不断提升应用程序个人信息保护水平。

（一）增加违法成本，健全刑事责任与行政监管体系

1.加强刑事责任打击水平

此举是目前抑制应用程序个人信息泄露黑色产业链发展的重中之重，伴随互联网技术门槛的逐渐降低，窃取用户个人隐私信息有关的犯罪成本逐渐变低。建立一个用于采集用户个人隐私的网站，所用成本仅千元而已，而调查取证定罪却难度极大。窃取、售卖用户个人隐私定罪难度变大，而量刑极小，对黑产犯罪人员不能起到较好的震慑效果。所以，健全定罪量刑标准，是应用程序个人信息泄露黑色产业链治理的基本路径之一。

2.构建应用程序个人信息黑色产业链的行政监管体系

因为中国目前不存在统一的《中华人民共和国个人信息保护法》，在分散立法环境中，多个监管部门均存在个人信息执法职能，如卫生部门、工商总局、央行等机构均对各自机构管辖范围的信息存在安全保护职责。此类情况下，应用程序个人信息泄露黑色产业链监管边界模糊不清，致使应用程序个人信息泄露黑色产业链治理的尺度有限。

（二）增强产业链协作性，以命运共同体的形式一起建立安全生态圈

1.建立产业链上下游的信息安全管理体系

基于产业链角度分析，应用程序个人隐私信息的保护必须是上下游主体共同管理的模式，需要建立全面的应用程序个人隐私信息安全管理体系。特别是个人信息控制者必须通过增强合同责任等模式，对实施信息处理的外包服务商实施信息安全监管。

2.建立政府、企业、社会三方个人信息安全生态共同协作的管理体系

在大数据时代之中，企业独自作战仅可以避免自家企业的应用程序遭受攻击。企业必须主动和政府、社会结盟，建立三方结盟的防御安全体系。针对政府、企业、社会而言，用户个人隐私信息保护深度合作，可实现信息的深度共享。例如安全技术共享、犯罪线索共享、安全数据开放共享。

3.共同建立多主体网络安全生态圈

应用程序个人信息泄露黑色产业链的发展规模逐渐变大，在此环境下，政府、行业监管机构、科研机构、服务企业等部门需要共同建立一个多主体网络安全生态圈，实现风险与责任共同承担，有效遏制应用程序个人信息泄露黑色产业链的发展。

（三）增强源头性保护力度，优化 App 个人信息安全保护力度

互联网存在可复制性、传播性强的特征，针对 App 所泄露的用户个人信息来讲，引起社会广泛关注之时，用户个人信息也已被大量传播，只在传播渠道上实现用户个人信息买卖治理，治理力度并不足，未能全面处理黑色产业链对个人信息的交易问题。为此还需要着重关注个人信息源头性保护问题，优化个人信息安全保护力度。

很多个人信息泄露案件显示，应用程序用户数据安全管理机制不健全属于个人信息泄露事件的核心。《中华人民共和国网络安全法》中明确指出网络运营者具有保护用户个人信息的责任，若违反规定必须遭受惩罚。所以，接触到应用程序个人信息数据的企事业单位必须优化信息系统安全保护措施，以免用户个人信息被不法分子大肆窃取。

接触到应用程序个人信息数据的企业内部必须构建一套严谨的管控体系，创新信息安全保护技术，使用此类技术实现用户个人信息安全管理[14]。企业必须构建一个全面的个人信息泄露危机处理策略，和监管部门构建应急处理机制。将用户信息的敏感数据实施脱敏、匿名化操作。用户隐私信息模糊处理，可在用户个人信息还没有被窃取的情况下，保证个人信息不出现危险。接触到应用程序个人信息数据的企事业单位必须提高员工的信息安全保护意识，对员工的职业操守进行优化，以免出现“内鬼”。

（四）优化用户自我保护意识，合理使用举报渠道

用户对自己隐私信息的关注度较差，自我保护意识缺乏，此问题属于应用程序个人信息泄露的核心原因之一。在应用程序的日常使用中，用户会把自己的个人信息作为代价，和移动应用相互交换；还会过度分享自己的相关信息，安装不存在信息保护能力的应用程序，此类举动为不法分子提供了用户隐私信息窃取的便利路径。且用户在发现 App 个人信息泄露的黑色产业链时，举报意识较低，致使应用程序个人信息泄露的黑色产业链治理难度愈发显著。

近几年，国家网信办等相关部门，多次开展以“网络安全”为主题的宣传教育活动，反复强调网络生态安全管理中个人信息的重要度，用户必须强化自身的保护意识，发现应用程序个人信息泄露的黑色产业链及时举报。

（五）使用现代化技术修复App 安全漏洞

App开发商着重研发性能卓越的应用程序个人信息安全保护技术。此方法对用户个人信息的保护最为有效。将数据加密技术使用在应用程序之中，数据在存储和传输时必须实施用户个人信息加密，并构建保护个人数据的云端安全模型；或者也可以使用API策略分辨用户个人隐私数据，API策略能够分辨用户的各个行为动作，判断用户的敏感信息。此外，Android安卓用户能够使用手机管家等安全软件保护手机应用程序安全，如果用户下载应用程序或者文件存在病毒时，手机管家会提醒用户并阻止后续操作[15]。政府大力支持研发App安全保护技术。政府支持互联网企业借助自身技术优势，研发可以保护用户个人信息的应用程序。

（六）建立具有针对性的个人信息保护监管机构

每个国家对互联网应用程序个人信息保护均设定了不同的监管模式，建立具有针对性的个人信息保护监管部门。比如：美国的联邦贸易委员会以统一立法的模式进行监管，日本的个人信息保护检讨会以立法自律折中的模式开展保护，欧盟各国则通过设立欧洲数据保护专员进行行业自律。

我国已有的和用户个人信息监管有关的部门主要是网信办、通信管理局，也有其他的机构具备管理职能，所以可对每个部门的监管职能实施融合，按照中国通信行业特征，培养和应用专业技术人员与法律人才，在工信部门设置具有针对性的网络个人信息监管机构，对应用程序调用个人信息行为进行监管。

五、结 论

随着互联网技术的逐渐发展，与人们日常生活息息相关的软件层出不穷，在给人们生活带来便利的同时，也产生了个人信息泄露的风险。在应用程序用户个人信息泄露黑色产业链治理中，不管是哪个部门属于监管的主体，政府处在至关重要的地位，但政府自身力量存在一定的约束，社会各界必须积极参与应用程序用户个人信息泄露黑色产业链治理，将应用程序用户个人信息泄露黑色产业链形成的源头扼杀在萌芽状态。用户要具备分辨山寨软件的能力，防止病毒木马入侵，保护个人信息安全。