近年来,随着手机的智能化和通信技术的快速发展,我们正逐步迈向以智能手机为标志的移动互联网时代,从社交娱乐到移动支付,手机已经渗透到我们生活和工作中的方方面面。然而,在享受移动互联网时代带来的各种便利的同时,不得不面对随之而来的个人信息安全问题,2018年9月,中国消费者协会发布了《App个人信息泄露情况调查报告》,85.2%的受访者遭遇过信息泄露情况,当用户个人信息泄露后,约86.5%的受访者曾收到推销电话或短信的骚扰,约75.0%的受访者接到诈骗电话,约63.4%的受访者收到垃圾邮件。可见,手机App个人信息安全问题不容小觑。
2019年3月15日,央视“3·15”晚会揭露了一款名为“社保掌上通”的热门个人社保查询App泄露用户个人信息的问题。主持人在现场演示查询信息时,网络安全专家通过抓取分析数据包发现,用户的信息已被发送至一家大数据公司的服务器。在此过程中,用户会被默认同意一份授权协议,包括不可撤销地授权使用用户社保账户密码、采集用户个人信息等诸多条款。
随着互联网业务向移动终端大面积转移,加上移动终端用户黏性大、实时在线率高等特点,各类安全威胁也纷纷向移动终端转移,上述“社保掌上通”App泄露用户信息的情况也只是当下手机App信息安全领域的冰山一角。
一、手机App泄露个人信息的途径
(一)越界获取隐私权限
根据《公共及商用服务信息系统个人信息保护指南》,手机App在使用个人信息时需要对个人信息主体尽到告知、说明和警示的义务,以及如实向个人信息主体告知个人信息的收集和使用范围、个人信息的保护措施等。处理个人信息时要遵循“最小够用”原则,要征得个人信息主体同意等原则。然而,据有关研究机构发布的《App个人隐私研究报告》,超功能范围申请、收集、上传用户信息仍是目前手机App普遍存在的现象。
(1)手机联系人权限。数据显示,2018年中国各类手机App调用读取联系人权限已成隐私侵犯重灾区,社交、视频、网购等六类App读取联系人权限占比超过50%,最高的达到86.7%。究其原因,与手机App厂商推动平台社交路径传播、打造熟人社区的营销策略息息相关。
(2)读取短信权限。App读取短信权限常用于自动提取用户短信验证码,有助于用户提高App短信验证操作的效率。但在针对用户其余个人短信的读取上,App的读取权限并未受到有效监督或限制,部分不法App或可通过该权限调用,实现对用户短信信息的窃取。数据显示,移动资讯阅读、社交、理财、旅游四类App调用权限占比不低于30.0%,严重威胁用户隐私信息安全。
(3)获取定位信息。根据手机App功能,地图类、旅游类、网购类、社交类App具备定位功能,获取用户位置信息有利于提供更准确的服务,属于合理诉求。但是调查显示,部分移动视频、音频、资讯阅读、工具类手机App仍存在调取、滥用定位信息情况。
(二)植入木马病毒
智能手机主要操作系统包括Android和iOS。iOS系统相对安全,Android系统则更为开放,除官方应用商城外,部分App开发商会通过弹窗、广告等形式,为用户推送含有木马病毒的App下载链接,用户点击下载并安装后,木马病毒就会自动扫描手机中通信、短信、账号密码等个人隐私信息,并将相关数据回传服务器[4],造成用户信息泄露。2019年3月,360公司发布的《2018年中国手机安全状况报告》显示,2018年全年共截获移动端新增恶意程序样本434.2万个,平均每天新增1.2万个,其中隐私窃取类占比33.7%,严重威胁用户个人信息安全。
(三)售卖用户隐私
除上述两个手机App信息泄露途径之外,还有App厂商相互分享、买卖用户数据等途径,很多用户都有这样的体验,刚刚在某App中浏览某类商品,很快就会在其他平台中收到同类商品的推广信息。事实上,售卖用户隐私信息已形成灰色产业链,《App个人信息泄露情况调查报告》结果显示,经营者或不法分子故意泄露、出售或者非法向他人提供个人信息的比例达到调查样本的60.6%,各App厂商掌握的网页浏览记录、阅读痕迹、支付记录等碎片信息通过大数据分析整合,在精准地寻找用户、提供服务的同时,也为不法分子实施违法行为提供了便利。
二、手机App个人信息泄露的原因
(一)个人隐私保护意识淡薄
著名的新经济行业数据挖掘和分析机构艾媒咨询(iiMediaResearch)发布的《2018年中国手机App隐私权限测评报告》称,63.3%的受访者表示在安装手机App时没有仔细阅读隐私条款,24.3%的受访者从来不阅读隐私条款。这反映了大部分手机用户都或多或少存在个人隐私保护意识淡薄的问题,有的用户受限于网络技术知识欠缺和App隐私条款文字篇幅长等原因,或者明知道可能会有泄露个人信息的危险还抱有侥幸心理,甚至认为是小问题无所谓,尝到隐私泄露恶果的时候主动维权意识不强,多数人选择自认倒霉,客观上纵容了手机App信息泄露的愈演愈烈,形成恶性循环。
(二)厂商缺乏自律和责任感
据中国消费者协会调查结果,有的App中未发现对涉及个人信息的告知说明;有的App在完成用户信息采集之后才出现《用户协议》;有的App存在告知声明中对个人信息的描述不准确、不清晰的现象,大部分关于个人信息保护的说明不容易被发现,用户经常需要经过两次及以上的点击次数才能找到相关内容;有的App则强制用户同意相关隐私条款,否则无法正常使用,反映了手机App厂商缺乏自律,企图“蒙混过关”,有目的性地收集用户个人信息,没有做到真正意义上的公开透明,对于网络空间公民隐私的保护缺乏责任感。
(三)法律层面约束不足
目前,我国在关于手机App个人信息保护方面的法律法规主要有《网络安全法》《电子商务法》等,但仍存在很多亟待完善之处,例如对“个人信息”的界定标准不明确、手机App收集用户信息“正当、合法、必要”3个原则的界定存在争议,发生信息泄露后的举证难、处罚力度不足等,无法在法律高度形成强约束力、牢牢牵住个人信息安全保护的“牛鼻子”,那么就很难规范这一领域的正常秩序。
三、防范对策
随着“互联网+”行动的进一步深入,未来智能手机的应用将在我们的生活中无处不在,其安全问题更加不能小视。我们需要从多方面多管齐下,尽力避免手机App泄露个人隐私信息事件的发生。
(一)个人层面
在选择使用手机App时要做到“一个提高”和“四个注意”:“一个提高”是要提高个人隐私保护意识,移动互联网时代智能手机和App产品日新月异,不法分子窃取隐私信息的手段也是“水涨船高”,高度重视个人隐私信息的无形价值,从主观上提高隐私保护意识,分享、使用个人隐私信息时保持警惕,是在复杂多变的虚拟世界中构筑的第一道安全防线。“四个注意”具体来说,一是要注意选用安全合规的App产品和服务,并选择正规渠道进行下载安装,谨慎点击来源不明的App下载链接,从源头上杜绝木马病毒,并安装手机杀毒App,定期对手机进行安全检测;二是要注意认真阅读App的应用权限和用户协议或隐私政策说明,了解操作注意事项;三是要注意培育良好使用习惯,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据;四是要注意认真应对个人隐私信息被泄露的问题,发现个人信息被泄露问题时,要通过有效手段及时主动维权,必要时向有关部门反映,用法律武器维护自己的权利和利益。
(二)厂商层面
首先,手机App厂商必须树立用户维权第一责任人的意识,坚守安全底线,强化对用户个人信息的保护责任;其次,应当通过合理合法的方式获知用户数据,并采取有效措施,确保用户个人信息和数据安全,用服务质量和安全保障赢取用户的选择和信任;再次,提供相关服务和履行告知义务时,应该通过简洁醒目、通俗易懂的方式,避免消费者的误解和误读;最后,企业应当充分听取和尊重用户的合理诉求和意见并及时反馈处理,提升用户满意度和信赖感。
(三)法律层面
当前,移动互联网黑色利益链错综复杂,形成了以开发、传播、运营到最后利益整合分配的流水作业模式,甚至完成了从作坊式个人生产到集团化运作的规模性转变。2019年两会期间,部分政协委员和人大代表再度聚焦个人隐私保护,重申泄露隐私事件的频发根本原因在于立法滞后、监管力度不够、司法保护薄弱等,呼吁加快个人信息保护法以及其他相关法律的立法进程。要在法律层面保障发生泄露隐私信息事件时,让民众投诉有门,提高网络取证技术能力,加大对网络犯罪的打击力度,营造一个安全绿色的网络应用环境,切实保障民众的合法权益。
(原载于《保密科学技术》杂志2019年8月刊)