信息化觀察網

莫名其妙接到的推銷電話、如影隨形的個性化推薦、無孔不入的垃圾廣告……覆蓋衣、食、住、行各個方面的APP在給我們帶來便利的同時，不知不覺中成為了泄露個人隱私數據的重災區(qū)。

日前，工信部通報了今年第一批157款侵害用戶權益的APP，其中來源于騰訊應用寶、小米應用商店、豌豆莢等知名應用商店的侵權APP數量位列前三。超八成APP存在“違規(guī)收集個人信息”的問題。2月4日，根據工信部最新通報，經第三方檢測機構核查復檢，尚有37款APP未按照要求完成整改，將立即組織對名單中應用軟件進行下架處理。個人信息到底是怎么從APP上泄露出去的?APP侵權亂象究竟因何屢禁不止?大數據爆炸時代，又該如何保障個人隱私安全?

APP已成隱私泄露重災區(qū)

獲取權限，是APP“越權”搜集用戶隱私數據的第一步。《中國電子報》記者通過應用商店隨機下載了十款APP，安裝過程中發(fā)現獲取權限的請求五花八門，比如購物類APP要求讀取通信錄、資訊類APP要求開啟相機和麥克風等。如選擇不同意，則無法正常安裝。但這些權限真在必要范圍內嗎?中國人民大學信息學院教授孟小峰團隊曾在對40多萬款APP進行調查后發(fā)現，絕大多數APP索取的權限與實現功能的需求并不匹配。

除了獲取權限之外，還存在更為隱蔽的采集個人信息的方式，比如嵌入SDK(軟件開發(fā)工具包)。SDK可以高效率、低成本地實現地圖、支付、統(tǒng)計、廣告等功能，因此在APP中應用廣泛。中國金融認證中心(CFCA)和南都個人信息保護研究中心聯(lián)合發(fā)布的《常用第三方SDK收集使用個人信息測評報告》中指出，APP對SDK存在較強的依賴性，平均每款APP使用的SDK數量為19.3個。但安全隱患顯而易見，比如開發(fā)者技術水平參差不齊，可能導致SDK安全漏洞;還有一些開發(fā)者故意預留“后門”，以便收集用戶信息或執(zhí)行越權操作。需要注意的是，由于SDK通用性極強，很多APP都嵌入了相同的SDK。在這種情況下，如某個SDK竊取隱私數據，用戶即便發(fā)現問題也無從查起。

讓人難以察覺的數據泄露途徑還有我們每天都在使用的輸入法。業(yè)內專家指出，目前市面上多數輸入法的輸入原理是將用戶輸入文本或語音上傳至后臺服務器進行大數據分析，貼上標簽、進行偏好設置，從而提供更便捷的服務，這無疑會給用戶的隱私數據保護增添難度。

此外，生物特征識別、算法推薦等技術的濫用也加劇了隱私信息泄露的風險。例如，中消協(xié)指出，“大數據殺熟”問題的核心就是互聯(lián)網平臺對算法技術的過度應用。而生物識別信息泄露的后果更為嚴重。上海眾人網絡安全技術有限公司創(chuàng)始人談劍鋒曾在采訪中指出：“個人生物信息最為獨特的特性就是它的不可再生性，手機號泄露了可以再換一個，而人臉、指紋天生只有一個。”一旦泄露，就是終身泄露。

背后暗藏灰色利益鏈

記者在采訪中發(fā)現，觸目驚心的隱私數據泄露現象背后，暗藏著一條灰色利益鏈，不少APP開發(fā)商、平臺應用商、網絡黑產從業(yè)人員投身其中，瘋狂逐利。不良APP開發(fā)商是這條灰色利益鏈中的直接獲益者。神州數碼CBG數據安全業(yè)務負責人甘錦輝接受《中國電子報》記者采訪時指出：“我們常說的精準營銷及個性化服務都需要數據作為支撐，而這類數據大多涉及個人隱私。”隨著數據成為戰(zhàn)略資產，APP開發(fā)商為了最大化營銷價值盡可能多地收集用戶數據，與其他軟件應用商進行資源互換，共享用戶數據帶來的紅利也屢見不鮮。還有不法中間商直接買賣數據，賺取利潤。對于他們而言，這幾乎是一項無本的買賣。

也有觀點指出，應用商店是這條灰色利益鏈中的隱形獲益方。某位不愿透露姓名的業(yè)內專家表示，應用商店盈利模式主要包括兩類：一類是廣告投放收入，比如搜索競價廣告和非標廣告(如開屏banner)等;另一類是渠道聯(lián)運收入，比如在應用內支付流水分成。因此應用平臺的收益與APP開發(fā)商的收益息息相關。而且如果限制過多，APP或許會轉去其他平臺上架，這是應用商店不愿意看到的。賽迪智庫網絡安全研究所所長劉權對《中國電子報》記者表示：“應用商店責任意識還不是很強，相關審核機制也不完善，所以對APP的上架把控不夠嚴格。”就相關問題，記者聯(lián)系了騰訊應用寶、小米應用商店等，并未收到答復。

另外，網絡黑產從業(yè)人員也是其中的重要參與者。據不完全統(tǒng)計，目前中國網絡黑產從業(yè)者已達到百萬級以上，每年造成的經濟損失達千億元級規(guī)模。上游負責“源頭供貨”，APP用戶隱私數據被視為“商品”明碼標價、打包出售;中游負責信息處理與再加工，形成規(guī)模化市場;下游負責“數據變現”，通過電信詐騙、惡意營銷等非法渠道牟取高額利潤。疫情期間，大批明星健康寶照片被倒賣，曾引發(fā)社會各界對個人隱私安全的質疑。有網民指出：“在我們看來，至關重要的隱私數據對于這些人而言就只是賺錢的工具而已。”

誰能保護我們的隱私數據安全

伴隨隱私泄露事件層出不窮，公眾對數據安全的擔憂也與日俱增。究竟誰能成為個人信息安全真正的“護衛(wèi)者”?事實上，工信部已經在行動。據工業(yè)和信息化部新聞發(fā)言人、信息通信管理局局長趙志國介紹，從2019年起，工信部已經連續(xù)兩年開展專項行動，共實現對62萬款APP的技術檢測工作，責令2234款違規(guī)APP進行整改，公開通報了500款，下架了132款整改不到位、拒不整改的APP。與此同時，通過推動標準制定、強化手段建設、加強行業(yè)自律等多措并舉，工信部打出了組合拳。趙志國強調，工信部將進一步加大力度，切實維護好用戶個人的信息安全、數據安全，使消費環(huán)境實現根本性好轉。

目前，從規(guī)則與規(guī)范層面看，對于侵犯個人信息的處罰力度還不夠大，相關法律法規(guī)有待完善。劉權建議，應進一步細化個人信息采集邊界，通過配套標準規(guī)范“明確”不同類型、不同應用場景下的APP獲取用戶權限的范圍，引導開發(fā)商只獲取與業(yè)務功能相關的權限，壓縮運營者的自由裁量空間。還可以通過建立獎懲機制，讓應用商店積極參與到審核工作中來。中國信通院產業(yè)互聯(lián)網研究部主任湯立波認為，需要建立強有力的監(jiān)管和執(zhí)法機制，比如嚴格準入門檻和登記備案、嚴厲打擊個人信息販賣的灰色產業(yè)鏈，以及通過對AI、大數據、網絡安全技術的運用，推進APP技術監(jiān)測和平臺監(jiān)管等。

從技術維度層面看，劉權認為可以從移動端系統(tǒng)考慮，比如在APP安裝前禁止自動打開權限，安裝后通過應用日志監(jiān)管權限打開情況。若APP存在“偷聽”、“偷看”等違法收集個人信息行為，系統(tǒng)通過某種方式給用戶做出提示。湯立波指出，很多APP會采用第三方數據采集分析平臺來進行數據埋點，采集并分析用戶數據，所以對數據采集分析平臺的規(guī)范非常必要。甘錦輝表示，數據安全相關技術、產品已有很多，像常見的數據脫敏、數據庫防火墻、數據加密等都可以被用于APP隱私數據保護。另外，隱私計算、區(qū)塊鏈等新興技術也在個人信息保護領域被頻繁提及。

多位受訪專家皆表示，在個人隱私數據保護方面，數據輸出方、數據采集方和平臺監(jiān)管方皆需承擔相應的責任。對于APP開發(fā)和運營商而言，一方面應加強自律，仔細研究相關法律、法規(guī)，嚴格遵守知情同意、最小必要等基本原則;另一方面也要提高網絡安全意識，防范數據竊取、違規(guī)爬取、采集傳輸泄密等安全風險。對于應用商店平臺而言，需要進一步樹立責任意識，規(guī)范APP審核上架機制，加強操作系統(tǒng)權限管理能力，積極應用新技術提升監(jiān)管效率。對于個人用戶而言，要在使用APP過程中加強自我保護意識，謹慎對待收集、使用個人信息行為，善于拒絕不必要的權限申請。

中電金信研究院院長況文川坦言：“要杜絕APP侵權很困難，APP技術和運用也在不斷地發(fā)展和擴展，所以我們只能通過有計劃的行動減少和改善APP侵權。”當前，個人信息保護力度持續(xù)加大，相關部門先后推出了《網絡安全法》《個人信息保護法》《數據安全管理辦法》《個人信息出境安全評估辦法》等系列法律法規(guī)。相信在各方共同努力下，消費環(huán)境有望實現根本性好轉。