程硕/图
编者按 APP和小程序的快速发展,给人们的生活和工作带来了便利,但由于一些不良APP和小程序经营者出于一己私利,经常过度收集消费者的个人信息,给消费者的个人信息安全带来极大的安全隐患。对此,监管部门和相关企业正加大整治力度,以切实有效地保护消费者的个人信息安全。
■本报记者 武晓莉
8月31日,工业和信息化部通报了侵害用户权益行为的APP(移动应用软件)名单。
从7月24日发布《关于开展纵深推进APP侵害用户权益专项整治行动的通知》至今,短短一个月时间里,工信部已经连续通报了4批名单,整治力度和通报密度前所未有。
在此次行动中,给APP做“体检”的是全国APP技术检测平台管理系统。根据部署,2020年8月底前平台上线运行,12月10日前完成覆盖40万款主流APP检测的工作。
持续提升的APP技术检测能力,有效的平台自动检测手段,正在将APP侵权整治推向纵深。
数据安全态势严峻
下载一款读书APP,需要获取你的位置信息;下载一款美食APP,需要访问你的通讯录;下载一个听歌APP,要你打开摄像头……随着APP逐渐成为人们不可或缺的工具,借助人工智能、大数据技术的发展,获取个人信息变得越来越容易,个人信息和相关的数据也因此面临着越来越大的风险。有效保护用户的个人信息,维护用户合法权益,成为全社会关注的焦点。“APP的经济影响力日益凸显,据最新统计,2020年移动APP市场收入达到了1.2万亿元,其中游戏类的占比过半。”承担了APP的相关检测、取证工作的中国信息通信研究院泰尔终端实验室信息安全部主任宁华说,“伴随数据价值的不断上升以及大数据、人工智能技术等的应用和推广,对黑产的吸引力也越来越高,数据安全形势严峻。目前,数据价值进一步吸引了更多的黑产参与数据获取和使用。”“截至今年3月底,全国手机网民数量已突破9亿人,在网民面临的安全问题中,个人信息泄露占比相当大,是一个比较突出的问题。”中国信息通信研究院安全研究所数据安全研究部副主任陈湉说。今年初,中国信息通信研究院支撑工信部网安局建立了APP数据安全风险监测机制。截至6月底,平台已经对主流应用商店分发渠道的45152款移动APP进行了数据安全的风险监测。结果发现,整个态势是不容乐观的,92.97%的APP存在中高危的数据安全风险。最普遍的安全风险就是数据的越权备份,占54.09%。“2010年之后,随着移动互联网的迅速发展,移动APP确实改变了个人信息的收集规模和方式。”腾讯研究院首席数据政策专家王融说,“每个人的手机上都安了很多APP,这些APP无时无刻不在收集每个人的个人信息,这导致了相关问题的规模化。”
信息不对称易引发恐慌
“数据被黑产倒卖这种细思极恐的事,老百姓在现实生活中是有切实体会的,大家都会担心自己也可能会成为被害人中的一员。这种怕成为被害者的焦虑也是大家谈论隐私的最初动因。”蚂蚁集团首席隐私官聂正军在接受记者采访时说。
在工信部第四次检测中,应用宝、豌豆荚、新氧等101款APP被点名,主要原因是移动应用分发平台管理主体责任缺位,对上架APP审核把关不严,未严格落实工信部《移动智能终端应用软件预置和分发管理暂行规定》要求。
记者发现,101款被通报APP的主要问题集中在违规收集个人信息、超范围收集个人信息、违规使用个人信息,强制用户使用定向推送功能、APP强制频繁过度索取权限、欺骗误导用户下载APP,应用分发平台上的APP信息明示不到位等几个方面。
陈湉说:“从监测结果来看,APP的数据安全风险主要集中于数据的收集、存储、传输、使用和对外提供等环节,表现出来的问题包括数据的过度收集、明文存储,以及数据的非法披露、共享等。”
人们对于隐私安全的担忧首先来自于信息的不对称。
宁华认为,目前的个人信息保护问题具有系统性、复杂性、顽固性。收集使用个人信息的过程很难感知,因此很难取证。个人信息常常在用户不知情的情况下被收集、使用。比如在搜索过程中输入的信息、在谈话聊天中说的话、敏感的个人健康数据等,可能都会被收集,并以用户可感知的形式呈现在一些APP的个性化推荐中。这些信息是如何被收集,又是通过何种渠道进行共享传播的,一般的用户既难识别,也很难取证。
宁华认为,在违法违规收集使用个人信息方面,主体责任不清晰、举证困难也是当前面临的一个新情况。很多恶意应用打擦边球,在命名上与热门应用非常类似,图标也非常相近,而分发平台的检测能力和审核力度参差不齐,很容易在一些小众的分发平台上出现恶意应用比例相对比较高的情况。同时,由于开发者检测机构、分发平台和终端系统至今缺乏一个完整的数据信任链条,系统在安装、使用应用的时候很难进行鉴别。对于普通用户来说,更没有相应的能力去识别恶意APP,只能依赖分发平台和终端在安装时进行相应的明示。
个人隐私责任界定不清也很常见。如在分发平台层面,由于平台对开发者身份鉴别、认证以及行为记录的强度不太一致,导致在责任界定的时候,出现找不到恶意应用开发者主体,无法溯源的情况。
产业链缺乏有效合力
很多人可能都不止一次地遭遇过这种现象:安装一个APP时除跟你索要头像、昵称、通讯录、摄像头之外,还要手机号验证,只要不同意就无法安装;或者你点开了一个别人发来的链接,结果发现自己被下载了一堆应用。
宁华表示,对于用户来说,目前很大的一个问题是应用存在“必须一揽子授权、不授权就不给用”的现象。这导致用户没有选择权,只能拿个人隐私来换取便利。在用户权益保护共识已经广泛达成,公众的个人敏感信息保护意识普遍提升的情况下,应用、终端、分发、产业链条的环节协作方面还不太充分,在权限管控、用户收集使用、设备识别码防护等方面行动不统一,没有形成有效合力。
此外,分发渠道审核明示力度也参差不齐,应用安全水平堪忧。宁华表示,部分分发平台缺少必要的应用管理机制,对应用根本就不进行审核,与安全、服务相关的检测和跟踪监测也都没有。还有的分发平台虽然有应用管理机制,但是审核力度和范围各行其是,特别是缺少对一些老应用的审核。
宁华介绍,最严重的侵权情况是部分分发渠道存在在用户不知情的情况下静默下载和安装的行为,尤其是一些APP通过广告商或者信息流分发时,连基础的用户明示、安全检查都没有,在用户不知情、不同意的情况下,就直接下载安装了。
技管结合提升检测能力
据中国互联网协会个人信息保护工作委员会秘书长郝智超介绍,今年6月份,工信部印发的《关于做好2020年电信和互联网行业网络数据安全管理工作的通知》里,强调今年APP治理工作的三个重点,就包括要建立对于主流应用商店排名前列的APP数据安全风险的监测机制。
从今年8月底前上线运行全国APP技术检测平台管理系统,到12月10日前完成覆盖40万款主流APP检测工作,都是深入推进技管结合,加强监督检查,督促相关企业强化APP个人信息保护的技术手段。以此及时整改消除违规收集使用用户个人信息、骚扰用户、欺骗误导用户、应用分发平台管理责任落实不到位等突出问题,净化APP应用空间。“我们相信除了机制、路径之外,要真正解决问题,依然要靠技术路径和技术力量。”百度集团法务部总经理李妍洁说,“用科技手段能让个人信息保护变得更加简单、可依赖。”为此,百度自行研发了国内首款移动APP——史宾格隐私合规助手,专门用于隐私安全的检测。它能自动化地检测产品中存在的风险漏洞及隐私合规问题。
从工信部纵深推进APP侵权专项整治活动的措施来看,技术手段被列为重要方式。工信部强调,要加强技管结合,持续提升APP技术检测能力。大力推进全国APP技术检测平台管理系统建设,进一步凝聚产业力量,鼓励有条件的企业积极参与平台建设,提升自动化检测水平和能力。同时,加强协同治理,推动社会共治。组织APP开发运营者、应用分发平台、第三方服务提供者、电信设备生产企业、安全厂商等相关单位,推动建立APP联盟,制定行业自律公约和技术检测标准,健全第三方评议机制,强化行业规范,进一步加强行业自律。