文档介绍：基于APP的个人隐私安全保护研究
摘 要:近年来,手机APP强制授权、过度索权、超范围收集个人信息的现象大量存在,APP背后的个人隐私安全问题面临着严峻挑战。为了更好的保障个人隐私安全,文章分析了APP个人隐私安全存在的制息应当遵循合法、正当、必要的原则,公开收集、使用规则,明确收集、使用信息的目的、方式和范围,并经过被收集者的同意。处理个人信息要遵循“最小够用”原则,要征得个人信息主体同意等原则。但是,根据中国消费者协会发布的《100款APP个人信息收集与隐私政策测评报告》显示,91款APP列出的权限涉嫌“越界”,越界违规获取了定位、通讯录、摄像头等信息APP占总比91%,APP涉嫌过度收集或使用个人信息情况如图1所示。
第三方SDK良莠不齐
SDK(Software Development Kit)[2]即软件开发工具包。很多互联网初创型企业,在创业之初,由于资金和人力方面的限制,APP运营者为了节约开发成本、提高工作效率,通常都会使用多种第三方的SDK。
第三方开发的SDK在设计能力上也是良莠不齐,有些SDK往往侧重于功能性的完善,而在安全性方面考虑不足,从而导致APP使用第三方SDK时会发生许多安全问题。一些APP对嵌入的第三方SDK未采取任何明示方式告知用户SDK收集个人信息目的、方式、范围,利用第三方SDK隐瞒收集个人信息标识、轨迹、个人偏好、网络设备信息等类型的个人信息,并向远程服务器甚至境外服务器进行回传。
手机病毒勒索
手机病毒是一种具有传染性、破坏性的手机恶意程序,可以做到侵入用户手机、获取个人短信、通讯录等信息,APP用户却毫不知情。据吕云峰[3]文章研究显示,近年来手机病毒增长迅速,主要以信息窃取、资费消耗、流氓行为、恶意扣费为主。手机病毒类型比例如图2所示,其中信息窃取类病毒占比26%,位居第一,其次是资费消耗类病毒占比25%,第三名是流氓行为类病毒占比18%。
除官方应用商城外,部分APP开发商会通过弹窗、广告等形式,为用户推送含有木马病毒的APP下载链接,用户点击下载并安装后,病毒就会自动扫描手机中通信、短信、账号密码等个人隐私信息[4],并将相关数据回传服务器,严重威胁用户个人信息安全。
3 APP隐私安全治理研究
指导和政策
自2016年以来,我国制定了多项移动互联网应用程序服务管理规范,有效指导APP运营者加强用户个人信息保护,规范市场秩序。我国近年来制定的个人信息保护指导与政策文件如表1所示。
为了更好的保障个人信息安全,维护广大网民合法权益。中央网信办、工业和信息化部、公安部、市场监管总局于2019年在全国范围内组织开展APP违法违规收集使用个人信息专项治理,组织开展移动应用专项评估。专项治理工作初见成效,发布了包括《APP违法违规收集使用个人信息自评估指南》《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》《APP违法违规收集使用个人信息行为认定办法》等多项隐私安全治理指导文件。
隐私政策制定规范
隐私政策文件将作为APP上线的基本规范内容,APP开发管理者应明确按照相关法律法规,制定内容清晰易懂,符合通用语言习惯,易于访问(少于五次点击可访问)的成文隐私