admin管理员组文章数量:1565831
2024年5月2日发(作者:)
手机APP个人信息安全现状分析
发布时间:2021-03-25T05:02:30.356Z 来源:《现代电信科技》2020年第16期 作者: 李卉
[导读] 随着移动互联网的快速发展和智能终端的不断普及,手机APP得到广泛应用。但因行业发展不规范以及监管力度不够等原因,手机
APP个人信息泄露事件频发。
(中国电信股份有限公司天津分公司)
摘要:随着移动互联网的快速发展和智能终端的不断普及,手机APP得到广泛应用。但因行业发展不规范以及监管力度不够等原因,
手机APP个人信息泄露事件频发。本文基于30款手机APP个人信息安全的检测结果,分析了个人信息泄露的原因,并从法律层面、政府层
面、企业层面、个人层面等几个方面提出了解决个人信息泄露问题的建议。
关键词:手机;APP;信息安全;个人信息;信息泄露
一、手机APP个人信息安全调查
2019年9月,笔者所在单位对来自小米应用商店、华为应用商店和OPPO应用商店的30款手机APP安全性进行测试,其中,新闻资讯类
手机APP产品15款,时尚购物类手机APP产品15款。测试项目包括安装与卸载、启动与退出、更新、收集用户数据、修改用户数据、流量耗
费、费用损失、信息泄露及广告行为。测试结果显示:安装与卸载中的卸载不彻底3批次(10%);收集用户数据13批次(43%);修改用
户数据6批次(20%);流量耗费15批次(50%);费用损失7批次(23%);信息泄露7批次(23%);广告行为中的存在通知栏广告13批
次(43%),存在积分墙4批次(13%),具体数据如图1所示。
本文中安装与卸载指在下载和安装应用软件过程中捆绑下载其他应用软件;安装用户未知和未允许的第三方应用软件;用户无法随时
卸载应用软件;卸载不彻底,在系统中留下应用软件的临时文件和活动程序或模块等问题。启动与退出指启动时自动连接某网站或链接,
退出时未停止运行所有属于该软件的进程等问题。更新指在有更新版本时,未经用户允许自动更新。收集用户数据指在用户未确认的情况
下开启通话录音、本地录音、拍照、摄像和定位等。修改用户数据指在用户无确认的情况下删除或修改用户电话本数据、通话记录、短信
数据等。流量耗费指在用户无确认的情况下通过移动通信网络数据连接、WLAN网络连接和无线外围接口传送数据等。费用损失指在用户
无确认的情况下拨打电话、发送短信、发送彩信和开启移动通信网络连接并收发数据等。信息泄露指在用户无确认的情况下读取并传送用
户电话本数据、通话记录、短信数据、彩信数据、通话录音、本地录音、图片、视频、音频和定位信息等。广告行为指存在通知栏广告,
未经用户许可创建桌面快捷方式、书签、图标或修改默认设置等方式进行广告展示。
1.1在收集用户数据检测项中
13款APP存在未向用户明示并经用户同意,擅自收集用户数据行为的风险,其中,11款APP为新闻资讯类APP,占比84.6%。自2017年7
月1日实施《移动智能终端应用软件预置和分发管理暂行规定》以来,越来越多的手机应用APP开发企业开始通过用户提示、隐私协议签订
等方式明示提供APP的信息,主要包括APP的名称、功能描述、开发者信息、软件安装及运行所需权限等,并明确告知用户APP收集、使用
用户个人信息的内容、目的、方式和范围等。但由于缺乏监管力度,仍存在擅自泄露手机用户数据行为的问题,这类问题会给一些流氓软
件可乘之机,获取用户手机里的资料,或者榨取更隐私的信息,比如银行账户等。尤其对于擅自获取的位置信息,不法分子能够根据手机
定位信息分析个人行迹,对活动地点自动分析、归类,从而实施诈骗行为,给用户造成人身或财产伤害。
1.2在修改用户数据检测项中
6款APP存在未向用户明示并经用户同意,擅自修改用户数据行为的风险,这6款APP均为时尚购物类APP。时尚购物类APP通常需获取
用户的通讯录、个人身份信息、个人财产信息、个人上网记录、个人位置信息等敏感信息,一旦获取后未向用户明示并经用户同意,擅自
修改用户数据,将给用户造成人身或财产伤害。
1.3在信息泄露检测项中
7款APP存在未向用户明示并经用户同意,擅自调用终端通信功能,造成用户信息泄露行为的风险,其中,3款APP为新闻资讯类APP,
4款APP为时尚购物类APP。目前,手机具有通讯录、短信、照片等数据备份功能,容易使不法分子获取个人身份信息、财产信息、上网记
录、位置等敏感信息,导致用户莫名接收垃圾短信、骚扰电话,甚至出现财产损失。
二、手机APP个人信息泄露原因
2.1个人安全意识及主动维权意识淡薄
中国消费者协会发布的《APP个人信息泄露情况调查报告》显示,能够认真阅读完应用权限和用户协议或隐私政策说明的受访者仅占
19.7%,而26.2%的受访者从不阅读应用权限和用户协议或隐私政策。从调查数据可知,大部分手机用户保护个人信息安全意识淡薄,或由
于网络技术知识欠缺和文字表述篇幅小等原因,或因为不授权就无法使用,或出于对APP运营商的信任,或认为用户协议内容都大同小
异,导致一些消费者大致浏览或仅阅读重点章节,隐私政策文字说明甚至根本不阅读,这样容易遗漏重点信息或关键描述。在个人信息泄
露后,消费者虽然会采取各种措施手段维护自身权益,但是选择消极应对和不采取任何措施的不在少数,消费者主动维权意识需要加强。
2.2APP开发商缺乏自律和责任感
GB/T 35273《信息安全技术个人信息安全规范》中对APP隐私政策有明确规范,主要包括个人信息收集原则、收集个人敏感信息时明
示同意、个人信息的保存及使用以及对外共享、转让、公开披露有关情况。虽然标准有规定,但事实上很多APP产品存在隐私政策不规范
问题。中国消费者协会的调查结果显示,有的APP隐私条款不清,有的不主动向用户展示隐私条款或者展示内容晦涩难懂,有的不提供访
问、更正、删除个人信息的途径,有的未遵循最小化收集个人信息规定,有的未明确告知用户个人信息的使用方式,有的存在默认同意或
不提示阅读,还有一些存在“自行承担风险”等霸王条款,甚至有的APP根本没有隐私条款。这些现象反映出APP厂商缺乏自律,未严格遵守
标准规定的有目的性地收集用户个人信息,对用户隐私的保护缺乏责任感。
2.3法律法规约束不足
现阶段,手机APP个人信息保护方面的法律法规主要有《网络安全法》和《电子商务法》,但还存在一些需要完善的地方,例如:
《网络安全法》规定“收集使用个人信息,应遵循合法、正当、必要的原则”,但原则的界定存在争议。此外,发生个人信息泄露事件后举
证困难、相应的处罚力度不足。如果不能在法律层面上形成强有力的约束,那么将很难规范这一领域的正常秩序。
三、解决APP个人信息安全泄露问题的策略
3.1健全相关法律法规
目前,我国针对APP收集个人信息行为出台了一系列规范性文件和推荐性标准,但对消费者关心的惩戒手段和赔偿问题等涉及不深。
建议进一步明确网络信息服务中,交易双方的权利和义务,尤其要约束APP运营者商的责任和义务。此外,在相关标准和指南中进一步细
化APP运营者收集、使用个人信息的规范。
3.2提高政府监管能力
有关主管部门应严厉惩罚各类违法違规行为,严厉打击贩卖个人信息行为,按照《网络安全法》《消费者权益保护法》等依法予以处
罚。常态化监管容易泄露个人隐私信息行为,因此,相关主管部门应密切关注APP市场的发展态势,建立定期抽查制度,及时公布抽查结
果,对于存在泄露个人信息隐患的APP。提醒消费者谨慎下载使用。
3.3推行个人信息保护设计理念
APP个人信息安全问题大多是因为在设计之初侧重于完善功能性,轻视安全性,导致重视业务功能而忽视个人信息保护的客观现象。
因此,APP运营商应重视个人信息安全问题,在组织运营管理和APP产品设计阶段,将信息安全性贯彻到技术、系统、操作等各个层面,全
面提高个人信息保护水平。
参考文献:
[1]中国消费者协会.APP个人信息泄露情况调查报告[R].2018-08-29.
[2]李宇斐.手机APP个人信息安全风险与防范[J].保密科学技术,2019(8):49-52.
[3]中国标准化委员会.信息安全技术个人信息安全规范(GB/T 35273)
版权声明:本文标题:手机APP个人信息安全现状分析 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/dianzi/1714634643a415094.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论