誰動了我的隱私數(shù)據(jù)？——APP隱私保護(hù)與合規(guī)

1. 網(wǎng)信辦發(fā)布移動應(yīng)用管理新規(guī)

  國家網(wǎng)信辦發(fā)布新修訂的《移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》。網(wǎng)信辦有關(guān)負(fù)責(zé)人表示，修訂發(fā)布新規(guī)旨在進(jìn)一步依法監(jiān)管移動互聯(lián)網(wǎng)應(yīng)用程序，促進(jìn)應(yīng)用程序信息服務(wù)健康有序發(fā)展。

  據(jù)介紹，《移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》自2016年8月1日施行以來，對于維護(hù)網(wǎng)絡(luò)信息內(nèi)容生態(tài)，保護(hù)公民、法人和其他組織的合法權(quán)益發(fā)揮了積極作用。但隨著移動應(yīng)用程序快速發(fā)展、廣泛應(yīng)用，新情況新問題不斷出現(xiàn)，需要適應(yīng)形勢發(fā)展進(jìn)行修訂完善。修訂后的新規(guī)共27條，包括信息內(nèi)容主體責(zé)任、真實身份信息認(rèn)證、分類管理、行業(yè)自律、社會監(jiān)督及行政管理等條款。

  其中，應(yīng)用程序提供者開展應(yīng)用程序數(shù)據(jù)處理活動，應(yīng)當(dāng)履行數(shù)據(jù)安全保護(hù)義務(wù)，建立健全全流程數(shù)據(jù)安全管理制度，采取保障數(shù)據(jù)安全技術(shù)措施和其他安全措施，加強(qiáng)風(fēng)險監(jiān)測，不得危害國家安全、公共利益，不得損害他人合法權(quán)益。應(yīng)用程序分發(fā)平臺應(yīng)當(dāng)建立健全管理機(jī)制和技術(shù)手段，建立完善上架審核、日常管理、應(yīng)急處置等管理措施。

  此外，新規(guī)要求應(yīng)用程序提供者和應(yīng)用程序分發(fā)平臺應(yīng)當(dāng)履行信息內(nèi)容管理主體責(zé)任，建立健全信息內(nèi)容安全管理、信息內(nèi)容生態(tài)治理、數(shù)據(jù)安全和個人信息保護(hù)、未成年人保護(hù)等管理制度，確保網(wǎng)絡(luò)安全，維護(hù)良好網(wǎng)絡(luò)生態(tài)。

國家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人表示，應(yīng)用程序提供者和應(yīng)用程序分發(fā)平臺應(yīng)當(dāng)按照新規(guī)要求，切實履行責(zé)任和義務(wù)，依照相關(guān)法律法規(guī)加強(qiáng)自身管理，主動接受社會監(jiān)督，不斷促進(jìn)應(yīng)用程序信息服務(wù)健康有序發(fā)展。

為強(qiáng)化對應(yīng)用程序提供者和應(yīng)用程序分發(fā)平臺的監(jiān)督管理，網(wǎng)信部門將同有關(guān)主管部門建立健全工作機(jī)制，監(jiān)督指導(dǎo)應(yīng)用程序提供者和應(yīng)用程序分發(fā)平臺依法依規(guī)從事信息服務(wù)活動。

2. 有多少人在覬覦你的個人隱私數(shù)據(jù)？

  你試過人肉搜索自己的個人信息嗎？在B站有一位視頻博主就嘗試了利用簡單的已知信息挖掘出用戶的所有個人隱私數(shù)據(jù)，在沒有使用互聯(lián)網(wǎng)黑產(chǎn)數(shù)據(jù)的前提條件下，該視頻博主僅利用一個微信號碼就挖掘了與之相關(guān)聯(lián)的姓名、電話、QQ、住址、工作、家庭成員、收入情況等個人信息，可見目前個人隱私數(shù)據(jù)泄露的風(fēng)險有多么嚴(yán)重。在數(shù)據(jù)黑產(chǎn)市場上，你的個人數(shù)據(jù)會被分類、打包以7元/條的價格出售，無論是你的親人還是偶像，所有人個人數(shù)據(jù)都只值這個價格。或許你僅因為違規(guī)注冊了某款來源不明的金融APP，就會在接下來的日子里不斷接到詢問你是否需要貸款的騷擾電話，這說明你的信息以已經(jīng)被反復(fù)售賣很多次了。

3. APP個人數(shù)據(jù)黑產(chǎn)產(chǎn)業(yè)鏈條觸目驚心

  真實的數(shù)據(jù)黑產(chǎn)行業(yè)則更加黑暗，在許多行業(yè)甚至已經(jīng)形成了分工嚴(yán)密的數(shù)據(jù)黑產(chǎn)產(chǎn)業(yè)鏈。從數(shù)據(jù)精準(zhǔn)采集到數(shù)據(jù)清洗、分類、打包、銷售、非法利用，都有專門人員在從事相應(yīng)違法活動。在APP數(shù)據(jù)黑產(chǎn)中常見黑產(chǎn)四件套包括：身份證、銀行卡、手機(jī)卡、社保卡。不法人員利用這些信息可以從事各式各樣的違法行為，比如冒用你的身份借貸、注冊公司、或是販賣給被通緝?nèi)藛T，這些都將對用戶造成嚴(yán)重的個人侵害。

4. 重拳出擊，多重手段打擊APP違規(guī)利用用戶個人數(shù)據(jù)亂象

為解決APP違規(guī)采集用戶隱私數(shù)據(jù)的行為，國家層面采取了多重打擊手段全面整治上述違規(guī)行為。

4.1 數(shù)據(jù)安全立法

  近年來，隨著用戶個人隱私數(shù)據(jù)保護(hù)意識的不斷提升，國家層面也不斷推出相關(guān)法律法規(guī)，其中《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護(hù)法（草案）》都明確規(guī)定了個人隱私數(shù)據(jù)的法律地位，將個人隱私數(shù)據(jù)保護(hù)提升到前所未有的高度。

4.2 專項整治與媒體曝光

  今年來，公安部不斷推進(jìn)移動APP專項整治行動，查處了一大批違規(guī)及惡意APP。2014-2021年，連續(xù)7年3。15晚會報道個人信息泄露或侵犯用戶權(quán)益事件，如2017年，央視3.15曝光“道有道”推廣惡意應(yīng)用軟件；2019年，央視3.15曝光“社保掌上通”違規(guī)手機(jī)、使用用戶個人信息問題；2020年，曝光違規(guī)SDK和APP竊取用戶信息；2021年曝光人臉識別濫用，實際垃圾軟件亂象等。

4.3 違規(guī)APP通報與下架

  隨著APP專項整治工作的不斷開展，各省網(wǎng)信辦也不斷對管轄范圍內(nèi)的APP進(jìn)行違規(guī)通報行動。對于屢次違規(guī)，拒不整改的APP，予以嚴(yán)厲的下架處理。

4.4 產(chǎn)業(yè)鏈主體監(jiān)管

  各行業(yè)APP監(jiān)管部門也紛紛對本行業(yè)APP制定隱私合規(guī)標(biāo)準(zhǔn)，并提出對APP全產(chǎn)業(yè)鏈各實體進(jìn)行監(jiān)管的要求。包括APP開發(fā)者、SDK提供方、應(yīng)用商店、網(wǎng)絡(luò)運(yùn)營商、手機(jī)廠商、檢測機(jī)構(gòu)等實體。各實體均應(yīng)切實履行個人隱私數(shù)據(jù)保護(hù)責(zé)任。

5. APP收集用戶個人數(shù)據(jù)必須滿足如下原則

5.1 知情同意

• 首次使用、注冊時明示索權(quán)范圍；

• 不能強(qiáng)制同意；

• 不能私自修改權(quán)限；

• 私自發(fā)信息給第三方；

• 敏感信息需單獨(dú)告知。

5.2 最小必要

• 不得將信息用于與業(yè)務(wù)無關(guān)的用途；

• 數(shù)量、頻次、精度需要進(jìn)行控制，最小必要即可；

• 允許用戶拒絕；

• 自啟和關(guān)聯(lián)啟動（禁止）；

• 不得以任何理由強(qiáng)制用戶同意

6. 常見的APP違規(guī)采集用戶數(shù)據(jù)行為

  如果發(fā)現(xiàn)正在使用的APP具有如下行為，則該APP已經(jīng)涉嫌違規(guī)，可通過APP大數(shù)據(jù)監(jiān)測平臺進(jìn)行APP舉報。

• APP強(qiáng)制、過度、頻繁索權(quán)；

• APP超范圍收集用戶隱私；

• APP頻繁自啟和關(guān)聯(lián)啟動；

• 欺騙用戶下載APP

• 欺騙誤導(dǎo)用戶提供個人信息

• 應(yīng)用分發(fā)平臺APP公示信息

• 不到位/不準(zhǔn)確

7. 普通用戶如何保護(hù)自己的個人隱私數(shù)據(jù)與權(quán)益？

  最后，作為普通APP用戶，通過良好安全的APP使用習(xí)慣，是否可以在很大程度上避免個人隱私數(shù)據(jù)外泄及相關(guān)安全風(fēng)險呢，答案是可以的。這里整理幾種常見的保護(hù)方法和使用習(xí)慣：

7.1 通過正規(guī)應(yīng)用商店下載APP

  官方應(yīng)用商店移動應(yīng)用都經(jīng)過較為嚴(yán)格的隱私合規(guī)檢測及安全檢測，其安全性及合規(guī)性可以得到保證。同時，正規(guī)應(yīng)用商店分發(fā)的移動應(yīng)用可保證應(yīng)用來源的可靠性，避免偽應(yīng)用釣魚風(fēng)險。

7.2 嚴(yán)格控制應(yīng)用權(quán)限

  用戶可參照個人隱私數(shù)據(jù)基本原則對應(yīng)用進(jìn)行授權(quán)，如應(yīng)用存在強(qiáng)制索權(quán)等行為應(yīng)拒絕使用應(yīng)用并向移動APP隱私信用評估系統(tǒng)反饋。

7.3 選擇具有安全鍵盤的金融類APP

  對于金融類APP，其安全要求更為嚴(yán)格。應(yīng)注意金融APP是否具有安全鍵盤，其鍵盤順序被打亂，同時禁止應(yīng)用在密碼輸入?yún)^(qū)域截屏或錄屏。

7.4 不要對系統(tǒng)root或越獄

  移動操作系統(tǒng)其安全核心即應(yīng)用隔離及嚴(yán)格的權(quán)限控制機(jī)制，因此不要以任何理由對自己的手機(jī)進(jìn)行root或越獄處理，否則手機(jī)相當(dāng)于安全裸奔。

7.5 不要輕易上傳自己的肖像、身份證等信息

  不要對來源不明的APP上傳自己的肖像、指紋及身份證等信息，上述信息可被不法人員利用莫用用戶真實身份進(jìn)行違法活動。

  目前的人臉模擬技術(shù)可以輕松模擬真人的眨眼、點(diǎn)頭等行為。

7.6 不輕易點(diǎn)陌生鏈接或者二維碼

不要點(diǎn)擊來歷不明的陌生鏈接或識別并二維碼，更不要下載對方提供的任何附件或者應(yīng)用，通過這種手段植入手機(jī)木馬，可以輕易控制用戶手機(jī)或竊取隱私數(shù)據(jù)。

7.7 絕對不要外借個人隱私數(shù)據(jù)

  絕對不要向他人外借隱私數(shù)據(jù)，如身份證、電話卡、銀行卡具有校驗功能的卡片。違法人員通過冒用用戶身份可輕易進(jìn)行各種違法活動，其造成的嚴(yán)重后果還需隱私泄露者承擔(dān)，非常危險。

7.8 不要共用密碼

  不要講核心應(yīng)用賬號密碼與普通應(yīng)用共用，如郵箱、銀行卡、支付密碼等。用戶通過安全能力不足的APP獲取用戶的某一賬號及密碼后，可利用該數(shù)據(jù)進(jìn)行“撞庫”操作，不斷試探用戶的銀行卡、社交賬號等密碼，一旦用戶共用相同的密碼，很容易造成嚴(yán)重的經(jīng)濟(jì)損失。

8. 總結(jié)

  APP已經(jīng)成為人們學(xué)習(xí)、工作、娛樂必不可少的工具與媒介，通過APP產(chǎn)生于交換的隱私數(shù)據(jù)也最多，因此近年來逐漸成為了隱私數(shù)據(jù)泄露的重災(zāi)區(qū)。提升個人隱私數(shù)據(jù)保護(hù)意識，積極向大數(shù)據(jù)平臺反饋APP違規(guī)行為才是遏制數(shù)據(jù)黑產(chǎn)，保護(hù)個人數(shù)據(jù)的有效手段。