剛說想買件襯衣購物App就推薦多個品牌襯衣 手機App收集信息渠道讓人防不勝防

剛和朋友說想買件襯衣，購物App就推薦了多個品牌的襯衣，仔細一看，款式和顏色還都是你常穿的。想在手機上刷個劇，打開視頻App，推送的劇目都是你喜歡的類型……大數據時代，看似沒有感情的手機App，卻可能比你本人更了解你，原因就是各種App暗中進行的個人信息搜集。商家在未經用戶允許的情況下搜集個人信息，不僅侵犯個人隱私，甚至會威脅人身安全。

7月9日，國家網信辦依據《網絡安全法》相關規定，通知應用商店下架“滴滴企業版”等25款App，要求相關運營者整改違法違規收集使用個人信息問題。此前，網絡安全審查辦公室發布公告，對“運滿滿”“貨車幫”“BOSS直聘”啟動網絡安全審查。為了確保關鍵信息基礎設施供應鏈安全，維護國家安全，國家互聯網信息辦公室會同有關部門修訂了《網絡安全審查辦法》，正在面向社會公開征求意見。

中國信息安全技能競賽專家委員會專家楊蔚認為，數據集中化和權限集中化的背后，對數據安全的管理與保護提出了更高的要求，也是行業新的挑戰。“App在合理合法的原則下來收集個人信息是有必要的，數據流動起來才有價值。限制數據采集無法保護數據安全，正確使用和妥善保護其實更加重要。這就需要國家的監管審查、企業的重視執行和個人的防范同時發力。”

App的悄然采集，讓個人信息在暗中“裸奔”

打開招聘軟件，填寫簡歷上傳，包括出生年月、身份證號、地址、學歷、工作經歷等個人關鍵信息就會留存在軟件的后臺系統中。使用打車軟件下單叫車，App會定位你所在的位置，記錄你每一次的出行軌跡和起點終點。各種App的出現，為大數據時代的生活帶來了諸多便捷。然而，隱藏在背后的采集個人信息行為卻讓網民信息存在“裸奔”風險。

楊蔚，中國信息安全技能競賽專家委員會專家，他的另外一個身份是北京眾安天下科技有限公司CEO。他曾對個人信息安全做過專門的研究。他告訴記者，目前，市面上的多數App都有不同程度地采集個人信息的行為。比如，App在實名認證過程中采集了用戶的身份信息、銀行卡信息，如果App運營商對相關信息未做處理就進行存儲，就會導致大量個人信息泄露。“多數APP為了確認用戶存活數，都會采用短信驗證的方式來確定是否為唯一注冊。如果App服務商對用戶的手機號處理不當，就會導致用戶手機號碼泄露。此外，App運營廠商為了存活量，幾乎每一款App都會收集用戶IMEI、設備ID等信息，這也屬于個人信息采集的一種。”楊蔚說。

還有一些App會打著安全的旗號，通過購物支付、手機解鎖、刷臉開門等渠道，采集用戶的人臉識別信息。楊蔚介紹，人臉信息是用戶的弱隱私特征，存在唯一性。然而，人臉識別應用五花八門，也沒有統一的行業標準，大量的人臉數據都被存儲在各應用運營方或是技術提供方的中心化數據庫中。數據是否脫敏、安全是否到位、哪些用于算法訓練、哪些會被合作方分享，外界一概不知。

不久前，“人臉識別時一定要穿衣服，攝像頭拍到的可能不止是臉……”話題以1.7億的閱讀量躍上熱搜，將網友帶進了大型“社死現場”。從事后臺審核的工作人員在進行人臉識別審核時，經常會看到很多人在洗澡、和另一半擁抱、沒穿衣服等各種“奇奇怪怪”的場景。

部分網友質疑平臺方未能提醒用戶“人臉識別系統后臺人工審核時，可以看到攝像頭全景”。專家分析,從技術角度來說，人臉識別的圖像被其他人看到的可能性是客觀存在的。而一旦服務器被入侵，高度敏感的人臉數據就會面臨泄露風險。

有買有賣，泄露的數據一步步匯入黑色產業鏈

個人信息的直接泄露，會造成什么樣的后果?對于泄露的數據如何一步步匯入黑色產業鏈，楊蔚進行了解釋：“這些信息非常有價值，有人買就有人賣。既然下游有人愿意花錢，那自然就會有黑客去攻擊這些目標。黑客非法獲取這些信息，拿到數據以后，就會有人接手。這里面還有大量二道販子的存在，在中間賺差價。”

楊蔚說，這個鏈條上的人分工特別明確，而且都是“專業”級別的團隊操作。“有些人會專門去聯系相關的培訓機構或詐騙團伙，從而把手上的數據賣到下游。而下游這些團隊，有專人負責詐騙的話術編寫培訓、線上通過第三方支付平臺洗錢、線下ATM機提款等，分工非常明確。大量詐騙案件由此產生。”

而被App收集到的用戶IMEI、設備ID等信息一經泄露，設備造假會變得更加容易。大多數App都會索要存儲權限，一旦存儲權限給予App后，App就可以任意讀寫甚至刪除存儲卡中的內容。

這意味著App服務商能夠對用戶手機端上的數據采集、應用管理等擁有了更高的權限，一旦相關服務商存在重大漏洞，有可能被惡意攻擊者獲取海量信息，后果不堪設想。同時，也對App服務商的數據管理提出了更高的要求。很多數據泄露事件的根源不僅僅來自黑客攻擊，內鬼竊取數據的事件甚至高于黑客攻擊。

給用戶畫像，打上標簽后推送低劣廣告

老人通過智能手機看新聞、小說時，手機屏幕總會自動蹦出一些“安全提示”：“病毒”“垃圾”“內存嚴重不足”。信以為真的老人往往會按照提示清理手機，但“安全提示”越清理越多，手機越用越慢。

今年的央視“3·15”晚會調查揭露，老人手機上的清理類軟件，藏著這樣的安全陷阱。楊蔚分析，這是另一種相對隱蔽的、通過信息泄露來獲取利益的方式——廣告誘導。

記者實驗發現，在一款閱讀軟件里，正常閱讀過程中出現了“安全清理”提示，點擊后，一款名叫“智能清理大師”的App自動下載成功，但清理過程中仍會跳出“清理手機緩存”提醒，點擊后，手機又下載安裝了另一款清理軟件。在不斷地“提醒、下載、清理”過程中，更多App被自動安裝。

楊蔚分析，這些App表面上是在清理手機垃圾，背地里則在大量獲取手機數據信息，對使用者進行用戶畫像，打上標簽，再將各種低劣廣告源源不斷地推送給用戶。“也有一些App在對用戶畫像信息進行加工后，把結果賣給上下游合作機構進行變現。還有些App可能通過手機定位或手機號碼來判斷用戶所在區域、地理位置，推斷用戶安全意識和IT技能相對較弱，繼而精準投放一些廣告或者推薦一些流氓軟件從中獲利。”楊蔚說。

國家層面監管外，企業也須提高保護用戶信息意識

App信息安全問題層出不窮，影響到的不僅僅是個人。碎片化的信息一旦聚合起來，通過大量算法進一步加工，能得出很多影響決策的結論，甚至會影響到國家安全。

針對個人信息泄露問題，工信部開展了縱深推進App侵害用戶權益專項整治行動，先后多次向社會通報和下架了多款侵害用戶權益行為App。而在今年315國際消費者權益日主題活動上，工信部表示，將繼續開展App問題治理，進一步強化消費者個人信息保護。

“這兩年，國家網信辦、公安部、工信部都在針對App開展專項檢查、抽查，力度很大。”楊蔚說。

在法律層面，有關數據安全的要求也越來越多。此前，國家網信辦已經發布了《數據安全管理辦法》，為個人數據安全加把鎖。今年6月，第十三屆全國人民代表大會常務委員會第二十九次會議通過了《中華人民共和國數據安全法》，將于今年9月1日正式實施。

除了國家層面的監管，企業也必須要提高保護用戶信息的意識。在數字經濟時代，做好個人信息保護是企業應當堅守的基本底線，也是企業長久健康發展的基礎支撐。

但在信息安全的道路上，企業自身也面臨著一些難題。楊蔚分析，當App所屬企業的規模還未壯大時，企業對于信息安全、產品規范、數據收集和保護的投入能力都很有限，于是導致了更多的安全隱患和問題。有些企業并非主動向外泄露用戶信息，而是產品本身不完善，給犯罪團伙提供了可乘之機。“這種情況在中小企業中尤為明顯，頭部企業的信息安全做得相對比較好。”楊蔚說。

若將信息安全的把關責任都歸在用戶身上，楊蔚認為，這也不合理。“企業將上傳個人信息設置為使用產品的前置條件，用戶若要使用App，必須同意上傳這些信息。雖然國家要求App在注冊階段告知采集信息可能帶來的風險，但App官方擬定的條款非常專業，且密密麻麻，絕大多數用戶沒有耐心看完，且也未必有能力看懂這些條款，只能直接點選‘同意’。這樣的大環境，使得用戶在保護個人信息時十分被動。”

“個人認為，App在合理合法的原則下來收集個人信息是有必要的，數據流動起來才有價值。目前，我們國家的數據安全監管的重心放在數據合法采集上面。但實際上，數據即使被合法采集，也不代表它是安全的。即便是用戶同意采集，數據也會有可能被倒賣、被濫用。限制數據采集無法保護數據安全，正確使用和妥善保護其實更加重要。只考慮數據的合法采集，是遠遠不夠的。應該考慮的是，采集后的數據用什么樣的方法和機制來保護其安全，并且及時發現危害安全的行為，進行相應的處置。”楊蔚說。

個人信息保護·監管建議

對違法行為加大處罰力度，強化威懾作用

為了有效提升公民個人信息保護水平，楊蔚建議，國家應加速推進個人信息保護法律的制定，強化政府相關部門對個人信息安全的監管，加大公安機關對涉公民個人信息違法犯罪的打擊力度，強化互聯網企業的行業監督、行業自律，不斷增強公民個人信息保護意識。

首先，監管部門應持續性加強對個人信息采集的監管力度。數據安全監管機構定期對各行業領域涉及的企業機構開展監督執法，督促企業落實法律數據安全合規性評估要求。在個人數據保護方面，監管機構對標數據保護法，對企業違反合規性評估要求的行為進行執法處罰。企業應該基于法律法規和相關標準要求，積極開展數據安全自評。

目前，新出臺的《數據安全法》已經確立了數據分類分級管理、數據安全審查、數據安全風險評估、監測預警和應急處置等基本制度，為國家數據安全保護提供了有力的法律保障，并指明數據安全保護的方向。不過，數據安全保護和個人信息保護的法定義務以及具體制度執行還需要監管機構來保障落實。因此，對于數據安全保護不僅要建立事前預防、事中監督和事后處理的監管制度，還需要綜合運用抽查審計、事件通報、行政處罰和刑事制裁等監管手段，加大對違法行為的處罰力度，強化處罰的威懾作用。

個人信息保護·防范建議

拒絕App“霸王條款”舉報不符要求的數據采集

國家能做的，是監管、審查和對個人信息保護的推動，但最終還是要落實到企業自身的重視和執行當中。

楊蔚認為，企業端應承擔保護用戶信息的責任，減少對用戶信息的采集，加強自身的網絡安全建設，借助專業的安全機構、民間安全力量對企業系統網絡環境進行評估，建議采取安全眾測、滲透測試的方式來對系統進行全面的安全檢查等。

一方面，企業自身要對自身產品及業務進行評估;另外一方面是要尋求專業機構和安全力量的幫助，協助完善產品安全能力，保障用戶數據隱私安全。他建議：“針對當前的數據安全的形勢，應該以數據為中心、以組織為單位、以能力成熟度為抓手，來開展數據安全治理。其目的不只是為了合規，更是為控制風險、提升能力。只有這樣，才能更好地適應變化，真正保護好數據安全。”

對于用戶，楊蔚也給出了防范個人信息被過度采集的建議。比如：盡量從正規渠道下載手機App。關閉手機App的隱私使用權限，為不同類型的手機App設置不同的賬號密碼。在外不要隨意連接免費無線網絡，晚上睡覺關閉網絡通訊。臨時使用的權限用完盡量關閉。

如遇App設置“不開啟權限不能用”的霸王條款，可以先去“違法和不良信息舉報中心”舉報，然后適當更換同類App。長時間不用的App盡量卸載，防止被其他App調用，從而導致敏感信息泄露。“總之，個人用戶要學會說‘不’，遇到不符合要求或者嚴重采集數據的情況應及時舉報。”

“個人認為，App在合理合法的原則下來收集個人信息是有必要的，數據流動起來才有價值。目前，我們國家的數據安全監管的重心放在數據合法采集上面。但實際上，數據即使被合法采集，也不代表它是安全的。即便是用戶同意采集，數據也會有可能被倒賣、被濫用。限制數據采集無法保護數據安全，正確使用和妥善保護其實更加重要。只考慮數據的合法采集，是遠遠不夠的。應該考慮的是，采集后的數據用什么樣的方法和機制來保護其安全，并且及時發現危害安全的行為，進行相應的處置。——中國信息安全技能競賽專家委員會專家楊蔚”(記者何雅君)