449萬款App下載超萬億次？！專家解惑如何應對個人信息安全風險

　　中國西藏網訊 9月17日，在2019年國家網絡安全宣傳周的個人信息保護分論壇上，中國信息通信研究院安全研究所所長魏亮向記者介紹了如何應對App個人信息安全風險。

圖為2019年網絡安全博覽會上App個人信息保護展臺“共創安全”展板

　　現狀如何？10月底之前對主流App進行安全檢查

　　目前,在群眾的生活中，App已經成為生活的必需品。只要是智能手機上，都會下載一些社交的、生活類的、地圖導航類等各種App。魏亮列舉了一連串的數字，在移動互聯網時代，我國手機網民有8.47億，截至2018年約有449萬款App，第三方應用下載1.8萬億次。

　　隨著互聯網技術的開發和App應用，強制授權、過度授權、超范圍收集個人信息導致一些個人信息被濫用或者惡意使用，給人們的生活帶來一些不便，甚至給財產帶來損失。魏亮說，“現在不單個人用戶注意到了這個問題，相關的部門也注意到了?！苯衲?月，中央網信辦、工信部、公安部、市場監管總局聯合開展綜合治理，指導成立了App專項治理工作組，開發舉報平臺，進行App違法違規收集個人信息的專項治理行動。

　　“工信部在電信和互聯網行業保護安全提升工作方案中也要求，10月底之前要對全部的基礎電信企業，50家重點互聯網企業，200款主流App進行安全檢查。App安全已經受到了關注，已經付諸行動?！?/p>

　　問題來了！關掉GPS真的就不會被收集位置信息嗎

　　魏亮羅列了一些App應用獲取個人信息的典型問題。

　　第一種，隱蔽地收集個人信息。魏亮介紹，“我們在媒體和測評中看到，部分App存在未經個人同意的情況就開始收集、上傳個人信息。比如說手機號、MAC地址、賬號、密碼等個人信息，有些可能不在意，但是賬戶密碼涉及到個人資產。很典型的是獲取系統的高危權限等，隱蔽地收集個人信息?！?/p>

　　第二種，超出用戶心理預期。把GPS關了，那它不收集手機的位置信息了吧？魏亮直接指出這種想法是錯誤的，“實際上它還能通過wifi知道我的位置，這就超出預期了?！?/p>

　　第三種，誤導用戶同意后收集個人信息。幾乎每個智能手機用戶都會遇到的這樣的情況，安裝某些軟件或者充值時，收到提示信息顯示“允許開啟手機通訊錄權限，以便讀取聯系人電話號碼，進行充值”。魏亮說：“這就是一個誤導，它要獲取你的通訊錄信息?！?/p>

　　第四種，第三方SDK存在安全風險。魏亮坦言，“第三方SDK自身存在安全漏洞，第三方SDK成為惡意代碼傳播途徑，SDK隱蔽收集個人信息……App也不清楚，這是使用了第三方SDK存在的風險。大量的App都嵌入SDK，存在一些風險，比如說Facebook?！?/p>

圖片為魏亮在論壇上發表演講

　　如何解決？各方努力共建良好生態

　　魏亮舉例，在App使用過程中，即使用戶不喜歡廣告，也不能很簡單粗暴的禁止廣告，“因為廣告是一個很大的產業，有了這些廣告可以給你提供更便利的服務和信息，簡單粗暴的禁止是不現實的，可能最后是一個平衡”。

　　他表示“一刀切”的做法不可取，“一刀切很簡單，但對產業的傷害是非常嚴重的。App個人信息安全復雜多樣，涉及多個主體，解決好個人信息的問題，要構建一個生態，需要政府部門、相關企業、App企業、SDK企業、手機企業、應用商店企業、行業組織、研究機構共同處理?！?/p>

　　“要加快立法，細化個人信息收集使用規范，現在的法律規范雖然有相關內容，但不能滿足需求?！蔽毫琳J為，推動個人信息保護法的出臺，明確個人信息保護的義務、權利，加強對違法違規行為的追究，同時也是對數據的所有權，數據資產保護等問題的分析研判，厘清法律邊界，梳理相關立法線條。

　　在App個人信息保護過程中，做好安全升級，貫徹隱私保護的設計理念必不可少?！安还苁茿pp廠家也好、SDK廠家也好，研發的過程中，編碼的過程中就要關注到隱私保護的理念，貫徹到代碼和設計思路和整體架構中，這樣才能夠保護到一些個人信息，提高個人信息保護的水平?！背酥?，魏亮認為，應該加快技術革新，加強數據安全技術研發?！氨热缯f防竊密、防篡改、防泄漏、數據脫敏、關鍵數據審計、流動追溯和數據備份等安全技術的研發和商業部署，更好的保護個人信息，此外還要運用大數據、人工智能，提升安全防護的能力?！保ㄖ袊鞑鼐W 記者/王茜 攝影/王茜）