涉手机APP个人信息泄漏问题研究
  摘要:当前手机APP较多存在过度索取或强制索取用户个人信息、公民个人信息在APP运行中或卸载后均未被有效保护、公民个人信息被盗用侵犯的形式日益多样化、案发后取证固证工作困难等问题,严重侵害公民人身和财产安全,影响行业持续健康发展,增强社会治理成本和难度,亟待加以解决。
        关键词:手机APP;信息泄漏;社会治理;权益保障
        近日,中国互联网协会表示,通过技术检测以及用户举报发现,QQ音乐等18款APP疑似存在过度收集“短信”“通讯录”“位置”“录音”等用户敏感信息,万能看等9款APP疑似存在未经用户同意收集使用用户个人信息。为积极回应社会关切,切实保障公共利益,上海市静安区人民检察院走访市网信办、市信息网络安全管理协会,深入了解行业管理现状,并会同第三方技术公司排查了9个应用商店的17个手机APP使用个人信息的情况。
        一、调研中发现的问题
        (一)过度索取或强制索取用户个人信息
        常用APP几乎均存在过度索取用户个人信息问题且部分APP存在强制索取用户信息情况。如上海市网信办近期抽查的拼多多、饿了幺、小红书、大众点评、携程旅行、盒马生鲜
等23款常用APP,累计共申请权限864项,其中与APP提供服务不相关的“不合理”权限264项,占比30.6%。部分APP被安装时会强制用户授权APP获得通讯录、通话记录等“不合理”权限,或强行捆绑推广其他应用软件,若不授权将无法使用。
        (二)公民个人信息在APP运行中或卸载后均未被有效保护
        在用户使用APP期间,APP开发商因代码漏洞等技术性问题或缩减运营成本考虑,未对获取的用户个人信息加以安全保护,易被黑客窃取利用。在用户卸载APP之后,其仍在后台运行。如“校讯通”会向用户发送诱导信息“您好,这是你孩子近期成绩情况,请重视”并附有链接,一旦点击链接就会在手机装上木马软件,即使卸载APP,后台仍在继续窃取用户个人信息。
        (三)公民个人信息被盗用侵犯的形式日益多样化
        除用于发送推销广告之外,还出现利用APP 认证漏洞和被盗取的公民个人信息,帮助他人处理交通违章扣分的犯罪行为。上海市静安区人民检察院在办案中发现,被告人吴忠煌等人利用违法获得的他人身份信息注册“上海交警”APP账号,并使用对应的身份证头像照片,经动画软件处理后破解APP的实人认证环节、关联被害人驾照,从而在被害人不知情的情况下,利用被害人驾照中的积分处理委托人的交通违章扣分进而牟利。此外,常见的公民
个人信息被盗用侵犯的形式还有专门针对老年人的电话直销、通过冒领个人身份信息进行信用卡盗刷等等。
        (四)案发后取证固证工作困难
        一方面,难以出泄露源。用户注册过多APP,无法记清在哪些APP上填写过个人信息,因此用户很难确定到底是哪个APP软件泄露了自己的个人信息,导致无法确定调查取证的方向。另一方面,取证固证工作专业性强,周期较长。查证手机APP用户信息的去向,需使用第三方软件在一定时间内监控软件后台,收集向外发送个人信息数据的证据,取证周期较长。此外,由于手机APP运营商多为市信息网络安全管理协会的会员单位,在调查取证时也存在一定阻力。
        二、危害及原因分析
        (一)危害分析
        所谓个人信息包括两类,一类是姓名、身份证号、、家庭住址等基本信息;另一类是账户、密码等交易类信息。近年来此类信息泄露呈现出一种常态化和多发性的特征,不仅对公民个人人身和财产安全造成严重侵害,同时也威胁到相关行业的持续健康发展,给社会治理带来极大的困难和挑战。
侵害公民个人信息
        1.严重侵害公民人身和财产安全。公民个人信息泄露,带给受害者最直接最广泛的危害就是成为无良商家定向推送广告的对象,轻则使其经常遭受陌生电话、垃圾短信和网络推送等各种推销的骚扰,影响其正常生活,重则使其遭受电话、网络,造成重大财产损失,近几年还发生了若干受害者因遭受电信而气郁心结最终不幸离世的悲剧。
        2.影响行业持续健康发展。随着手机APP个人信息泄露事件频发,直接影响的另一个领域便是行业经营秩序。大量的涉手机APP个人信息泄露,导致使用者需承受各种不断增大的安全威胁,容易产生巨大的心理负担和恐慌,进而对下载、注册并使用手机APP产生抵触心理。
        3.增加社会治理成本和难度。手机APP上的个人信息仅仅通过一个互联网平台即可全面快速获取,加之对此类信息的非法交易具有速度快、手段隐蔽、跨区域、涉案行业多等特点,一方面给侦查机关顺利搜集证据、成功侦破案件带来巨大挑战,进而导致司法机关因难以获得证明力强的关键证据而无法对犯罪嫌疑人作出罪行相适应的惩处;另一方面,相关职能管理部门无疑需要投入更多的人力、物力和财力,增加了其开展综合治理工作的成本。
        (二)原因分析
        1.手机APP运营者对用户的个人信息保护力度不够。一方面,由于保护用户个人信息与
手机APP运营者盈利不呈正相关关系,甚至需要其花费更多的人员和技术成本,因此手机APP运营者对用户个人信息的保护意识不强。另一方面,由于行业竞争激烈,各大手机APP运营者将开发和运营重点放在如何扩大用户、增加APP使用率等,而怠于研发用以保护用户个人信息的技术手段。
        2.存在用户个人信息非法交易行为。一些手机APP运营者为尽快收回研发成本,有意将APP运营过程中获取的使用者个人信息打包出售,而违法购买信息的一方通常是分工明确、操作娴熟的团队或组织,其利用违法所得的公民个人信息进一步实施不正当行为,以谋取不当利益。另有手机APP运营方的内部工作人员利用工作便利,偷偷倒卖用户信息。
        3.无法准确定位法律依据进行救济。目前,我国关于保护公民个人信息的法律散见于《民法总则》、《侵权责任法》、《刑法》、《网络安全法》及其他部门法中。此外,还存在大量的行政法规和规章对其进行保护,如诉讼法中有保护当事人个人信息的条款,《消费者权益保护法》中有保护消费者个人信息的条款等等。我国关于个人信息安全的立法较为分散,公民无法迅速准确地选择恰当的法律依据对自己的权益进行救济。