遏制APP盗取用户信息行政、法律、技术应并行

作者│孙永杰

近日，支付宝开放年度个人账单查询之后，芝麻信用“搭便车”让消费者“被选择”授权获取个人信息的事实在网上曝光，与此同时，吉利控股集团董事长李书福在出席某论坛发言时称——在中国几乎没有任何隐私保护和信息安全可言，马化腾肯定天天在看我们的微信。因为他都可以看的，随便看，这些问题非常大。那么问题来了，移动互联网时代，用户的个人信息将在何处安放？如何最大限度保证用户的个人信息？

曾几何时，移动互联网时代的到来改变了人们的生活方式，我们已经进入到了APP的时代，但相应的我们的个人信息也在自觉或不自觉间泄露和被利用。

据互联网第三方研究机构DCCI互联网数据中心发布的《2016年中国安卓手机隐私安全报告》，2016年安卓非游戏类APP中有91.7%需要读取位置信息，其中13%属于越界；需要访问联系人的占49%，其中9.1%属于越界。此外，越界读取短信、通话记录、手机号码等行为也非常严重。去年，DCCI互联网数据中心发布的《2017年中国安卓手机隐私安全报告》显示，相比2016年，虽然非游戏类APP 越界获取的各种隐私权限显著减少，但核心隐私权限中的越界获取“通话记录”和越界“读取彩信记录”出现较大幅度增长。

此外，专业从事智能安全研究的极棒实验室近期发布的《APP个人隐私研究报告》显示，超功能范围“越界”申请、收集、上传用户信息，是目前手机APP存在的普遍现象。将下载使用量、知名度作为参考，这家实验室在应用市场中挑选100多个安卓版手机APP，根据个人隐私信息的敏感性选择“读取通讯录”“读取短信”“读取日程”“读取通话记录”等作为重点分析对象进行技术分析。研究结果表明，手机APP主要存在“超功能范围申请权限”和“用户告知声明不规范”两大问题。在此次研究的100多个APP中，约有80%申请了通讯录的阅读权限(包括联系人姓名、电话、邮箱等信息)，另外还有超过20%的APP申请了通话记录的阅读权限。专家经过对其代码的深入分析后发现，很多权限申请超出了APP的功能范围。

业内人士透露，滥用权限的背后，涉及当前互联网企业的商业逻辑。当前各大APP都热衷于“个性化推荐服务”，而要想做到精准就必须尽可能地多掌握用户数据，“不管有用没用，多收集一点总没坏处。大数据时代，没人知道哪些数据会成为重点，足够多的数据才是重点。”而APP越界索取用户权限，也就让用户信息泄露的风险增大，尽管有关部门早已有明文禁止，但处罚力度不够、效果甚微。

为此，我们认为，在移动互联网时代，信息安全和隐私保护，对于个人、企业和国家都至关重要，而要让互联网产品加强对用户隐私的保护，不能指望互联网企业的自律，必须靠外力。首先，相关部门要加强对互联网产品保护用户隐私的监管，监测互联网产品保护用户隐私和信息的状况，及时要求纠正，乃至处罚。其次，继续完善和细化相关法律法规。既要对互联网企业留下的用户数据处理出台办法，也要对互联网产品在什么情况下可以获取用户信息、获取用户的哪些信息作出明确的规定。

所谓道高一尺，魔高一丈。除了上述行政，甚至是法制手段外，相关企业如何利用技术手段保护用户的隐私也必不可少。

例如苹果研究和采用的被称为“差分隐私”(differential privacy)算法的技术。利用该技术，苹果可以了解用户正在做什么，同时在数据离开用户设备前用算法对数据进行转化，从而保留一定的隐私。通过差分隐私算法，苹果无法将其接收到的数据与任何特定用户相关联。这些数据被用于改进苹果生态系统内销售的设备和服务，而不是用来向消费者发送他们一开始就不知道会获得自己数据的其他企业的精准定向广告。现在，微软、Uber等其他公司也都在测试这项技术。那么什么是差分隐私算法？

简单地说，差分隐私算法通过增加大量可测量的统计噪声，对正在被分析的数据进行模糊化处理。例如，把一个问题(你是否犯过暴力罪行？)置换成一个在统计学上拥有已知反应率的问题(你是在2月出生？)。这样，试图寻找出数据之间连接的人就无法确定一个特定人被询问过哪个问题。研究人员在分析病历等敏感数据时也就无法把数据与特定人绑定在一起。

综上所述，我们认为，要遏制APP盗取用户信息，不仅需要政府相关部门行政、法律等手段的完善和坚决执行，也需要相关企业在技术上的努力，才能实现遏制效率的最大化。