手机App个人信息泄露问题及保护

史秀珍

摘要：技术发展的突飞猛进使得手机的智能化和通信技术也日新月异，我们正处于以智能手机为标志的移动互联网时代，手机已通过社交娱乐、移动支付等方式渗透到我们生活工作的方方面面。然，在享受智能手机带来的各种便利时，随之而来的是个人信息泄露问题。文章主要从近年来信息泄露的方式出发分析信息泄露的情况，出现这种现象的原因并提出相应的保护措施。我国关于个人信息保护的法律法规和政策都不够完善，加强个人信息的保护是重要且紧迫的任务。

关键词：手机App;信息泄露;信息保护

智能手机功能的不断完善，使得它已成为我们生活不可缺少的工具与平台，社会大众在体验更好的数字体验时，因手机App等社交平台隐私保护协议不符合要求、我国不健全的相关政策，民众也缺乏这方面的保护意识等，极容易出现个人信息泄露的情况，因此互联网大环境下手机App使用过程中个人信息的保护越来越受到社会各界的关注。

一、手机App个人信息泄露概述

（一）个人信息泄露

互联网应用的巨大便利性使人们对手机的依赖不断加大，网络上的信息安全问题也日益突出，恶意程序、钓鱼网站和诈骗链接频频出现，黑客攻击和大规模的个人信息泄露事件频发，民众因此遭受的财产损失也不断增加。2018年9月，中国消费者协会发布了《App个人信息泄露情况调查报告》，其中约85.2%的参加者都遇到过信息泄露情况，信息泄露后，约86. 5%的受害者曾收到推销电话或短信的骚扰，约75.0%的受害者接到诈骗电话，约63.4%的受害者收到垃圾邮件，包括自身也曾经接到因信息泄露打来的诈骗电话。因此手机App中个人信息安全问题急需重视。

（二）手机App个人信息泄露方式分析

据相关数据统计，截至2017年年底，我国公民使用手机上网的比重是97.5%。上网使用率远超其他设备。一个新生事物有利就有弊，就有让犯罪分子钻的漏洞，手机在提供了巨大便利的同时也给我们带来了个人信息泄露的风险，泄露的方式主要有以下几种：

1.越界获取隐私权限：这是指超出功能范围申请、收集、上传用户信息，如手机联系人权限，读取短信的权限甚至获取位置信息的权限等，都是目前手机App普遍存在的现象。根据《公共及商用服务信息系统个人信息保护指南》的规定，手机App在使用个人信息时要对个人信息主体尽到告知、说明和警示的义务，

要如实告知信息主体个人信息收集和使用的范围、保护措施等。处理个人信息时要遵循征得个人信息主体同意原则、“最小够用”原则等等。但是实际的操作中很少有运营商真正做到。

2.植入木马病毒：智能手机主要操作系统包括Android和苹果系统。苹果的系统相对安全，Android系统则更为开放，除官方应用商城外，部分App开发商会通过弹窗、广告等形式，为用户推送含有木马病毒的App下载链接，用户点击下载并 安 装 后，木马病毒就会自动扫描手机中的通信、短信、账号密码等个人隐私信息，并将相关数据回传服务器造成用户信息泄露。2019年3月，360公司发布的《2018年中国手机安全状况报告》显示，2018年全年共截获移动端新增恶意程序样本434.2万个，平均每天新增1.2万个，其中隐私窃取类占比33.7%，严重威胁用户个人信息安全。

3.App中的扫码支付：扫码支付是移动支付的一种，随着支付宝和微信的发现，广大用户的支付方式也发生了巨大的变化，现在消费时已经很难见到纸币或者硬币了，而根据2017年底的相关统计，我国使用互联网支付的用户较2016年底增长约百分之十，其使用率更高达百分之七十，其中，手机支付用户规模增长迅速，达到5.27亿，较2016年底增长5783万人，年增长率为12.3%，使用比例达70%。扫码支付已经绑定个人生活，涉及打车、外卖、购物、水电等生活缴费、公共交通、医疗教育等领域。由此可以看出扫码支付已经是现在生活中最常用的一种支付方式，但在使用这种支付方式时时，用户需要向移动支付软件公司提供个人账户信息，身份信息等相关个人信息，这时第三方公司就掌握了个人的重要信息，如果第三方公司数据库被攻破，那么将导致个人信息的泄露，进而造成财产损失。

4.App中的人脸识别：随着科技的进步，生物识别技术越来越成熟，也逐步的被运用到生活中，此前指纹识别已被大规模使用，现在面部识别也得到应用。各大手机厂商也都趁热推出了先进人脸识别解锁功能。有些厂商的面部识别需要识别虹膜以及面部3D扫描，但一些厂商为了尽快模仿此功能推出的面部识别功能安全性极低，这种识别的技术流程我们不得而知，但从广大使用者的反馈意见来看，或多或少都存在一些漏洞，因为有些手机只需要相似的样貌即可进行解锁，这具有明显的安全漏洞。更有用户反映通过打印的照片都可以解锁，这样很大程度的降低了手机的安全性能，使手机中的个人隐私更易暴露。

二、互联网时代个人信息泄露的原因分析

（一）数据的数量多、数据混乱和数据多样

数据的数量多、数据混乱和数据多样是大数据的基本特征。由于智能手机设备被大量普及，智能设备出现在生活中发挥的作用巨大，使用率极高伴随着出現相应的新的数据，所以智能设备无时无刻都在收集着使用者操作所产生的各种数据，这就导致了数据数量特别多。大量的数据中又分为结构形式化和非结构形式化的数据，也导致数据十分混乱没有章序。此外数据存储方法多种多样，包括移动电话、优盘和移动硬盘，还包括网络环境下的设备与设备的连接系统，这就使得数据具有多种多样的特性，数据分布的广泛多样性也会加大数据安全防护面临巨大风险。个人信息的安全风险就隐藏在数据的这些特性之中。而且在数据保护技术中，数据库中出现漏洞的情况是经常见到的，这就使得数据的安全性得不到保证，从而使个人信息极容易泄露。

（二）数据采集标准不明确

由于我国的法律还处于不断发展阶段以及法律的相对滞后性，对于伴随互联网而来的这些新型问题还缺乏一系列相对完善的规定，对于实际操作中什么样的个人信息可以未经授权直接采集，什么样的个人信息未经授权不得采集没有明确的划分标准，而广大网络服务商、商业公司在采集和处理数据时，并没有将公开信息和敏感性的信息进行分开处理，同样也会造成广大用户在不知情的情况下个人重要信息被泄露。

（三）关于个人信息保护的立法相对滞后

我国目前没有专门保护个人数据信息的法律，大多数法律所涉及的保护个人信息的法规都是分散存在，所以关于个人信息保护的法律法规相对分散概括化，因此即使存在一些法律条款可以运用，但是可操作性和可适用性并不强，在实际操作中很容易出现执法部门职责分工不明确，效率降低的情况，不能做到及时有效地维护用户的正当利益。此外，法律对违法犯罪者的处罚力度也不够，甚至由于法律的不健全使得部分违法犯罪者没有受到相应的处罚，所以目前的关于个人信息保护的法律还不能够很好地规制相关人员的行为。

（四）双方信息不对称

目前在信息保护方面存在的一个现象是许多网络运营商在未得到用户授权的情况下，利用大数据私自采集用户的个人信息，并且泄露用户信息来为他们的各种目的服务以谋求利益，甚至是不法的目和非法的利益。而由于大多数用户往往缺乏这种意识，也缺乏相对专业的知识，对于自身个人信息泄露与否搞不清楚，或者认识不到自己信息的泄露对自身造成的损害，自然也就缺少维护与保护意识，同时也无法正确的甄选出优质的网络运营商，这种严重的信息不对称使得用户对于数据流向的知情权得不到保障，这将加大个人信息无端被采集并泄露的风险。

（五）网络服务商、商业公司自律不足，政府方面监管不力

此方面的原因主要表现在行业混乱，网络服务商、商业公司种类繁多，各种各样的App软件混乱复杂，同时用户个人信息数据获得渠道复杂，相应的政府方面尚缺乏有效的监管机制，也没有确立对应的高标准市场准入标准，部分服务商和网络公司为了牟利会违背自身的准则，直接导致未能形成良好的自律市场和良好的竞争秩序。其次政府和法律的监管水平落后于互联网的发展，互联网发展的速度以及大数据的快速融入人们生活，导致我们传统政府和法律的监管体系已经不能够满足当下互联网环境的需要，因此尽快完善现在的网络立法是十分紧迫的事情。

三、互联网时代个人信息泄露的保护及规制措施

（一）规范统一的个人信息采集标准

在规范采集标准是政府应当发挥其主导作用，从保护个人信息出发，尽快制定相应法律法规来规定统一的数据采集标准，包括必须规范采集数据的格式，要求数据必须完整全面，在保证数据有效性的同时兼顾数据的共享性。同时要严格划分公开信息与非公开信息，采集的数据必须符合法律的相关规定。积极建立个人信息授权许可制度，从数据获取的源头上控制个人信息的泄露。另一方面也要改进网络技术，严格控制用户浏览网络的痕迹等个人信息的留存时间，到期自动销毁，而且严禁在没有用户授权的情况下，将用户相关信息公开并谋取利益。。

（二）明确采集信息框架及条款

服务商和网络公司在采集信息前最重要的是要有明确的信息采集的框架及条例，并且必须是在经过用户同意的前提下才能采集使用。用户要实事求是主动说明自身情况，不得隐瞒，信息采集双方相互沟通，促使线上线下、多角度、多渠道验证信息的真实性、可靠性，进而形成信息共享。其次，服务商和网络公司在信息采集过程中要秉承着公开公正的原则，用户有知情权，需要将采集的信息告知给用户，将获得的数据按公开与不公开，隐私程度等标准对用户信息进行归类划分，真正做到切实维护用户的合法权益。

（三）完善个人信息保护法律体系

借鉴国外较为健全的法律保障体系，结合我国当下的基本国情和信息采集市场的结构，不断修复完善相应的法律法规，需要整合各种与个人信息保护有关的法律，细化每项法律法规的适用条件和对违法者的处罚程度，依法监管信息采集市场，严厉打击私自售卖用户信息的行为，同时加大处罚力度，起到法律的威慑作用。此外，还需要形成一套科学合理的违法补偿机制，及时维护和补偿受害者，促使个人信用数据使用和保护更高效。服务商和网络公司要自觉遵守相关法律，依法开展信息数据的采集和使用工作，明确双方责任和义务以及司法机关各部门的职责。

（四）增强政府监管能力，行业自律和用户自我保护的意识

政府监管首先要有健全的监管机制，要从机构入市开始到数据共享流程和人员管理方面严格把关强化监管，提高风险预测能力，设立自动预警系统，利用大数据实时监管，进一步提高金融机构的风险防控和危机应对能力。加强服务商、网络公司内部的数据控制，鼓励合法数据交易行为，将非法数据交易的行为扼杀在机构内部，可以引进新型的个人信用数据加密系统，防止数据被盗用。同时可以定期将非敏感信息对外公开，确保公开信息的透明性。

在我国个人信息保护法律尚不健全的情况下，互联网信息采集要加强行业自律意识，营造良好的行业自律环境。行业自律主要在于政府和行业协会的共同推进，互联网金融协会可专门成立互联网信息采集监管机构，并出台相关规范性文件形成对行业信息采集行为的具体约束。行业内部可以开展相关从业人员培训，明确学习隐私数据的划分，不断强调保护用户隐私的重要性，保证从业人员严格履行保密义务。

同时，公众要有防范隐私泄露的意识，政府要积极宣传普及个人信息保护知识，通过曝光泄露个人信息的案例，积极了解泄露的途径，防微杜渐，促使用户将信息保护列入到个人信息采集管理中，严格筛选服务商、网络公司，授权时要仔细阅读相关协议条例，积极向监管部门举报违法采集和使用的服务商、网络公司。

结语：

随着互联网的全面普及信息技术的日益发展，个人信息安全问题也变的突出且重要。在目前已经成为互联网持续发展和个人生活安宁的重要问题。除了技术因素，现如今缺少个人价值的标准、薄弱的个人隐私保护意识和不断追求的经济利益，是导致个人隐私信息安全的根本原因。同时政府监管不到位、法律法规没有跟上发展步伐导致相应的保護机制缺失等因素也是当前个人信息安全问题的重要原因。所以，有效保护和消除个人信息安全问题，就要做到以政府作为主导，发挥社会各界人士的努力对这一问题制定综合治理措施，进行综合治理。

参考文献：

[1]张蔚、陈燕：《大数据征信背景下个人隐私保护问题探讨》，载《金融经济》2018年第4期。

[2]赵启进：《网络环境下个人信息的法律保护研究》，广西师范大学2016年硕士学位论文，第24页。

[3]郭若思：《社交网络中的隐私泄露问题与保护》，载《智库时代》2017年第2期。

[4]贾佳：《大数据时代的个人隐私信息安全研究》，内蒙古大学2018年硕士学位论文，第18-19页。

[5]李雄英：《浅析进入互联网云计算时代个人隐私信息保护的立法》，载《电脑知识与技术》2015年第3期。

[6]赵芳霞：《社交媒体用户隐私泄露侵犯与保护研究》，兰州财经大学2019年硕士学位论文。

[7]李宇斐：：《手机App个人信息安全风险与防范》，载《保密科学技术》，2019年第8期。

华东政法大学 刑事法学院 上海 200042