App成“隱私刺客”過度收集信息應(yīng)該怎么防？

2025-07-16 15:02:46

　　法治在線丨App成“隱私刺客”過度收集信息應(yīng)該怎么防？

　　在當(dāng)今移動互聯(lián)網(wǎng)時代，App和小程序已經(jīng)深入我們?nèi)粘Ｉ畹姆椒矫婷妫瑹o論是掃碼點(diǎn)餐、便捷支付、酒店預(yù)訂還是在線醫(yī)療服務(wù)等等，它們無處不在。然而，在享受這些便利的同時，您是否注意到，每當(dāng)啟動一款新的App或小程序時，它們常常請求訪問您的相機(jī)、通訊錄、身份信息乃至位置信息？這些權(quán)限請求真的都是必要的嗎？

　　近日，北京市互聯(lián)網(wǎng)信息辦公室會同有關(guān)部門組織開展了民生消費(fèi)領(lǐng)域數(shù)據(jù)安全和個人信息保護(hù)專項(xiàng)整治，覆蓋全市5萬多家經(jīng)營主體的App和小程序，在隨機(jī)抽查的197款應(yīng)用程序中竟然發(fā)現(xiàn)了多達(dá)388項(xiàng)問題。

　　這些問題應(yīng)用程序都有哪些？

　　是否正在被我們使用？

　　我們的個人信息是否正被非法收集？

　　一旦被收集，這些信息又將流向何方？

　　面對潛在風(fēng)險，如何識別并防范？

　　權(quán)限泛濫權(quán)限與功能脫節(jié)

　　記者在北京街頭隨機(jī)采訪時發(fā)現(xiàn)，許多人對于應(yīng)用程序收集使用個人信息都存在著不少疑問和擔(dān)心。

　　為了更好地保護(hù)廣大群眾的個人信息安全，今年2月以來，北京市互聯(lián)網(wǎng)信息辦公室會同有關(guān)部門組織開展了民生消費(fèi)領(lǐng)域數(shù)據(jù)安全和個人信息保護(hù)專項(xiàng)整治，在隨機(jī)抽取的197款應(yīng)用程序中，發(fā)現(xiàn)了多達(dá)388項(xiàng)與個人信息安全相關(guān)的問題。

　　北京市互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全協(xié)調(diào)處處長楊虎：聚焦在線教育、掃碼停車、點(diǎn)餐、理發(fā)、洗衣，包括電影預(yù)約、網(wǎng)上加油等11個領(lǐng)域，發(fā)現(xiàn)了諸如未告知用戶收集使用個人信息的范圍，以及超范圍收集使用個人信息，傳輸?shù)耐ǖ牢词跈?quán)認(rèn)證等等這樣一些問題，各類問題大概388個。

　　未進(jìn)行任何授權(quán) 讀取手機(jī)存儲文件

　　這些應(yīng)用程序存在的問題對我們的個人信息究竟有哪些威脅？北京市網(wǎng)信辦的工作人員對其中的幾款典型問題應(yīng)用程序進(jìn)行了展示。

　　應(yīng)用程序典型問題一：未征得用戶同意收集個人信息或打開可收集個人信息的權(quán)限。

　　北京市互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全協(xié)調(diào)處工作人員孟翔：通過檢測平臺模擬用戶登錄這款應(yīng)用程序的過程，我們在點(diǎn)擊進(jìn)去還沒有進(jìn)行任何授權(quán)的前提下，應(yīng)用程序已經(jīng)在后臺默認(rèn)收集了用戶的個人信息，比如安卓ID、應(yīng)用包信息、應(yīng)用列表、讀取外部存儲文件等，這屬于典型的違規(guī)行為。

　　后臺界面上顯示，登錄這款A(yù)pp后，系統(tǒng)并沒有彈出獲取權(quán)限的請求，就在后臺收集了用戶的個人信息。

　　應(yīng)用程序典型問題二：未經(jīng)用戶同意，將個人信息同步給第三方。

　　孟翔：這個案例是一款酒店住宿類的小程序，點(diǎn)開小程序，目前他給咱們定的位置是北京市東城區(qū)新城東街19號院。我們看下詳情，這一行是用戶此時位置的經(jīng)緯度信息，它通過調(diào)用小程序的位置信息拿到，然后把這個信息給到了地圖工具，然后地圖工具給它一個回復(fù)，把相應(yīng)的經(jīng)緯度信息轉(zhuǎn)化成了具體的地理位置。我們在不知情的情況下，他就把位置信息給送出去了。在個人信息保護(hù)法里邊也有明確要求，個人信息處理者，也就是小程序的運(yùn)營者，向其他的個人信息處理者，也就是地圖的工具這一方去提供個人信息的時候，要告知個人，也就是用戶，并且取得個人的單獨(dú)同意。

　　個人信息被違規(guī)收集推銷廣告騷擾不斷

　　目前，北京市網(wǎng)信辦已經(jīng)督促相關(guān)運(yùn)營主體完成整改，違規(guī)行為也得到糾正。

　　在記者的采訪中，對于應(yīng)用程序違規(guī)收集個人信息的問題，不少用戶都在擔(dān)心，自己的隱私信息可能因?yàn)檫@些App的違規(guī)行為而被泄露、濫用。

　　接到推銷電話，是否和個人信息被違規(guī)收集相關(guān)？

　　在法學(xué)專家看來，接到推銷電話很有可能因?yàn)閭€人信息的泄露。而個人信息一旦泄露，更嚴(yán)重的后果還可能會有身份被盜用、遭遇精準(zhǔn)詐騙等等。

　　北京理工大學(xué)法學(xué)院教授洪延青：個人信息其實(shí)主要都是靠電子來傳播的，所以一旦泄露，傳播起來一下子能遍布網(wǎng)絡(luò)。不法分子違規(guī)收集的個人信息，經(jīng)常會流入所謂的黑灰產(chǎn)。我們可以看到很多老人聽信電信詐騙的一些情況，這些電信詐騙分子為什么可信？因?yàn)樗莆樟死先松盍?xí)慣、購物習(xí)慣，所以他們編造出來的故事就特別令人信服。

　　法學(xué)專家提到，依據(jù)《中華人民共和國個人信息保護(hù)法》的相關(guān)規(guī)定，對違法處理個人信息的應(yīng)用程序，責(zé)令暫停或者終止提供服務(wù)；拒不改正的，并處一百萬元以下罰款；對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。

　　構(gòu)成違反治安管理行為的，依法給予治安管理處罰；構(gòu)成犯罪的，依法追究刑事責(zé)任。

　　小程序漏洞致13萬份體檢報告存泄露風(fēng)險

　　法律明確規(guī)定了應(yīng)用程序不能過度、違規(guī)收集用戶的個人信息，那么，是否合理收集的應(yīng)用程序就不會存在泄露個人信息的風(fēng)險？

　　北京市網(wǎng)信辦在對市場上的應(yīng)用程序進(jìn)行抽查時發(fā)現(xiàn)，某些存儲了大量個人信息的應(yīng)用程序，由于保存不當(dāng)，竟然可以輕易被一些技術(shù)手段攻破竊取。在某家醫(yī)院體檢預(yù)約的小程序中，由于小程序本身存在漏洞，13萬份患者的檢查報告和兩癌篩查報告竟然都可以被用技術(shù)手段獲取。

　　應(yīng)用程序典型問題三：存在技術(shù)漏洞，有泄露個人信息風(fēng)險。

　　孟翔：某醫(yī)院體檢預(yù)約的小程序，它同時也提供了兩癌報告篩查、在線報告查詢的功能，我們在檢測過程中發(fā)現(xiàn)這款小程序存在未授權(quán)訪問的漏洞，也就是說它的身份驗(yàn)證的機(jī)制不完善。利用這個漏洞可以看到這個功能模塊下所有的檢測報告，一共有5218份，兩癌報告查詢里邊會更多，總數(shù)是13萬。我們常規(guī)的一份檢查報告里邊會包括姓名、年齡，包括疾病的信息，這種信息不管是從法律層面上來講，還是從個人的隱私保護(hù)性上來講，都是非常敏感的。

　　患者隱私信息被收集存儲但保護(hù)技術(shù)不足

　　在這份檢查報告中，患者的姓名、年齡、聯(lián)系方式以及疾病等隱私信息一覽無余。一旦這些敏感信息落入不法分子手中，后果將不堪設(shè)想。孟翔介紹，作為一家醫(yī)療機(jī)構(gòu)，收集和存儲患者的個人信息是開展醫(yī)療服務(wù)所必要的，問題的關(guān)鍵在于對這些個人信息的保護(hù)技術(shù)上存在不足。

　　孟翔：這是它的一個安全漏洞、技術(shù)上的漏洞，其實(shí)個人信息保護(hù)法對于這塊內(nèi)容有明確規(guī)定，個人信息處理者應(yīng)該對其處理個人信息的行為負(fù)責(zé)，并且采取必要的保護(hù)措施來保障他處理的個人信息的安全。所以小程序的運(yùn)營者這塊做得不到位。

　　應(yīng)用程序典型問題四：第三方平臺存在技術(shù)漏洞。

　　孟翔：我們對某中學(xué)的智慧食堂小程序檢測發(fā)現(xiàn)，它實(shí)際是依托于某第三方企業(yè)的智慧訂餐的系統(tǒng)平臺來開展的服務(wù)。它這個平臺服務(wù)的范圍還比較廣，全國1369所學(xué)校，將近200萬名學(xué)生的個人信息，利用該平臺存在的技術(shù)漏洞，可以看到個人信息的案例，包括師生的姓名、照片、身份證號。

　　平臺一旦存技術(shù)漏洞或?qū)⑿孤秱€人信息

　　孟翔介紹，一些提供技術(shù)支持的第三方平臺如果本身存在技術(shù)漏洞，就可能牽連它所服務(wù)的所有子系統(tǒng)，導(dǎo)致海量的個人信息面臨泄露的風(fēng)險。

　　孟翔：這個問題就是平臺自身存在問題，導(dǎo)致下游所有它所提供服務(wù)的子系統(tǒng)都存在問題。通過它就可以拿到所有的個人信息，這類問題往往隱患更大。對于運(yùn)營主體或者是第三方服務(wù)商來講，肯定要加強(qiáng)自己的保護(hù)措施，這也是法律法規(guī)對它的要求。

　　針對技術(shù)缺陷責(zé)令及時修

　　在這次專項(xiàng)整治行動中，北京市網(wǎng)信辦針對存在技術(shù)缺陷的應(yīng)用程序立即督促整改，及時修復(fù)了技術(shù)漏洞，避免了個人信息的泄露的發(fā)生。

　　明確問題責(zé)任和整改時限

　　北京市網(wǎng)信辦的工作人員介紹，對于發(fā)現(xiàn)問題的應(yīng)用程序，他們一對一通知對應(yīng)經(jīng)營主體，明確問題責(zé)任和整改時限(原則上不超過15個工作日)，并持續(xù)跟進(jìn)直至整改合規(guī)。對于拒不配合或多次整改不力的，網(wǎng)信辦與行業(yè)主管部門會同公安、市場監(jiān)管局等部門進(jìn)行約談提醒，情形嚴(yán)重的依法依規(guī)進(jìn)行執(zhí)法處罰。涉嫌違法犯罪的，移交線索至公安部門立案查處。

　　記者了解到，截至目前，在這次抽查中發(fā)現(xiàn)的應(yīng)用程序存在的388個問題，都已經(jīng)積極配合整改完成。

　　作為普通用戶

　　該如何識別和防范有問題的應(yīng)用程序？

　　平時使用應(yīng)用程序的習(xí)慣健康嗎？

　　是否忽略了什么重要步驟？

　　對于不再使用的應(yīng)用程序，您會注銷嗎？

　　卸載應(yīng)用程序注銷步驟莫忽略

　　在記者的采訪中，不少人卸載應(yīng)用程序時，都會忽略注銷這個步驟。對此，北京市網(wǎng)信辦工作人員表示，這種習(xí)慣存在個人信息泄露的風(fēng)險。

　　防范隱私刺客方法一：不再使用的應(yīng)用程序，應(yīng)及時注銷賬戶并刪除個人資料。

　　孟翔：我們在生活中使用一些小程序或者App的時候是暫時使用，可能這段時間使用完以后，后面就不再使用了，從安全的角度，應(yīng)該刪除里邊存儲的個人信息。具有個人信息收集這種功能的小程序，都應(yīng)該提供賬戶的注銷，或者說個人信息刪除、更改這種功能，如果沒有提供的話，理論上應(yīng)該就屬于違規(guī)行為。

　　依據(jù)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第二十四條規(guī)定，個人注銷賬號的，網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)刪除個人信息或者進(jìn)行匿名化處理。刪除、匿名化處理個人信息從技術(shù)上難以實(shí)現(xiàn)的，網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)停止除存儲和采取必要的安全保護(hù)措施之外的處理。

　　防范隱私刺客方法二：定期檢查App權(quán)限設(shè)置，及時關(guān)閉非必要授權(quán)。

　　北京理工大學(xué)法學(xué)院教授洪延青：我們現(xiàn)在的很多的手機(jī)操作系統(tǒng)提供了這樣的一個機(jī)制，比如說你在打開某些地圖軟件的時候，或者說打開某些點(diǎn)餐軟件的時候，它會提示你的麥克風(fēng)的權(quán)限被打開了，也許你這個場景沒有使用的麥克風(fēng)，你可以到后臺去查看你是否過多了授予他的權(quán)限，你完全可以去自主地去防范它。

　　防范隱私刺客方法三：對頻繁索權(quán)、誘導(dǎo)授權(quán)的應(yīng)用，堅決拒絕安裝。

　　孟翔：比如說這個軟件沒有必要收集我們的位置信息，它的基礎(chǔ)的業(yè)務(wù)功能不需要位置信息，但是它一次兩次三次反復(fù)向我們彈窗索要位置信息的權(quán)限，我們拒絕，但是他還仍然反復(fù)提醒，這種也屬于違規(guī)行為。

　　防范隱私刺客方法四：關(guān)注違規(guī)App名單，防患于未然。

　　洪延青：其實(shí)全國各地都在開展自己轄區(qū)內(nèi)的專項(xiàng)整治的活動，我們可以關(guān)注這些執(zhí)法部門定期發(fā)布的公告。他們認(rèn)為已經(jīng)違法違規(guī)收集處理個人信息的App，如果看到這樣的公告，用戶就可以少下載或者不下載這個App。

　　防范隱私刺客方法五：發(fā)現(xiàn)違規(guī)收集個人信息行為，積極舉報。

　　楊虎：在此也提醒廣大用戶，可以通過12345市民服務(wù)熱線進(jìn)行投訴舉報，我們也將依法依規(guī)地予以處置。下一步我們也將按照中央網(wǎng)信辦、公安部、工信部、市場監(jiān)管總局關(guān)于2025年個人信息保護(hù)的專項(xiàng)行動的安排，會同有關(guān)的部門深入地開展民生消費(fèi)領(lǐng)域違法違規(guī)收集個人信息問題的專項(xiàng)治理，維護(hù)廣大消費(fèi)者的用戶權(quán)益。

　　當(dāng)一款天氣App要求讀取您的短信時，這不是技術(shù)需求，而是掠奪，被掠奪的正是我們的個人信息。App或小程序廠商不能以功能服務(wù)為名，強(qiáng)制索取通訊錄、定位等非必要權(quán)限，利用晦澀協(xié)議和捆綁策略，將用戶數(shù)據(jù)轉(zhuǎn)化為自己謀利的商業(yè)資產(chǎn)。收集個人信息必須遵循合法、正當(dāng)、必要的原則。規(guī)范應(yīng)用程序，網(wǎng)信辦及時出手，查堵漏洞，好比一場及時雨，這樣的抽查整治，也會持續(xù)進(jìn)行。而當(dāng)我們遭遇這些違規(guī)App時的每一次點(diǎn)擊"拒絕"，都將是數(shù)據(jù)權(quán)利回歸的驚蟄之鳴。

　　(總臺央視記者張李彬王思思鄒其元)