在嘗試關(guān)閉軟件讀取權(quán)限的時(shí)候，經(jīng)常有用戶(hù)會(huì)發(fā)現(xiàn)部分APP會(huì)強(qiáng)制要求授權(quán),，否則無(wú)法繼續(xù)使用,，而打開(kāi)權(quán)限后，你就會(huì)發(fā)現(xiàn),，手機(jī)越來(lái)越能讀懂你的心——拿著到手的新包來(lái)一張自拍,，打開(kāi)購(gòu)物網(wǎng)站就會(huì)出現(xiàn)相關(guān)產(chǎn)品推送；正在APP中瀏覽一款最新車(chē)型,，銷(xiāo)售人員就打來(lái)咨詢(xún)電話(huà)……

沒(méi)錯(cuò),，正是你的手機(jī)軟件在“搞事情”。近日,，媒體曝光的手機(jī)APP“偷窺”亂象調(diào)查顯示,，有的APP能夠在十幾分鐘內(nèi)訪問(wèn)照片和文件兩萬(wàn)多次，其中涉及移動(dòng)教學(xué)軟件“優(yōu)學(xué)院”,、辦公軟件“TIM”等多款產(chǎn)品,。手機(jī)APP竊取用戶(hù)隱私為何屢禁不止？作為用戶(hù),，如何保護(hù)個(gè)人隱私,？面對(duì)一系列疑問(wèn)，科技日?qǐng)?bào)記者采訪了相關(guān)專(zhuān)家,。

APP違規(guī)收集信息屢禁不止

近年來(lái),，關(guān)于手機(jī)軟件“秘密訪問(wèn)”個(gè)人信息的事件屢見(jiàn)不鮮。手機(jī)軟件是如何頻繁竊取用戶(hù)信息的,？

北京理工大學(xué)計(jì)算機(jī)網(wǎng)絡(luò)及對(duì)抗技術(shù)研究所所長(zhǎng)閆懷志接受科技日?qǐng)?bào)記者采訪時(shí)表示,，APP竊取用戶(hù)信息，通常是通過(guò)對(duì)手機(jī)的“正常”操作而非攻擊手段實(shí)現(xiàn)的,。廣義來(lái)講,，用戶(hù)的數(shù)據(jù)處理、APP操作行為均需獲得手機(jī)自帶的操作系統(tǒng)支持,?！岸僮飨到y(tǒng)會(huì)在不同層面設(shè)置各種權(quán)限等安全機(jī)制，防止用戶(hù)信息被惡意讀取或?yàn)E用,。但如果APP獲得了某種權(quán)限,，就可以輕松讀取該權(quán)限項(xiàng)下的所有信息?！彼f(shuō),。

閆懷志解讀，手機(jī)APP違法違規(guī)收集個(gè)人信息或是竊取用戶(hù)信息,，主要途徑有以下兩種：第一種是未明確告知而收集信息,，例如有些APP在收集信息之前未予明示，有的干脆玩起文字游戲誘導(dǎo)用戶(hù)同意,；第二種是未以清晰權(quán)限限定收集的目的,、方式及范圍，比如通過(guò)正常渠道收集了用戶(hù)信息,，但是卻超范圍使用,，給用戶(hù)隱私和利益帶來(lái)潛在風(fēng)險(xiǎn)和危害。

通常來(lái)說(shuō),，用戶(hù)信息應(yīng)該遵循“收所必需,、用所必需”的基本準(zhǔn)則，也就是說(shuō),，所收集的信息應(yīng)該是完成用戶(hù)某項(xiàng)業(yè)務(wù)所必需的信息,，而且這些信息應(yīng)該在該業(yè)務(wù)范圍內(nèi)被正當(dāng)使用。

“需要注意的是,，APP竊取信息與黑客竊取用戶(hù)信息導(dǎo)致大量信息泄露,，這是兩個(gè)性質(zhì)不同的事件。一款正規(guī)上架的APP軟件,，在用戶(hù)不知情的情況下或超出用戶(hù)授權(quán)的情況下來(lái)獲取用戶(hù)信息，在手機(jī)上的操作不必利用任何攻擊手段來(lái)實(shí)現(xiàn),，即便系統(tǒng)沒(méi)有漏洞,，APP依然可以獲取用戶(hù)信息?！遍Z懷志說(shuō),。

表面買(mǎi)薯?xiàng)l，暗拿“全家桶”

目前，我國(guó)已明確將數(shù)據(jù)納入生產(chǎn)要素,，很多APP過(guò)度收集隱私,，就是為了商業(yè)目的。那么,，頻繁訪問(wèn)用戶(hù)信息,，究竟是作何用途？不同軟件可彼此喚醒,，共同窺探用戶(hù)隱私,，是否意味著開(kāi)發(fā)商彼此之間存在利益交換？

據(jù)了解,，一般來(lái)說(shuō),，用戶(hù)信息可分為兩類(lèi)，一類(lèi)是準(zhǔn)靜態(tài)信息,，比如用戶(hù)姓名,、年齡、住址等,，通常不會(huì)頻繁變更,，APP采集一次即可一勞永逸。另一類(lèi)是動(dòng)態(tài)信息,，比如用戶(hù)的位置,、移動(dòng)支付情況、個(gè)人健康狀態(tài)等信息,，經(jīng)?；螂S時(shí)處于變化之中。動(dòng)態(tài)信息就需要APP頻繁訪問(wèn)方可獲取,。

閆懷志解釋道,，從技術(shù)上來(lái)看，APP頻繁訪問(wèn)用戶(hù)信息有的是確因業(yè)務(wù)需要,，比如導(dǎo)航路徑規(guī)劃,，自然需要了解用戶(hù)的實(shí)時(shí)位置；健康監(jiān)測(cè)業(yè)務(wù),，可能會(huì)需要隨時(shí)獲取用戶(hù)的運(yùn)動(dòng)數(shù)據(jù)信息,。獲取用戶(hù)個(gè)人信息后，軟件運(yùn)營(yíng)商會(huì)通過(guò)數(shù)據(jù)分析,，對(duì)用戶(hù)的活動(dòng)范圍,、消費(fèi)能力等進(jìn)行標(biāo)定，從而進(jìn)行更為精準(zhǔn)的廣告投放或其他營(yíng)銷(xiāo)行為,。

“需要注意的是,，用戶(hù)信息具有特殊重要價(jià)值,，為了提升注冊(cè)量、共享用戶(hù)有用數(shù)據(jù),，有些APP開(kāi)發(fā)商之間會(huì)進(jìn)行用戶(hù)信息交換,，這種操作的前提自然是利益?！遍Z懷志強(qiáng)調(diào),。

根據(jù)調(diào)查，很多手機(jī)軟件下載之后,，會(huì)頻繁喚起其他軟件自啟動(dòng),，進(jìn)而共同在后臺(tái)窺視用戶(hù)照片、購(gòu)物記錄等,，技術(shù)層面如何解讀這一現(xiàn)象,？

閆懷志解釋說(shuō)，APP喚起其他軟件的技術(shù)實(shí)現(xiàn)途徑很多,，常見(jiàn)的有Intent喚起,、包名喚起、URL喚起等方式,，簡(jiǎn)單來(lái)說(shuō),，就是通過(guò)后臺(tái)通信協(xié)議來(lái)私自啟動(dòng)，并且啟動(dòng)后僅在后臺(tái)運(yùn)行數(shù)據(jù),，具有較強(qiáng)的隱蔽性,，用戶(hù)很難察覺(jué)到。閆懷志進(jìn)一步強(qiáng)調(diào),，喚起其他軟件在后臺(tái)自啟動(dòng),，共同偷窺用戶(hù)信息，目的是最大限度獲取用戶(hù)信息以實(shí)現(xiàn)更為精準(zhǔn)地畫(huà)像,，這種表面買(mǎi)薯?xiàng)l,，暗拿“全家桶”的行為具有更大的隱蔽性和危害性。

軟件“偷窺癖”該如何防治

為保障個(gè)人信息安全,，有關(guān)部門(mén)展開(kāi)了一系列整治市場(chǎng)亂象的行動(dòng),。2019年1月，中央網(wǎng)信辦,、工業(yè)和信息化部,、公安部、市場(chǎng)監(jiān)管總局4部門(mén),，在全國(guó)范圍內(nèi)聯(lián)合組織開(kāi)展了APP違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理活動(dòng),，并成立APP違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理工作組。工作組根據(jù)收到的萬(wàn)余條網(wǎng)民舉報(bào)信息,，統(tǒng)計(jì)出前五大典型問(wèn)題分別為：超范圍收集與功能無(wú)關(guān)的個(gè)人信息,、強(qiáng)制或頻繁索要無(wú)關(guān)權(quán)限、存在不合理免責(zé)條款,、無(wú)法注銷(xiāo)賬號(hào),、默認(rèn)捆綁功能并一攬子同意。

事實(shí)上,，針對(duì)手機(jī)APP過(guò)度收集個(gè)人信息現(xiàn)象,，國(guó)家此前也已經(jīng)相繼出臺(tái)《信息安全技術(shù)個(gè)人信息安全規(guī)范》和《網(wǎng)絡(luò)安全實(shí)踐指南——移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》，對(duì)APP超范圍收集,、強(qiáng)制授權(quán),、過(guò)度索權(quán)等個(gè)人信息安全問(wèn)題進(jìn)行了明確規(guī)定。

然而,，很多手機(jī)軟件依然無(wú)視國(guó)家法律法規(guī),，甚至鋌而走險(xiǎn)竊取公民隱私用以非法牟利，究竟為何手機(jī)APP竊取用戶(hù)隱私屢禁不止,？作為用戶(hù),，該如何有效保護(hù)個(gè)人隱私？

對(duì)此,，閆懷志稱(chēng),，手機(jī)APP違法違規(guī)收集或竊取個(gè)人隱私行為屢禁不止、屢打不絕的本質(zhì)原因,，無(wú)非是“利”字當(dāng)頭,。“在信息時(shí)代和網(wǎng)絡(luò)空間,，個(gè)人信息也是一種資產(chǎn),，本身具有一定的價(jià)值，更會(huì)帶來(lái)衍生的價(jià)值,，在某種意義上來(lái)說(shuō),，屬于利益鏈的最前端。誰(shuí)掌握了用戶(hù)信息,，誰(shuí)就掌握了用戶(hù)資源,，就能夠?qū)崿F(xiàn)精準(zhǔn)推廣、精準(zhǔn)營(yíng)銷(xiāo)甚至是精準(zhǔn)詐騙,。因此,，APP‘越界’收集用戶(hù)信息的現(xiàn)象自然就不難理解了?！彼f(shuō),。

近期，APP違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理工作組發(fā)布了《APP違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理報(bào)告（2019）》,，該報(bào)告顯示,，有的APP在過(guò)度收集個(gè)人信息時(shí)使用加密數(shù)據(jù)包,，有的APP對(duì)測(cè)試環(huán)境進(jìn)行識(shí)別以規(guī)避檢測(cè)工具發(fā)現(xiàn)其異常傳輸行為，還有的APP繞過(guò)移動(dòng)設(shè)備操作系統(tǒng)權(quán)限控制機(jī)制,，采用讀取外部存儲(chǔ)區(qū)方式獲取信息,。當(dāng)APP使用上述方式，現(xiàn)有檢測(cè)手段發(fā)現(xiàn)超范圍收集個(gè)人信息問(wèn)題和舉證的難度會(huì)加大不少,。因此,，需要相關(guān)部門(mén)進(jìn)一步加強(qiáng)深度檢測(cè)技術(shù)研究，在后續(xù)持續(xù)監(jiān)督的過(guò)程中占據(jù)主動(dòng)權(quán),，有效震懾違法違規(guī)行為,。

為此，閆懷志建議,，作為用戶(hù),，最重要的是提高安全意識(shí)和隱私保護(hù)理念。比如在安裝APP時(shí),，應(yīng)仔細(xì)閱讀其數(shù)據(jù)收集請(qǐng)求,，根據(jù)個(gè)人情況來(lái)選擇是否提供。而且在提供信息的時(shí)候,，要遵循“供所必需”的原則,，不提供超出業(yè)務(wù)需求之外的信息。其次是注意采用適當(dāng)?shù)募夹g(shù)檢測(cè)手段,，通過(guò)APP監(jiān)測(cè)工具來(lái)發(fā)現(xiàn)哪些APP偷偷在后臺(tái)頻繁運(yùn)行,。若出現(xiàn)隱私數(shù)據(jù)被惡意收集或?yàn)E用的情況，要及時(shí)保存證據(jù),，向有關(guān)部門(mén)舉報(bào)維權(quán),。 

（編輯：鳴嫡）