谁动了我的隐私数据？——APP隐私保护与合规-技术圈

1. 网信办发布移动应用管理新规

国家网信办发布新修订的《移动互联网应用程序信息服务管理规定》。网信办有关负责人表示，修订发布新规旨在进一步依法监管移动互联网应用程序，促进应用程序信息服务健康有序发展。

据介绍，《移动互联网应用程序信息服务管理规定》自2016年8月1日施行以来，对于维护网络信息内容生态，保护公民、法人和其他组织的合法权益发挥了积极作用。但随着移动应用程序快速发展、广泛应用，新情况新问题不断出现，需要适应形势发展进行修订完善。修订后的新规共27条，包括信息内容主体责任、真实身份信息认证、分类管理、行业自律、社会监督及行政管理等条款。

其中，应用程序提供者开展应用程序数据处理活动，应当履行数据安全保护义务，建立健全全流程数据安全管理制度，采取保障数据安全技术措施和其他安全措施，加强风险监测，不得危害国家安全、公共利益，不得损害他人合法权益。应用程序分发平台应当建立健全管理机制和技术手段，建立完善上架审核、日常管理、应急处置等管理措施。

此外，新规要求应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任，建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度，确保网络安全，维护良好网络生态。

国家互联网信息办公室有关负责人表示，应用程序提供者和应用程序分发平台应当按照新规要求，切实履行责任和义务，依照相关法律法规加强自身管理，主动接受社会监督，不断促进应用程序信息服务健康有序发展。

为强化对应用程序提供者和应用程序分发平台的监督管理，网信部门将同有关主管部门建立健全工作机制，监督指导应用程序提供者和应用程序分发平台依法依规从事信息服务活动。

2. 有多少人在觊觎你的个人隐私数据？

你试过人肉搜索自己的个人信息吗？在B站有一位视频博主就尝试了利用简单的已知信息挖掘出用户的所有个人隐私数据，在没有使用互联网黑产数据的前提条件下，该视频博主仅利用一个微信号码就挖掘了与之相关联的姓名、电话、QQ、住址、工作、家庭成员、收入情况等个人信息，可见目前个人隐私数据泄露的风险有多么严重。在数据黑产市场上，你的个人数据会被分类、打包以7元/条的价格出售，无论是你的亲人还是偶像，所有人个人数据都只值这个价格。或许你仅因为违规注册了某款来源不明的金融APP，就会在接下来的日子里不断接到询问你是否需要贷款的骚扰电话，这说明你的信息以已经被反复售卖很多次了。

3. APP个人数据黑产产业链条触目惊心

真实的数据黑产行业则更加黑暗，在许多行业甚至已经形成了分工严密的数据黑产产业链。从数据精准采集到数据清洗、分类、打包、销售、非法利用，都有专门人员在从事相应违法活动。在APP数据黑产中常见黑产四件套包括：身份证、银行卡、手机卡、社保卡。不法人员利用这些信息可以从事各式各样的违法行为，比如冒用你的身份借贷、注册公司、或是贩卖给被通缉人员，这些都将对用户造成严重的个人侵害。

4. 重拳出击，多重手段打击APP违规利用用户个人数据乱象

为解决APP违规采集用户隐私数据的行为，国家层面采取了多重打击手段全面整治上述违规行为。

4.1 数据安全立法

近年来，随着用户个人隐私数据保护意识的不断提升，国家层面也不断推出相关法律法规，其中《网络安全法》、《数据安全法》、《个人信息保护法（草案）》都明确规定了个人隐私数据的法律地位，将个人隐私数据保护提升到前所未有的高度。

4.2 专项整治与媒体曝光

今年来，公安部不断推进移动APP专项整治行动，查处了一大批违规及恶意APP。2014-2021年，连续7年3。15晚会报道个人信息泄露或侵犯用户权益事件，如2017年，央视3.15曝光“道有道”推广恶意应用软件；2019年，央视3.15曝光“社保掌上通”违规手机、使用用户个人信息问题；2020年，曝光违规SDK和APP窃取用户信息；2021年曝光人脸识别滥用，实际垃圾软件乱象等。

4.3 违规APP通报与下架

随着APP专项整治工作的不断开展，各省网信办也不断对管辖范围内的APP进行违规通报行动。对于屡次违规，拒不整改的APP，予以严厉的下架处理。

4.4 产业链主体监管

各行业APP监管部门也纷纷对本行业APP制定隐私合规标准，并提出对APP全产业链各实体进行监管的要求。包括APP开发者、SDK提供方、应用商店、网络运营商、手机厂商、检测机构等实体。各实体均应切实履行个人隐私数据保护责任。

5. APP收集用户个人数据必须满足如下原则

5.1 知情同意

首次使用、注册时明示索权范围；
不能强制同意；
不能私自修改权限；
私自发信息给第三方；
敏感信息需单独告知。

5.2 最小必要

不得将信息用于与业务无关的用途；
数量、频次、精度需要进行控制，最小必要即可；
允许用户拒绝；
自启和关联启动（禁止）；
不得以任何理由强制用户同意

6. 常见的APP违规采集用户数据行为

如果发现正在使用的APP具有如下行为，则该APP已经涉嫌违规，可通过APP大数据监测平台进行APP举报。

APP强制、过度、频繁索权；
APP超范围收集用户隐私；
APP频繁自启和关联启动；
欺骗用户下载APP
欺骗误导用户提供个人信息
应用分发平台APP公示信息
不到位/不准确

7. 普通用户如何保护自己的个人隐私数据与权益？

最后，作为普通APP用户，通过良好安全的APP使用习惯，是否可以在很大程度上避免个人隐私数据外泄及相关安全风险呢，答案是可以的。这里整理几种常见的保护方法和使用习惯：

7.1 通过正规应用商店下载APP

官方应用商店移动应用都经过较为严格的隐私合规检测及安全检测，其安全性及合规性可以得到保证。同时，正规应用商店分发的移动应用可保证应用来源的可靠性，避免伪应用钓鱼风险。

7.2 严格控制应用权限

用户可参照个人隐私数据基本原则对应用进行授权，如应用存在强制索权等行为应拒绝使用应用并向移动APP隐私信用评估系统反馈。

7.3 选择具有安全键盘的金融类APP

对于金融类APP，其安全要求更为严格。应注意金融APP是否具有安全键盘，其键盘顺序被打乱，同时禁止应用在密码输入区域截屏或录屏。

7.4 不要对系统root或越狱

移动操作系统其安全核心即应用隔离及严格的权限控制机制，因此不要以任何理由对自己的手机进行root或越狱处理，否则手机相当于安全裸奔。

7.5 不要轻易上传自己的肖像、身份证等信息

不要对来源不明的APP上传自己的肖像、指纹及身份证等信息，上述信息可被不法人员利用莫用用户真实身份进行违法活动。

目前的人脸模拟技术可以轻松模拟真人的眨眼、点头等行为。

7.6 不轻易点陌生链接或者二维码

不要点击来历不明的陌生链接或识别并二维码，更不要下载对方提供的任何附件或者应用，通过这种手段植入手机木马，可以轻易控制用户手机或窃取隐私数据。

7.7 绝对不要外借个人隐私数据

绝对不要向他人外借隐私数据，如身份证、电话卡、银行卡具有校验功能的卡片。违法人员通过冒用用户身份可轻易进行各种违法活动，其造成的严重后果还需隐私泄露者承担，非常危险。

7.8 不要共用密码

不要讲核心应用账号密码与普通应用共用，如邮箱、银行卡、支付密码等。用户通过安全能力不足的APP获取用户的某一账号及密码后，可利用该数据进行“撞库”操作，不断试探用户的银行卡、社交账号等密码，一旦用户共用相同的密码，很容易造成严重的经济损失。

8. 总结

APP已经成为人们学习、工作、娱乐必不可少的工具与媒介，通过APP产生于交换的隐私数据也最多，因此近年来逐渐成为了隐私数据泄露的重灾区。提升个人隐私数据保护意识，积极向大数据平台反馈APP违规行为才是遏制数据黑产，保护个人数据的有效手段。