中国西藏网讯 9月17日，在2019年国家网络安全宣传周的个人信息保护分论坛上，中国信息通信研究院安全研究所所长魏亮向记者介绍了如何应对App个人信息安全风险。

图为2019年网络安全博览会上App个人信息保护展台“共创安全”展板

　　现状如何？10月底之前对主流App进行安全检查

　　目前,在群众的生活中，App已经成为生活的必需品。只要是智能手机上，都会下载一些社交的、生活类的、地图导航类等各种App。魏亮列举了一连串的数字，在移动互联网时代，我国手机网民有8.47亿，截至2018年约有449万款App，第三方应用下载1.8万亿次。

　　随着互联网技术的开发和App应用，强制授权、过度授权、超范围收集个人信息导致一些个人信息被滥用或者恶意使用，给人们的生活带来一些不便，甚至给财产带来损失。魏亮说，“现在不单个人用户注意到了这个问题，相关的部门也注意到了。”今年1月，中央网信办、工信部、公安部、市场监管总局联合开展综合治理，指导成立了App专项治理工作组，开发举报平台，进行App违法违规收集个人信息的专项治理行动。

　　“工信部在电信和互联网行业保护安全提升工作方案中也要求，10月底之前要对全部的基础电信企业，50家重点互联网企业，200款主流App进行安全检查。App安全已经受到了关注，已经付诸行动。”

　　问题来了！关掉GPS真的就不会被收集位置信息吗

　　魏亮罗列了一些App应用获取个人信息的典型问题。

　　第一种，隐蔽地收集个人信息。魏亮介绍，“我们在媒体和测评中看到，部分App存在未经个人同意的情况就开始收集、上传个人信息。比如说手机号、MAC地址、账号、密码等个人信息，有些可能不在意，但是账户密码涉及到个人资产。很典型的是获取系统的高危权限等，隐蔽地收集个人信息。”

　　第二种，超出用户心理预期。把GPS关了，那它不收集手机的位置信息了吧？魏亮直接指出这种想法是错误的，“实际上它还能通过wifi知道我的位置，这就超出预期了。”

　　第三种，误导用户同意后收集个人信息。几乎每个智能手机用户都会遇到的这样的情况，安装某些软件或者充值时，收到提示信息显示“允许开启手机通讯录权限，以便读取联系人电话号码，进行充值”。魏亮说：“这就是一个误导，它要获取你的通讯录信息。”

　　第四种，第三方SDK存在安全风险。魏亮坦言，“第三方SDK自身存在安全漏洞，第三方SDK成为恶意代码传播途径，SDK隐蔽收集个人信息……App也不清楚，这是使用了第三方SDK存在的风险。大量的App都嵌入SDK，存在一些风险，比如说Facebook。”

图片为魏亮在论坛上发表演讲

　　如何解决？各方努力共建良好生态

　　魏亮举例，在App使用过程中，即使用户不喜欢广告，也不能很简单粗暴的禁止广告，“因为广告是一个很大的产业，有了这些广告可以给你提供更便利的服务和信息，简单粗暴的禁止是不现实的，可能最后是一个平衡”。

　　他表示“一刀切”的做法不可取，“一刀切很简单，但对产业的伤害是非常严重的。App个人信息安全复杂多样，涉及多个主体，解决好个人信息的问题，要构建一个生态，需要政府部门、相关企业、App企业、SDK企业、手机企业、应用商店企业、行业组织、研究机构共同处理。”

　　“要加快立法，细化个人信息收集使用规范，现在的法律规范虽然有相关内容，但不能满足需求。”魏亮认为，推动个人信息保护法的出台，明确个人信息保护的义务、权利，加强对违法违规行为的追究，同时也是对数据的所有权，数据资产保护等问题的分析研判，厘清法律边界，梳理相关立法线条。

　　在App个人信息保护过程中，做好安全升级，贯彻隐私保护的设计理念必不可少。“不管是App厂家也好、SDK厂家也好，研发的过程中，编码的过程中就要关注到隐私保护的理念，贯彻到代码和设计思路和整体架构中，这样才能够保护到一些个人信息，提高个人信息保护的水平。”除此之外，魏亮认为，应该加快技术革新，加强数据安全技术研发。“比如说防窃密、防篡改、防泄漏、数据脱敏、关键数据审计、流动追溯和数据备份等安全技术的研发和商业部署，更好的保护个人信息，此外还要运用大数据、人工智能，提升安全防护的能力。”（中国西藏网 记者/王茜 摄影/王茜）