22.1%的网民遭遇个人信息泄露，建立“双清单”保护公民个人信息

中国信息通信研究院日前发布的《中国信息消费发展态势报告》显示，在消费群体方面，我国网民规模持续扩大突破十亿。《报告》同时也提示警惕数据安全、个人信息泄露等风险。个人信息保护法实施以来，甘肃、江苏等地公安机关就已破获多起侵犯公民个人信息犯罪的案件。

甘肃省灵台县公安局不久前刚刚打掉一个全链条网上购销公民个人信息的犯罪团伙。犯罪嫌疑人闫某某和胡某某利用经营店铺，骗取用户身份信息和手机号，非法注册各类网络账号，这些网络账号最终都落入“网上号商”的犯罪团伙手中。

警方发现这两名嫌疑人背后还隐藏着一个犯罪团伙。今年2月到3月，专案组转战重庆、四川、云南，抓获7名侵犯公民个人信息犯罪团伙成员。该团伙从2019年起组建微信群非法买卖公民个人信息，他们利用通信业务代理商身份，以赠送礼品、话费等方式为诱饵，骗取用户个人信息后注册各类网络账号，以每个账号3元至20元价格出售，非法获利近十万元。

江苏警方近日也破获一个贩卖公民个人信息的犯罪团伙。该团伙主要贩卖股民和学生的信息，他们把个人信息称作“料子”。“股民料子”包括炒股者姓名、手机号、交易所等信息；“学生料子”则包含家长姓名、电话、孩子就读学校等。“料子”还分手拨料子和AI料子。手拨料子通过人工拨打，确认过真实性和可靠性。AI料子则是嫌疑人通过软件随机生成的电话号码，没有其他身份信息。

经审查，从2018年至今，该团伙贩卖公民个人信息20余万条，获利20余万元。

中国互联网络信息中心《第49次中国互联网络发展状况统计报告》显示，截至2021年12月，有22.1%的网民遭遇个人信息泄露。公安机关提醒广大群众不要点击、使用来源不明的链接、网站、手机App，更不能将短信验证码提供给他人，严防信息泄露。

部分手机App后台监视用户

随着个人信息保护法的实施，加强个人信息保护，拒绝个人隐私在互联网上“裸奔”已经有法可依。但仍有不少用户觉得自己处在手机App的监视下。很多网友都有过这种经历，在网上看了某个物品或输入一个关键词，很快就会收到手机App推送的相关广告或信息。这是怎么回事呢？

在一家网络安全机构，技术人员用检测工具对两款手机浏览器收集用户信息行为进行了测试。技术人员复制了一个模拟的银行账号密码，尽管此时并没有使用浏览器，但检测工具却在浏览器调用的一段程序中发现了那个银行账号密码。

网络安全工程师吕石奎：这款App读取了我们复制的银行卡号和密码。它拿走的这个过程，实际是明文拿走，并没有做相关的加密处理。

技术人员接着又在手机上选择了测试用的电话号码和短信，并把浏览器转入后台运行，这两次操作的内容同样被浏览器读取，包括在电商平台上浏览的商品信息也被两款被测试浏览器完整记录。其中一款浏览器在进程被关闭的状态下，仍然能够记录用户行为。

建立“双清单”保护公民个人信息

为了让用户清晰掌握手机App调用和索取个人信息的活动，工信部此前就提出要建立个人信息保护的“双清单”。

专家指出，手机App在正常使用过程中会出现调用个人信息和索取权限的活动，不同手机App之间有时也需要共享位置、通讯录等敏感信息，这增加了个人信息保护的监管难度。为了让用户清晰掌握个人信息在手机App及第三方间共享的情况，工信部提出建立个人信息保护“双清单”，要求相关企业建立已收集个人信息清单和与第三方共享个人信息清单。

中国信息通信研究院泰尔终端实验室信息安全部主任宁华：要求企业在“二级菜单”中简洁、清晰列出“第三方共享个人信息清单”，包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。

多措施整治违规收集使用个人信息等行为

为了治理App违规收集使用个人信息和欺骗诱导用户提供个人信息等问题，工信部委托中国信息通信研究院联合互联网、手机终端、电信运营商等产业链各环节成立App用户权益保护标准工作组，按照“知情同意”和“最小必要”原则组织制定了《App收集使用个人信息最小必要评估规范》《App用户权益保护测评规范》等标准，明确了检测要求和方法，为监管提供了更加明确的监管依据。

记者从工信部了解到，首批主要互联网企业已经在去年年底基本完成个人信息保护“双清单”的设置。在某款手机App上，用户点开菜单就可以查看这个App已经收集的用户个人信息种类、使用目的、使用场景以及与第三方共享的个人信息和共享方式等。手机终端企业也按照工信部要求开发了App权限最小化推荐等功能，主动对手机上的App过度索取权限行为做出规范和限制。

电信运营商则通过区块链技术的防窜改特性来追踪防范个人信息泄露风险。

电信运营商信息安全中心负责人温暖：我们会将操作日志的数据特征上区块链，确保它不能被窜改，同时再定期进行校验。如果日志一旦被窜改就说明存在问题。我们就会以风险的方式核查具体的事件。

据了解，工信部通过制定标准、技术检验、专项整治、行业自律等措施，大力整治违规收集使用个人信息等侵害用户权益行为。去年累计检测208万款App，通报1549款违规App，对514款拒不整改的App进行下架处理。

如何管住手机里“任性”App防范个人信息泄露

“不到一分钟，就能下载一款手机APP。”与此同时你的个人信息，也分分钟被它获取到。在日常生活中，我们经常会遇到APP安装时，未经用户选择，就自动获取很多个人信息，比如精确定位、通讯录、发送短消息等。这种过度收集的个人信息很可能被泄露，并最终侵犯消费者个人隐私。

据《2021年数据泄露调查报告》发现，61%的数据泄露与凭证数据有关。当用户个人信息泄露后，会发生诸如推销电话、短信骚扰、诈骗电话、垃圾邮件等等安全隐患问题，个人信息保护形势严峻。

那么，你知道手机App是通过哪些渠道获取人的信息吗？造成个人信息泄露的原因又有哪些？App的开发者或运营商是否需要担责？又当如何规范App收集个人信息行为？今天为大家做详细分享。

手机App如何“侵蚀”个人隐私信息

“从小到大撒过最多的谎，就是‘同意App隐私条款’。”这句诙谐的网络段子背后，折射的却是使用者对App侵权问题的无奈和困扰。那么你知道它都获取了你哪些个人隐私信息吗？

手机通讯录。手机App调用读取联系人权限已成隐私侵犯重灾区。究其原因，与应用开发商推动平台社交路径传播、打造熟人社区的营销策略息息相关。

读取短信。App读取短信权限常用于自动提取用户短信验证码，有助于用户提高App短信验证操作的效率。但在针对短信的读取上，App的读取权限并未受到有效监督或限制，部分不法App或可通过该权限调用，实现对用户短信信息的窃取，严重威胁用户隐私信息安全。

获取定位信息。根据手机App功能，地图类、旅游类、网购类、社交类App具备定位功能，获取用户位置信息有利于提供更准确的服务，属于合理诉求。但部分移动视频、音频、资讯阅读、工具类手机App仍存在调取、滥用定位信息情况。

信息泄露的后果

“可能会导致出现垃圾短信、骚扰电话的烦恼，还有个人身份被冒用等这类较为严重的问题。同时，个人信息泄露是诈骗成功实施的关键因素，不法分子在精准掌握用户个人信息的前提下，能编造出迷惑性更高的诈骗场景，继而对公众实施欺诈。”

造成手机App个人信息泄露的原因

手机APP成了个人信息泄露的重灾区？那么造成这个现象的原因有哪些呢？

个人隐私保护意识淡薄

大部分收集用户在安装收集App时没有仔细阅读或从不阅读隐私条款，这反映了大部分手机用户或多或少都存在个人隐私保护意识淡薄的问题，甚至认为这是小问题无所谓，在尝到隐私泄露恶果的时候主动维权意识不强，多数人选择自认倒霉，客观上纵容了手机App信息泄露的愈演愈烈，形成恶性循环。

应用开发商缺乏自律和责任感

在部分App中未发现对涉及个人信息的告知说明或在完成用户信息采集之后才出现《用户协议》；有的App在告知声明中对个人信息描述不准确、不清晰，大部分关于个人信息保护的说明不容易被发现，或强制用户同意相关隐私条款，否则无法正常使用，反映了应用开发商缺乏自律，企图“蒙混过关”，有目的性地收集用户个人信息，没有做到真正意义上的公开透明，对于网络空间公民隐私的保护缺乏责任感。

应用分发平台监管不到位

应用分发平台作为监管生态中的重要环节，在移动应用安全体系中承担着“守门人”的角色，部分应用分发平台未严格要求检测需要上架的App，导致不合规App上架到应用分发平台。

监管介入APP专项整治

持续净化APP生态

自2021年起，工信部就开始大力推进App专项整治，2021年通报了1549款违规App，下架了514款拒不整改的App，App开屏弹窗信息“关不掉、乱跳转”问题基本解决。并设置法规限制App规范，“工信部信管函〔2020〕164号”文件中提出对APP、SDK违规处理用户个人信息、诱导用户、频繁骚扰用户等方面做了严格要求，并追责应用分发平台落实不到位。“国信办秘字〔2019〕191号”的6项认定准则，提出App收集个人信息应当严格遵守用户知情、用户同意、最少必要、权利保障、数据安全等5项规则，推进个人信息收集使用合法合规。

2022年，工信部更是将完善全链条监管，突出关键责任链监管作为重点，对应用商店、第三方软件开发工具包（SDK）、终端企业、重点互联网企业等实现监管全覆盖，打造更为安全的信息通信消费环境。

数智时代

用户不能成为“透明人”

随着“互联网”行动的进一步深入，未来智能手机的应用将在我们的生活中无处不在，其安全问题更加不能小视。App环境生态的治理与维护，除了监管的推动，还需要企业、第三方、参与用户等我们从多方面多管齐下，共同努力，净化App生态，提升个人安全信息意识。

个人用户层面

提高个人隐私保护意识，在分享、使用个人隐私信息时保持警惕，从正规渠道下载App，谨慎点击来源不明的App下载链接，认真阅读App的应用权限和用户协议或隐私政策说明，了解操作注意事项，不随意开放和同意不必要的隐私权限，不随意输入个人隐私信息，在发现个人信息被泄露问题时，要通过有效手段及时主动维权，必要时向有关部门反映，用法律武器维护自己的权利和利益。

应用开发商层面

首先，应用开发商必须树立用户维权第一责任人的意识，坚守安全底线，强化对用户个人信息的保护责任；其次，应当通过合理合法的方式获知用户数据，并采取有效措施，确保用户个人信息和数据安全，用服务质量和安全保障赢取用户的选择和信任；再次，提供相关服务和履行告知义务时，应该通过简洁醒目、通俗易懂的方式，避免消费者的误解和误读；最后，企业应当充分听取和尊重用户的合理诉求和意见并及时反馈处理，提升用户满意度和信赖感。

应用分发平台层面

应用分发平台作为App走向市场的第一道关卡，理应做好审核筛查工作，目前国内主流应用商店已经基本具备上架审核机制，对应用安全、应用内容、应用内广告、用户隐私等方面进行全方位检测，检测合规后再进行应用上架。

来源：央视新闻客户端记者 孙蓟潍 唐志坚 梆梆安全