現在，我們手機中都安裝了

各種應用（即各種App）

的確方便了我們的工作、生活，

但是也獲取了我們大量的個人資訊。

一些App的推送能“精準”到你在想什麼，

它就給你推送什麼？

App的這種“正合我意”是怎麼實現的？

個人資訊保安有沒有風險呢？

App獲取個人資訊，使用者感覺“被竊聽”

北京的苑慶攀最近有個疑惑，

和朋友只在線下閒聊過的東西，

第二天就出現在自己手機應用的推送裡。

手機使用者 苑慶攀：朋友說椰棗，過了一天我就刷到了關於椰棗的推薦視訊。我覺得很驚訝，我除了說，沒有任何搜尋記錄，咋就給我推薦了？

過於精準的推送內容，讓苑慶攀感覺“後背發涼”。而這並不是苑慶攀一個人的感受。

手機使用者 李先生：有的App使用的話就要把通訊錄等資訊都授權，我都不知道為什麼要授權這些資訊。

手機使用者 紀女士：輸入自己的手機號傳送驗證碼之類的，第二天或者過幾天就會有不知名的一些電話打進來，推銷一些東西。

就在上週，工信部公佈了2020年第二批侵害使用者權益行為的App名單。在被點名的15個App中，有13個都涉及個人資訊的過度收集，包括“私自收集個人資訊”“超範圍收集個人資訊”“私自共享給第三方”等等，個人資訊保安依然受到威脅。

中國資訊通訊研究院泰爾終端實驗室資訊保安部主任 寧華：在後臺執行時，未經使用者同意，按照一定的時間間隔定期呼叫系統API介面，頻繁獲取位置、應用列表等使用者個人資訊。這些新現象新問題已成為今年App個人資訊保護治理的新重點。

而一些非法網路推廣團伙也盯上了個人的資訊。今年以來，公安部在15個省份開展打擊貸款類網路詐騙犯罪，發現非法團伙就是將矛頭指向有明確貸款意向的人員，根據他們在網際網路、手機App等的瀏覽、搜尋記錄，分析其貸款意向，從而精準推送大量虛假貸款廣告，並實施詐騙。

360集團安全研究員 俞奎：他拿到你的通訊錄，又拿到簡訊，他可能知道你近段時間有借貸需求，這個時候他就可能會把這些資料進行二次販賣，比如賣給一些專門做詐騙的人員。

手段隱蔽，多款App違規收集個人資訊

面對越來越精準的推送，

使用者有著擔心“被竊聽”的焦慮，

個人資訊也確實存在過度獲取的可能。

為此，國家有關部門專門組建了App專項治理工作組，

對強制授權、過度索權、

超範圍收集個人資訊等現象進行專業的監管。

精準推送怎麼實現？

過度獲取怎麼界定？

App專項治理工作組專家 何延哲：第一個資料包出現了，我們再等等，第二個資料包也出來了，我點開資料包，這裡面就有一個是裝置的IMEI號（移動裝置標識號）的識別符號。

在App專項治理工作組，針對個人資訊保護的測試正在緊張地進行。檢測工具顯示，這款社交類App剛安裝進手機，一次都還沒有開啟，卻已經開始悄悄地向外傳輸資料。

App專項治理工作組專家 何延哲：App在隱私政策裡沒有提這件事，而且完全是隱瞞了它的自啟動的方式，自己又把資訊傳到了自己的伺服器上，是有實證的。明確是違法、違規收集的一種行為。

專家告訴記者，App獲取的第一個資訊，往往就是手機的IMEI號，也就是移動裝置標識號。這個唯一的識別碼，相當於手機的身份證。不管是經過使用者同意“拿走”，還是不經允許“偷走”，App一旦獲得了移動裝置標識號，就為個性化推送奠定了基礎。更可怕的是，專項治理工作組對大量App測試後發現，App獲取的資訊，不僅能自己用，甚至有部分App，會把資訊傳給第三方。

App專項治理工作組專家 何延哲：這是一款第三方SDK（軟體開發工具包），它通過自啟動之後的機制，把使用者手機上的IMEI號這樣的資訊傳走了。

專家介紹，在個別App內嵌入的第三方軟體開發工具包超過50個。這些有著訊息推送等功能的第三方工具包，行為更隱蔽，也是目前監管的難點。

360集團首席安全官 杜躍進：法律在一般情況下有一些認定，比如通訊錄資料、簡訊的資料、點對點通訊資料，是絕對不能被採集的，但是其他有一些地方其實就不那麼清楚。

浙江大學網路空間安全研究中心研究員 周亞金：有一個所謂叫最小特權原則，就是說如果你不這麼做，或者你把某一項你需要的許可權給拿掉，或者你把你目前在後臺做的某一個操作給拿掉，它不影響你App的正常功能，這個許可權你實際上就不應該獲取。

專家：獲取技術在進步 資訊保護在加碼

近年來，

有關部門定期針對App

違法獲取個人資訊的行為進行曝光，

針對App的各項隱私政策也在不斷細化和規範。

App專項治理工作組專家 何延哲：完全沒必要用竊聽這麼複雜高階的手段，去針對某一個人的購物需求去做這樣的事。造成精準推送的原因有很多，有可能是你的好友搜了一個商品，它可能知道你們是好友關係，可能就會給這些人都會推這樣的資訊，但是你感覺好像是自己的原因，好像被“竊聽”了。

不過，專家也提醒，越來越多新的技術手段正在降低使用者資訊獲取的成本和風險。今年，浙江大學的最新研究成果顯示，手機App甚至可以利用手機內建的加速度感測器，採集手機揚聲器所發出的聲音振動頻率。這樣的技術，可以在使用者不知情的情況下，繞開隱私協議，合法地獲取語音資訊。

360集團首席安全官 杜躍進 ：普通使用者能做的很有限，最多就是看一看App裡面的隱私宣告，但是稍微大一點的App，也都會知道在法規上文字上是不會有問題的。

浙江大學網路空間安全研究中心研究員 周亞金 ：一些廠商可以提出繞過隱私協議的一些機制，來繼續訪問使用者的隱私行為，但是也不彈窗，也不會被發現，這個其實技術上的攻防是一直存在的。

與此同時，個人資訊的保護也一直在不斷加強。去年12月，國家網信辦出臺《App違法違規收集使用個人資訊行為認定方法》，強化使用者的知情權和決定權。

App專項治理工作組專家 何延哲：能夠關閉這也是一種控制，廣告太精準了，恐怕最後起到的效果不一定很好，這裡面就需要制定一些規則，比如使用者畫像，不一定做一些直接的畫像，比如可能這一群人喜歡足球、喜歡讀書，這是一種愛好習慣，就用這種寬泛性的愛好習慣來代替對於個人的精準的需求。