中國信通院：移動應用（App）數據安全與個人信息保護白皮書（2019年）(39頁).pdf

1、 移動應用移動應用（A Apppp） 數據數據安全安全與個人信息保護與個人信息保護 白皮書白皮書 （2012019 9 年）年） 中國信息通信研究院中國信息通信研究院 安全研究所安全研究所 2012019 9年年1212月月 版權聲明 本白皮書本白皮書版權屬于版權屬于中國信息通信研究院中國信息通信研究院（工業和信息化工業和信息化 部電信研究院部電信研究院）安全研究所）安全研究所，并受法律保護并受法律保護。轉載、摘編或利用轉載、摘編或利用 其它方式使用其它方式使用本本白皮書白皮書文字或者觀點的， 應文字或者觀點的， 應注明注明“來源：來源：中國信中國信 息通信研究院息通信研究院安全研究所安全研究

2、所” 。違反上述聲明者，本。違反上述聲明者，本單位單位將追究其將追究其 相關法律責任。相關法律責任。 前前 言言 移動應用（以下簡稱“App” ）是數字經濟下的重要產品。隨著移 動網絡和智能手機全面覆蓋，App 種類和數量增長迅猛。從社交到出 行、從網購到外賣，從辦公到娛樂，App 已全面滲透用戶生活，成為 大眾生活必需品，并因此匯集大量衣食住行、社交關系等用戶個人信 息。App 逐漸成為承載網絡應用和信息數據的核心載體。 App 在滿足用戶美好數字生活需要，助力消費升級和經濟轉型發 展方面發揮了不可替代的作用， 但也暴露出違法違規收集使用個人信 息、用戶個人信息泄露與濫用等數據安全問題。Ap

3、p 數據安全關乎個 體層面的隱私權利保護，產業層面的健康發展，以及國家層面的全球 數字競爭力。歐美等移動互聯網發展較早的國家，在移動互聯網安全 制度構建方面已較為領先。近年來，我國也高度重視 App 數據安全與 個人信息保護工作，從法規標準、專項治理、企業自律等方面多管齊 下，加大治理力度。 本白皮書在研判 App 發展趨勢及社會經濟影響的基礎上， 重點分 析目前主流 App 存在的數據安全隱患， 系統梳理總結國內外 App 數據 安全治理現狀， 最后從政府、 企業、 行業三個維度研究提出了我國 App 數據安全與個人信息保護綜合治理建議， 并從用戶視角總結提出了用 戶安全使用技巧。 目目 錄

4、錄 一、 移動應用（App）發展趨勢及影響 . 4 （一） 移動應用成為互聯網服務主要載體 . 4 （二） 移動應用引領用戶數字生活 . 5 （三） 移動應用助推消費提質升級 . 7 （四） 移動應用支撐經濟轉型發展 . 8 二、 移動應用（App）主要數據安全問題 . 9 （一） 默示征詢個人情況多，存在數據違規收集風險 . 12 （二） 過度索取個人權限多，存在數據惡意濫用風險 . 13 （三） 明文存儲個人信息多，存在數據非法獲取風險 . 15 （四） 私自共享用戶數據多，存在數據惡意散播風險 . 16 （五） 設置注銷限制條件多，存在數據過度留存風險 . 17 三、 國內外移動應用（A

5、pp）數據安全管理現狀 . 18 （一） 國內移動應用數據安全管理現狀 . 18 （二） 國外移動應用數據安全管理現狀 . 18 四、 移動應用（App）數據安全治理建議 . 29 （一） 政府層面，加快完善數據安全監管體系 . 29 （二） 政府層面，創新數據安全防護技術手段 . 30 （三） 企業層面，切實落實數據安全主體責任 . 30 （四） 行業層面，構建數據安全多方治理生態 . 31 五、 移動應用（App）用戶安全使用建議 . 32 （一） 用戶授予敏感權限應謹慎 . 32 （二） 用戶閱讀隱私政策宜仔細 . 33 （三） 用戶注銷個人賬號需靈活 . 34 移動應用（App）數據安

6、全與個人信息保護白皮書 4 一、一、 移動應用（App）發展趨勢及影響 （一） 移動應用成為互聯網服務主要載體 隨著移動互聯網技術的飛速發展， 以智能手機為代表的智能移動 終端廣泛普及。截至 2019 年 9 月底，三家基礎電信企業手機上網用 戶規模達到 13.04 億戶 1，普及率超過 90%。移動互聯網的持續滲透， 直接推動了數字生活的豐富和繁榮，海量用戶需求被持續挖掘，移動 應用（以下簡稱“App” ）種類和數量持續增長，全面滲透，已成為不 可替代的“公共基礎軟設施” 。 從總量上看，App 首次超越網站成為提供互聯網服務的主角。近 年來，我國 App 數量穩步增長，而網站數量自 201

7、8 年起持續下降。 截至 2019 年 10 月， 我國本土市場上監測到的 App 在架數量為 525 萬 款 2，首次超越我國網站數量 518 萬個，傳統桌面互聯網應用服務已 向移動互聯網全面遷移。 （數據來源：工業和信息化部、（數據來源：工業和信息化部、CNNIC、愛加密）、愛加密） 圖 1 2016-2019 年 App 與網站數量對比 1 數據來源：工業和信息化部， 2019 年前三季度通信業經濟運行情況 2 數據來源：北京智游網安科技有限公司（愛加密） 403 449 525 482 533 523 518 2016年2017年2018年2019年10月 App數量網站數量 移動應用

8、（App）數據安全與個人信息保護白皮書 5 從用戶使用看， App 成為用戶最依賴的互聯網入口。 用戶使用 App 的數量和時長逐年遞增，App 成為承載手機用戶上網時長的核心。據 統計，2018 年我國的 App 下載量將近千億，其中近 20 款應用下載量 過億 3，是目前全球 App 下載量最大的國家。2019 年三季度，我國網 民人均安裝 App 總量增加至 58 款，用戶每天花在各類 App 的時間為 4.9 小時 4，占用戶每日上網時長的 81.7%。 （數據來源：（數據來源：極光極光2019 年年 Q3 移動互聯網行業數據研究報告移動互聯網行業數據研究報告 ） 圖 2 人均安裝 A

9、pp 的數量增長情況 （二） 移動應用引領用戶數字生活 網上購物、手機打車、聽書、看視頻、外賣到家，App 已經 深入滲透進衣食住行等日常生活的方方面面，用戶習慣于通過使用 App 解決生活中各類場景需求。 在橫向覆蓋各類功能領域的同時， App 不斷深入拓展、發掘不同用戶群體的差異化需求，進一步普及數字紅 利，更好地滿足美好數字生活需要。 3 數據來源：中國信通院移動應用程序（App）監測平臺 4 數據來源：QuestMobile中國移動互聯網半年報告 ，極光2019 年 Q3 移動互聯網行業數據研究報 告 50 51 54 56 58 2018Q32018Q42019Q12019Q2201

10、9Q3 移動應用（App）數據安全與個人信息保護白皮書 6 從應用類型看，App 已實現生活場景全覆蓋，形成圍繞個人需求 的完整消費閉環。截至 2019 年 10 月底，中國信通院安全研究所移動 應用程序監測平臺上監測到的 App 覆蓋 22 種類型， 從短視頻、 游戲、 社交為代表的泛娛樂應用拓展到金融理財、旅行交通、健康養生、商 務辦公、家居服務、教育醫療等生活服務類應用（見表 1） ，基本實現 “一部手機走天下”。社交、搜索、新聞、購物支付等基礎應用滲透 率都超過 70% 5，其他細分市場呈現出明顯長尾效應。 表 1 App 類型及數量分布 序號序號 應用類型應用類型 AppApp數量數

11、量（個個） 序號序號 應用類型應用類型 AppApp數量數量（個個） 1 1 游戲 931238 12 健康養生 20077 2 2 生活服務 137192 13 攝影圖像 13963 3 3 主題美化 78501 14 休閑娛樂 12709 4 4 影音播放 67638 15 安全保密 8545 5 5 電子商務 63450 16 手機通信 6913 6 6 金融理財 47635 17 網絡瀏覽 6554 7 7 學習幫助 39033 18 文件管理 5808 8 8 系統工具 38479 19 圖形相關 4177 9 9 網上購物 29274 20 商務辦公 531 1 10 0 社區交友

12、 26519 21 及時通信 292 1 11 1 旅行交通 23517 22 時間日程 66 （數據來源：（數據來源：中國信通院中國信通院移動應用程序（移動應用程序（App）監測平臺）監測平臺） 從覆蓋人群看，App 基本實現適齡人口全覆蓋，并加速向三線及 以下城市用戶下沉。 手機網民年齡分布逐步向兩端延伸， 14 歲以下青 5 數據來源：CNNIC 第 44 次中國互聯網絡發展狀況統計報告 ，極光2019 年 Q3 移動互聯網行業數據 研究報告 移動應用（App）數據安全與個人信息保護白皮書 7 少年和 50 歲以上中老年人均手機 App 數量都超過 30 個 6。除了微信 等國民級應用外

13、，中老年人還鐘愛理財、購物、廣場舞、美顏相機和 全民 K 歌等潮流 App。此外，三線及以下市場的潛力和空間正在被發 掘，70%左右的三線及以下城市網民刷手機的時間占比都超過一半 7， 娛樂和生活相關的 App 在三線及以下城市發展的新用戶更多。 阿里巴 巴財報顯示，截至 2019 年 3 月底，淘寶天貓 1.04 億移動月活躍新增 用戶的 77%來自三線城市及以下地區。 （數據來源：（數據來源：CNNIC 第第 44 次中國互聯網絡發展狀況統計報告 ，次中國互聯網絡發展狀況統計報告 ，2019.6） 圖 3 各年齡段網民人均安裝 App 數量 （三） 移動應用助推消費提質升級 App 創新活

14、躍、增長迅速、輻射廣泛，助推信息消費升級。一方 面，App 是拉動流量消費的重要驅動力。App 全場景的使用，大大增 強用戶粘性， 提高用戶上網時長， 激發了數據流量消費快速攀升。 2019 年 110 月，通過手機上網的流量達到 995 億 GB，同比增速仍高達 6 數據來源：CNNIC，第 44 次中國互聯網絡發展狀況統計報告 7 數據來源：企鵝智庫，2018 年中國三四五線城市網民時間&金錢消費數據報告 32 40 66 54 49 47 40 33 10歲以下10-14歲15-19歲20-29歲30-39歲40-49歲50-59歲60歲及以上 移動應用（App）數據安全與個人信息保護白

15、皮書 8 85.6%。經測算，2018 年僅微信就帶動流量消費 2108 億元 8。另一方 面， 以 App 為載體的信息服務消費規模持續擴大， 帶動信息消費增長。 2019 年前三季度，包括網絡音樂和視頻、網絡游戲、新聞信息、網絡 閱讀等在內的信息服務收入規模達 5660 億元，同比增長 22.3%，占 互聯網業務收入比重達 65.8% 9。 App 作為“連接器”融合線上線下，助力傳統消費升級。在信息 消費之外， App 覆蓋出行、 餐飲、 購物、 酒店、 旅游等線下消費場景， 傳統實體經濟的大量商品和服務，通過 App 入口直接與用戶對接，提 升服務效率，降低交易成本，改善消費體驗。在購

16、物領域，據商務部 統計，2018 年全國網上零售額突破 9 萬億元，其中實物商品網上零 售額 7 萬億元，同比增長 25.4%。在餐飲領域，美團通過 53.1 萬日 活配送騎手，連接起全國超過 2800 個市縣的 3.1 億年度交易用戶和 約 440 萬年度活躍餐廳。在旅游領域，各大景區或城市與短視頻 App 合作打造“網紅景點” “網紅城市” ，帶動地方旅游收入增長。 （四） 移動應用支撐經濟轉型發展 App 帶動傳統產業數字化轉型，促進實體經濟發展。一方面，以 電子商務、數字內容等為代表的大量新應用、新模式、新業態，帶動 零售、物流配送、文化創意等傳統服務業的數字化轉型。據國家郵政 局統計

17、，2018 年中國快遞年業務量突破 500 億件，自 2014 年開始連 續 5 年穩居世界第一。另一方面，App 從消費領域向工業領域快速滲 8 數據來源：微信、中國信通院、數字中國研究中心聯合發布， 微信就業影響力報告 9 數據來源：工業和信息化部，2019 年前三季度互聯網和相關服務業運行情況 移動應用（App）數據安全與個人信息保護白皮書 9 透，我國面向工業場景的 App 數量一年增長 7 倍 10。在工信部印發的 工業互聯網 APP 培育工程實施方案 （20182020 年） 中明確提出， 到 2020 年要培育 30 萬個面向特定行業、特定場景的工業 App。工業 App 的形成

18、與規?；瘧?，有利于發揮軟件賦能作用，破解企業內部 工業技術不足的難題，加速推動制造業轉型升級。 App 分布地區聚集效應顯著，促進區域經濟發展。App 地區分布 與總體經濟繁榮程度密切相關，從接入地分布情況看，App 主要聚集 在北上廣等一線城市。 中國信通院安全研究所移動應用程序監測平臺 已監測 100 個重點 App 的接入信息，其中在北京接入的 App 最多，接 入數量達到 78 個，其次是廣東、天津和上海，接入 App 數量分別是 70、56 和 52 個。以上地區綜合優勢十分明顯，北京、上海、天津也 是同期全國人均 GDP 排名前三的省市。這一結果說明，App 的發展已 廣泛滲透到

19、經濟社會各個領域，對各地就業拉動、經濟發展起到至關 重要的帶動作用。 二、二、 移動應用（App）主要數據安全問題 隨著 App 的全面滲透， 廣大用戶卻面臨著享受便捷化泛在化服務 與保護個人信息權利之間的兩難抉擇。App 強制授權、過度索權、超 范圍收集個人信息的現象大量存在， 違法違規使用個人信息的關注度 始終居高不下。截至 2019 年 11 月 4 日，報告團隊從應用寶、華為應 用市場、小米應用商店等 10 個安卓應用市場選擇社交通信、餐飲外 賣、地圖導航、視頻直播、網上購物、網約車、醫療教育等 20 個類 10 工信部、北京市政府主辦的第二十三屆中國國際軟件博覽會展示 移動應用（Ap

20、p）數據安全與個人信息保護白皮書 10 別中下載量大、影響范圍廣、存在典型問題的 200 余款 App 作為檢測 對象，共計檢測出 1265 項數據安全問題。整體來看： 一是 App 個人信息安全整體問題較多且集中。67%的 App 存在 5 個及以上個人信息安全問題， 18.5%的 App 存在 10 個及以上個人信息 安全問題。超過四成 App 的問題集中在未公開收集使用規則、未明示 收集使用目的、超范圍收集個人信息等 5 類。具體情況如下圖所示。 圖 4 App 問題數量分布情況 圖 5 App 安全檢測突出的不合規問題 40.0% 40.0% 42.0% 46.0% 48.5% 未經用

21、戶同意收集使用個人信息 私自共享個人信息 超范圍收集個人信息 未明示收集使用個人信息的目的 未公開收集使用規則 0=問題數5, 33.0% 5=問題數10, 48.5% 10=問題數=15, 1.5% 移動應用（App）數據安全與個人信息保護白皮書 11 二是地圖導航、醫療健康、安全管理類 App 個人信息安全問題較 突出。從業務類別來看，地圖導航類 App 個人信息安全問題數量高居 首位，平均每款 App 出現 8.4 個問題，醫療健康、安全管理類 App 問 題數量位列第二，平均每款 App 出現 8.3 個問題。具體情況如圖 6 所 示。 圖 6 分業務 App 個人信息安全平均問題數

22、三是用戶數據存儲、收集、共享環節安全問題較多。檢測工作覆 蓋用戶數據收集、傳輸、存儲、使用、共享、刪除等全生命周期關鍵 環節， 其中 20.7%的問題屬于數據存儲環節， 20.5%的問題屬于數據收 集環節，17.1%的問題屬于數據共享環節。具體情況如圖 7 所示。 8.4 8.3 8.3 7.8 7.6 6.9 6.8 6.7 6.5 6.4 6.4 6.4 6.2 6.1 6.0 4.8 4.6 4.3 3.4 2.7 地 圖 導 航 醫 療 健 康 安 全 管 理 餐 飲 外 賣 直 播 在 線 教 育 物 流 網 約 車 基 礎 電 信 社 交 網 上 購 物 網 租 房 票 務 金 融

23、 短 視 頻 輸 入 法 求 職 招 聘 新 聞 資 訊 視 頻 運 動 健 身 注：平均問題數=該類App問題總數/該類App總數 移動應用（App）數據安全與個人信息保護白皮書 12 圖 7 各環節問題占比情況 基于前述檢測和研究， 報告團隊梳理出當前主流 App 在數據安全 與用戶個人信息保護方面存在的風險如下： （一） 默示征詢個人情況多，存在數據違規收集風險 隱私政策是 App 運營者告知用戶個人信息收集規則的主要途徑， 是保障用戶知情權的基礎。運營者應在用戶首次注冊、登錄 App 時以 彈窗、超鏈接等明顯方式提醒用戶閱讀隱私政策，以直觀的方式告知 用戶收集使用個人信息的目的、方式、

24、范圍，使用戶充分了解其個人 信息如何被收集、存儲、使用、傳輸、共享、銷毀，在知情了解的基 礎上保護其個人信息安全。 經報告團隊檢測發現， 超過九成的 App 都已具備隱私政策且內容 豐富，但是其中超過半數 App 在用戶首次登錄時向用戶默示隱私政 策，導致隱私政策難以起到告知作用。63.1%的 App 通過“登錄/注冊 即表示同意隱私政策”的方式強制用戶同意，且未提供拒絕選項，用 戶若想繼續使用只能被動同意隱私政策，侵犯了用戶自主選擇權； 數據收集, 20.5% 數據傳輸, 16.3% 數據存儲, 20.7% 數據使用, 12.7% 數據共享, 17.1% 數據刪除, 12.6% 移動應用（A

25、pp）數據安全與個人信息保護白皮書 13 16.9%的 App 在使用過程中僅展示隱私政策但未征詢用戶同意，違背 制定隱私政策的初衷；15.4%的 App 提供了是否同意隱私政策的勾選 框， 但存在默認勾選問題， 在用戶不知情的情況下將風險讓渡給用戶， 企圖逃避自身責任。具體情況如圖 8 所示。 圖 8 默示隱私政策各場景占比 與運營者相比，用戶在使用 App 時處于信息不對稱的弱勢地位。 若運營者以隱蔽、模糊的方式默示信息收集規則，用戶將無法知悉被 收集信息的類型、數量以及個人信息的最終流向，失去對其個人信息 的知情控制權，大大增加個人信息被違規收集的風險。 （二） 過度索取個人權限多，存在

26、數據惡意濫用風險 權限是移動終端操作系統對于 App 運營者收集使用用戶個人信 息的限制，運營者可通過申請權限的方式獲取用戶個人信息。為保障 用戶數據的安全，安卓系統的 App 在默認情況下不擁有任何系統權 限。如果 App 運營者因業務功能需要申請權限，應當遵循最小夠用原 登錄/注冊即表示同意隱私 政策, 63.1% 未在使用過程中征求用戶 同意隱私政策, 16.9% 默認勾選同意隱私政策, 15.4% 隱私政策默認勾選且無 法取消, 3.1% 未提供“不同意”選項, 1.5% 移動應用（App）數據安全與個人信息保護白皮書 14 則，僅收集使用業務功能必需的最少類型和數量的個人信息。App

27、 違 法違規收集使用個人信息專項治理工作組于 2019 年 5 月發布的研究 報告App 申請安卓系統權限機制分析與建議稱，絕大部分 App 申 請 10 個（含）以下與收集個人信息相關的權限即可滿足需要。 經報告團隊檢測發現， 近三成的 App 申請的與收集個人信息相關 的權限數量大于 10 個，部分金融類 App 申請權限多達 14-16 個，所 收集的個人信息遠遠超出全國信息安全標準化技術委員會發布的 網 絡安全實踐指南移動互聯網應用基本業務功能必要信息范圍 中 規定的金融行業 App 的 7 項必要信息，涉嫌超范圍獲取權限。檢測發 現“寫入外置存儲器”權限、 “讀取電話狀態”權限被申請

28、的百分比 大于 85%，二者均屬于安卓系統中的危險級別權限。擁有“寫入外置 存儲器”權限的移動 App 可以修改和刪除設備存儲卡中的數據，可能 導致用戶設備被植入惡意程序；擁有“讀取電話狀態”權限的移動 App 可以獲取設備唯一標識信息和手機通話狀態，設備唯一標識信息 可關聯用戶的生活習慣和消費行為， 為實施精準詐騙等惡意行為提供 數據支持。此外， “拍攝” 、 “訪問粗略定位” 、 “訪問精確定位” 、“讀 取外置存儲器”、“錄音”等危險權限的申請比例也超過七成。 App 過度索權現象成常態，用戶缺少自主選擇權，處于要么放棄 使用、要么授權的被動地位。過度索取危險權限為違規收集用戶個人 信息

29、提供了渠道，一旦這些個人信息被不法分子獲取濫用，將嚴重危 害用戶權益。 移動應用（App）數據安全與個人信息保護白皮書 15 （三） 明文存儲個人信息多，存在數據非法獲取風險 數據存儲是 App 運營過程中的關鍵環節， 也是網絡黑客攻擊竊取 數據的切入點， 可靠的數據存儲為用戶個人信息的正常使用提供重要 保障。App 運營者應在不影響用戶終端和服務正常使用的情況下，優 先在用戶個人終端內存儲所收集的個人信息， 并采取加密等技術措施 確保用戶數據即使泄露也難以被破解。 經報告團隊檢測發現， 超過九成的 App 會在用戶終端內存儲運行 日志、設備信息、用戶信息等數據，但其中 25%的 App 存在

30、明文存儲 用戶個人信息的問題。從明文存儲的個人信息類型來看，網絡身份標 識信息占比 35.1%，其中主要包括個人信息主體賬號以及密碼；個人 基本資料占比 38.6%，主要包括用戶手機號、郵箱、生日等信息；精 確定位信息占比 15.8%，主要包括用戶所在位置的經緯度信息。網絡 身份標識信息被不法分子獲取后可直接竊取賬號內的全部數據； 個人 基本資料和精確定位信息被非法獲取后， 將成為利用人工智能挖掘分 析形成用戶畫像的基礎數據，為“大數據殺熟”提供數據支撐，甚至 移動應用（App）數據安全與個人信息保護白皮書 16 為惡意欺詐行為推波助瀾。具體情況如圖 9 所示。 圖 9 本地明文存儲數據類型占

31、比 運營者本地存儲用戶個人信息的行為通常在用戶不知情的情況 下發生，存儲的數據往往是使用 App 過程中常用的重要信息。發生數 據泄露事件時，若未對存儲的數據采取加密等保護措施，用戶個人信 息將直接被識別利用，降低了不法分子的犯罪難度，極大地增加了用 戶數據被非法獲取利用的風險。 （四） 私自共享用戶數據多，存在數據惡意散播風險 私自共享是指 App 運營者未經用戶同意與第三方共享用戶個人 信息的行為。 運營者應在用戶跳轉至第三方應用前明示用戶其個人信 息是否被共享及共享后個人信息的傳播路徑， 同時還應根據共享的個 人信息私密程度、安全系數的不同，為用戶提供是否同意信息共享及 信息共享路徑的選

32、擇權。 經報告團隊檢測發現，四成 App 存在跳轉第三方應用時，未提醒 個人基本資料, 38.6% 網絡身份標識信息, 35.1% 精確定位信息, 15.8% 個人設備信息, 3.5% 個人財產信息, 1.8% 個人身份信息, 1.8% 個人健康生理信息, 1.8% 個人教育工作信息, 1.8% 其他, 10.5% 移動應用（App）數據安全與個人信息保護白皮書 17 用戶關注第三方收集使用個人信息規則問題。 跳轉的第三方應用以金 融類和網上購物類為主，占比均為 31%。金融類第三方應用易受病毒 感染，惡意仿冒、竊取隱私現象頻發，容易導致用戶個人敏感信息泄 露，甚至造成經濟損失；網上購物類第三

33、方應用存在過度使用用戶個 人信息、追蹤用戶行為、惡意竊取交易信息等現象，由此引發的騷擾 電話、推銷廣告等行為將嚴重干擾用戶的正常工作生活，甚至影響用 戶人身和財產安全。具體情況如圖 10 所示。 圖 10 跳轉的第三方應用類型占比 在 App 使用過程中，跳轉至第三方應用，在用戶毫不知情的情況 下使其個人信息被第三方獲取， 將導致用戶無法掌握并控制個人信息 的傳播路徑、使用范圍及風險系數，極大增加了用戶數據被惡意散播 的風險。 （五） 設置注銷限制條件多，存在數據過度留存風險 賬號注銷功能是用戶自主注銷權的重要保障， 也是民眾關注的熱 點，中國青年報社調查數據顯示，80.2%的受訪者存在注銷

34、App 賬號 金融, 31.0% 網上購物, 31.0% 娛樂, 5.2% 票務, 5.2% 房地產, 5.2% 社交, 5.2% 配送, 3.4% 小程序, 3.4% 網約車, 3.4% 求職招聘, 3.4% 在線醫療, 1.7% 新聞資訊, 1.7% 移動應用（App）數據安全與個人信息保護白皮書 18 的意愿和需求 11。 電信和互聯網用戶個人信息保護規定 、 信息安全 技術 個人信息安全規范等制度標準中明確要求運營者提供注銷賬 戶功能。App 運營者應在積極為新用戶推廣業務的同時，為老用戶提 供終止業務的便捷途徑，避免“注冊容易注銷難”的現象發生。 經報告團隊檢測發現，20.5%的 A

35、pp 未提供注銷功能。App 賬號 常與用戶銀行卡、身份證等敏感信息相關聯，若賬號無法注銷將導致 用戶個人敏感信息長期被運營者留存，增大數據泄露風險。26.9%的 App 雖然提供了注銷功能，但注銷耗時長、流程繁瑣，還需比注冊時 多提交額外非必要的個人敏感信息，如用戶真實姓名、住址、郵箱、 身份證照片等，且 App 運營者并未明確額外信息在注銷后是否會刪 除。相比簡單的注冊流程，為用戶注銷賬號設置了大量不合理條件， 阻礙用戶行使注銷權。 用戶量是 App 商業價值的重要衡量標準， 但由此導致的 App 運營 者為提升其市場競爭力而限制用戶注銷賬戶的行為， 侵犯了用戶的選 擇權、隱私權和平等交易

36、權等權益。無法注銷賬戶或者為完成注銷流 程需要用戶額外提交個人信息的行為，均存在數據過度留存風險。 三、三、 國內外移動應用（App）數據安全管理現狀 （一） 國外移動應用數據安全管理現狀 移動互聯網應用服務領域的安全問題已經成為了國際社會面臨 的重大挑戰。歐美等移動互聯網發展較早的國家，在移動互聯網安全 制度構建方面也較為領先，已從制度構建階段步入到深化拓展階段。 11 中國青年報， 75.9%受訪者遭遇過 App 賬號注銷難 移動應用（App）數據安全與個人信息保護白皮書 19 整體來看，歐美等主要國家均通過基礎性立法、針對性指導文件、安 全審查、行業自律等綜合性舉措，以個人隱私保護為重點

37、，逐漸加強 對 App 的治理和指引。 1 1、管理制度：完備的基礎性、管理制度：完備的基礎性數據安全立法奠定監管基礎數據安全立法奠定監管基礎 一是世界主要國家和地區以個人信息保護為切入點， 抓緊出臺和 完善數據安全基礎性和行業性法律。截至 2018 年年底，全球近 120 個國家和獨立的司法管轄區已采用全面的數據保護或隱私法律來保 護個人數據?，F有法律法規主要是一般性規定，其中對網絡運營者的 數據安全保護義務和責任同樣適用于 App 服務提供者。如歐盟一般 數據保護條例（GDPR） ， 英國 數據保護法案（Data Protection Act） 、 瑞典瑞典數據法案 （Swedish Da

38、ta Act） 、愛爾蘭2018 數據保護 法案 、美國加利福尼亞州頒布加州消費者隱私保護法案 （CCPA） 等，都圍繞個人數據的收集、使用、保存、分享、轉移等，對數據控 制者和處理者、數據主體的權利義務進行了全面規定。 二是在移動互聯網應用安全專門法規方面， 美國也有一些成功探 索。2016 年美國發布應用程序隱私保護和安全法案 ，這是第一部 全國性的專門規范 App 收集使用用戶隱私信息的法案， 試圖實現用戶 隱私保護與 App 功能正常之間的動態平衡。 法案的內容并沒有新穎之 處，但是它將專門針對 App 的個人信息保護原則上升到法律的高度， 且明確一個強有力的執行機構， 能夠使該法案的

39、相關規定得到切實執 行。 三是通過高壓執法、強力處罰推動企業落實法律法規要求。美、 移動應用（App）數據安全與個人信息保護白皮書 20 歐等國保護消費者隱私和個人信息最主要的手段就是采取強制執法 措施來制止違法行為，并要求企業采取積極整改措施。美國聯邦貿易 委員會（FTC）已建立兩年一次的獨立專家評估制度，并針對一系列 移動互聯網應用隱私問題開展執法行動，通過高罰款、禁止銷售運營 等強力處罰手段，震懾移動應用提供者。2019 年 7 月，FTC 認為 Facebook 多次使用欺騙性的披露和設置來破壞用戶的隱私偏好，且 對違反其平臺政策的第三方應用程序采取的措施不足，對其處以 50 億美元罰

40、款。2019 年 10 月，FTC 認為三款 App 未經移動設備用戶的 知情或同意，監控 App 使用者的移動設備地理位置，損害了消費者的 隱私權以及移動設備的安全性，現已禁止其繼續推廣和銷售。 2 2、管理思路：重視產業鏈各環節主體的責任落實和協作、管理思路：重視產業鏈各環節主體的責任落實和協作 針對 App 的獨特性，加拿大、美國、歐盟等國家和地區紛紛發布 App 個人隱私保護的指導意見， 對 App 產業鏈上的開發者、 應用商店、 終端制造商等相關主體提出細化要求。 一是在移動應用開發設計環節即納入隱私保護要求。2012 年 10 月，加拿大隱私專員辦公室發布移動 App 開發隱私指南

41、 ，該指南 指出開發者在 App 設計和開發過程中， 應如何加強個人隱私數據安全 保障。2014 年 9 月澳大利亞信息專員辦公室（OAIC）制定移動隱 私：面向移動應用開發者的更好的實踐指南 ，要求 App 開發公司設 置隱私事項專員， 在應用的規劃設計階段應進行隱私影響評估 （PIA） ， 并需要有適當的控制措施（例如合同） ，確保第三方應用合法合規處 理個人信息。 移動應用（App）數據安全與個人信息保護白皮書 21 二是對于智能終端預置應用數據安全性提出監管要求。2013 年 美國加利福尼亞州司法部長發布手機 App 隱私保護規范 ，要求操 作系統開發商提供全球性的隱私設置，使手機用戶

42、能夠控制訪問 App 的數據和硬件配置特征，并向 App 開發商提供工具，使其能夠綜合評 價隱私信息的收集、使用和傳輸情況。韓國未來創造部于 2014 年 1 月發布關于智能手機預置應用準則 ，該準則規定上市的智能手機 應保證用戶對于預置應用的選擇權以及向用戶公開預置應用的相關 信息。 三是推動移動應用商店加強應用上架前數據安全審核管理。 美國 手機 App 隱私保護規范 中明確要求 App 分發平臺建立健全審核機 制以及投訴舉報制度。蘋果應用程序商店（App Store）隨著 iOS 版 本更新和終端類型的增加，持續完善事前審核規則，實行對開發者資 質和 App 安全性的雙重審核，且審核內容

43、逐步擴大，包括程序中是否 使用非公開 API、是否安裝或運行其他可執行代碼、是否隱蔽調用位 置信息及傳輸用戶相關數據等。 3 3、管理方式：、管理方式：行業組織多管齊下引導行業自律成共識行業組織多管齊下引導行業自律成共識 各國在監管實踐中均重視多方治理， 通過 “政府主導+行業自律” 混合模式，充分發揮行業協會、第三方機構和社會公眾的作用。目前 典型的做法主要有以下幾種： 一是通過制定標準指導企業開展自評估。 2014 年， 美國國家信息 安全保障合作組織（NIAP）和美國標準與技術研究院（NIST）分別制 定移動互聯網相關保護輪廓和移動應用安全審查 ，為各行各 移動應用（App）數據安全與個

44、人信息保護白皮書 22 業(包括醫療保健)明確了移動應用隱私風險等安全評估審查方法和 流程。評估審查主要包括應用測試和應用批準/拒絕兩個步驟：應用 測試是指利用自動化工具和人員測試軟件漏洞， 形成漏洞報告和風險 評估；應用批準/拒絕是指根據評估報告決定該應用軟件是否可用于 移動設備。 其他國家也同樣制定了類似移動應用安全審查驗證的標準， 比如歐洲網絡與信息安全局（ENISA）發布的智能手機開發者安全 開發指引 、日本智能終端安全社（JSSEC）發布的Android 應用安 全設計/安全代碼指導 。 二是通過認證或資金獎勵鼓勵企業加強數據保護。 美國建立網絡 隱私認證計劃， 通過權威的第三方機構

45、對遵守信息收集規則并服從監 督管理的企業頒發認證標志，如果企業違反相關規定侵害用戶隱私， 將被取消認證，以此督促企業加強對個人信息的保護。美國國內存在 多個網絡隱私認證組織,其中最有名的是加州個人隱私認證機構 “TRUSTe” ，目前已為雅虎、微軟、蘋果等 3500 多家企業網站及 App 提供認證。美國健康信息技術全國協調員辦公室（ONC）還用資金獎 勵的方式鼓勵企業對數據保密性進行防護。比如，為了達到 ONC 的數 據認證要求并滿足特定的政府補助規定， 醫療設備制造商必須證明自 己能夠充分適當地處理用戶隱私數據。 二是為用戶提供技術軟件保護用戶個人信息。 英國為用戶提供先 進的個人信息保護

46、軟件，讓用戶掌握保護個人隱私的主動權。當 App 需要收集用戶隱私時， 該技術保護軟件就會主動提示用戶并識別即將 收集的個人信息類型和內容。 用戶可評估被收集信息的敏感程度以及 移動應用（App）數據安全與個人信息保護白皮書 23 泄露后果的風險，自行決定是否繼續使用該 App 的服務。同時，該技 術軟件還提供設定權限的功能，即允許設置哪些隱私可被收集，以及 絕不允許哪些隱私被收集。 三是發布指引引導企業自律， 提高用戶保護意識。 2013 年美國電 信和信息管理局（NTIA）發布關于移動 App 行為準則的倡議 ，要 求 App 收集和使用用戶數據必須向用戶明示，以增強 App 的透明性。

47、2013 年美國聯邦貿易委員會（FTC） 發布報告手機隱私披露:通過透 明度建立信任 ，對 App 產業鏈各主體提出相應建議，并提出行業協 會應促進 App 隱私保護政策統一和標準化， 并制定標準化圖標插入在 App 程序內部，通過該圖標用戶可以了解隱私政策和保護實踐。美國 健康信息技術全國協調員辦公室（ONC）針對消費者和設備制造商發 布了一系列用于移動健康數據保密的資源， 包括為移動健康應用設備 使用者準備的安裝指南， 為消費者準備的數據管理軟件和為開發者準 備的新款升級更新。 （二） 國內移動應用數據安全管理現狀 數字經濟時代， 以 App 安全為代表的數據安全關系到個體層面的 隱私保護，產業層面的科技競爭、創新和發展，以及國家層面的數據 安全和全球數字競爭力。我國高度重視 App 數據安全，已形成以個人 信息保護為核心的法律制度框架，各監管部門基于自身職能，以專項 行動為牽引，著力開展 App 數據安全管理實踐，對企業監督執法力度 持續加強。 1 1、基本建立基本建立 A Apppp 數據數據安全安全和個人信息保護制度體系和個人信息保護制度體系 移動應用（App）數據安全與個人信息保護白皮書 2