“是谁偷走了我的秘密”——444个违规App让你警惕信息泄露

“40万条个人信息泄露，圆通被约谈！”、“明星‘健康宝’照片被泄露，个人信息泄露不容小觑！”、“惨遭‘开源’，数百万Parler用户数据全部泄露！”

……

2020年末，全球的信息泄露事件屡有发生，相关的新闻 道更是层出不穷，每一次都能在民众间掀起不小的声浪。随着智能手机的广泛普及，伴随着手机软件的使用存在于隐形角落的“数据泄露问题”几乎将我们团团围住，貌似有着App“选择下载权”的用户实际上在信息泄露问题上避无可避，并且几乎没有彻底的解决办法。

信息泄露不止数字而已

回顾 2020 年，数据泄露现状严峻，据《IBM 2020 年数据泄露 告》显示，数据泄露的平均总成本为 386 万美元（约合人民币 2521 万元），对企业来说，数据泄露的后果越来越严重。

在2020年被披露的“全球重大数据泄露事件”呈现的泄露数据量级庞大。信息泄露发生的企业行业大多数在美国，其中Cit0Day.in 站泄露数据总量高达130亿，而从国内来看，新浪微博数据泄露总量超过5亿，成为2020年国内重大数据泄露之首。

如果以数据泄露所涉及的行业数量为排名依据，科技行业成为2020年全球重大数据泄露涉及行业重灾区，互联 、市场零售及媒体行业紧随其后，随着互联 的普及和线上业务的扩展，这些行业的数据变得越来越重要，同时也成为了以数据交易为谋的不法分子手中的“香饽饽”。

虽然科技行业信息泄露的占比更大，但在新冠病毒肆虐的2020年，对于个人来说信息泄露带来的重击还要属医疗领域，不管是国内青岛胶州中心医院对6685名患者的信息泄露，还是国际上全球医疗影像照片的大量泄露，都在道德和伦理角度给医疗技术提出了更高的要求。

数字化生存让人们越来越多的信息暴露在互联 上，当信息足够多、足够全甚至可以预测个人未来的行为走向。

如果将2020年全球重大数据泄露的数据内容大致分为：用户信息、安全记录、设备信息以及员工信息，出现重大数据泄露的行业几乎都存在用户信息泄露的问题。

包括姓名、联系方式、地址，甚至交易凭证的用户信息，成了“暗 ”交易中最廉价的信息产品，不论背后原因如何，都无疑暴露出不少公司存在着数据储存的漏洞。

艾媒资讯

InfoQ

那些有“坑”的App

依据《 络安全法》《电信条例》《电信和互联 用户个人信息保护规定》等法律法规，工业和信息化部组织第三方检测机构对手机应用软件进行检查，2020年共通 七批侵权App，其中不乏“知乎日 ”、“当当”、“QQ”等热门App。

根据名单上的数据整理后发现，大约三分之一的App来自于“应用宝”平台，“豌豆荚”和“小米应用商店”并列第二。

在这444个App中，按照其所属内容可大致将其所属领域分为十类，分别为：教育类、金融类、便民服务类、资讯类、兴趣爱好类、视频直播类、 交媒体类、办公效率类、 购电商类以及私人订制类。不出所料，大众日常生活中常用的租车、交通等服务类App与游戏、电子书等兴趣娱乐类App所占问题App比重更大。

工信部将整改App所涉及的侵权问题分成了十一类，尽四分之三的App存在私自/违规收集个人信息的问题，紧随其后的是App违规使用个人信息、App强制、频繁、过度索取权限以及App强制用户使用定向推送功能。除此之外，问题App还存在着超范围收集个人信息、私自共享给第三方、频繁申请权限、欺骗误导用户下载App、不给权限不让用、应用分发平台上的App信息明示不到位以及账 注销难等问题。

不同App存在的整改问题不同，整体上来看，从应用宝上下载的App数量最多，涉及的问题也最多，而存在“强制用户使用定向推送功能”的App大多数来自360助手，pp助手在“超范围收集个人信息”和“频繁申请权限”方面更加宽容。

便民服务类App几乎“包揽”了所有的整改App存在的问题，新闻资讯类App更容易私自共享信息给第三方，在应用信息明示方面也不尽人意，教育领域的App更希望能够定向推送相关功能与信息给用户来吸引注意。从信息的违规搜集或超范围搜集，到共享给第三方，金融类App更容易走这样的“套路”。

2018年支付宝晒年度账单满足了用户全民分享共同记忆的诉求，也利用了人们习惯使然的滑屏，“被迫”接受自己相关信息可提供给第三方的条款，随着金融服务类App的普及，财产信息与个人信息之间的关系不可分割更不可轻视。

泄露之外和保护之内

数据库漏洞和黑客侵袭是2020年度全球信息泄露事件中的主要成因，导致数据泄露的原因多种多样，包括云上数据库未得到正确配置、 络钓鱼、勒索攻击、机构内部泄露、多源数据汇聚后被挖掘分析等。

黑客侵袭用户电子邮件与哈希码造成包括以色列加密货币交易平台等 络平台的用户信息泄露，当然也有一些公司的客户信息出现在“暗 ”，以技术漏洞为由闪烁其词。例如员工贩卖等人为因素也不容小觑，从国内来看不少引起舆论哗然的事件出自人为泄露。

具体问题具体分析时，“数据库未加密”成为 络安全中的重要技术漏洞，开源环境在带来技术和信息共享的同时，却让别有用心者钻了空子。

不同于 交 络等信息公开 站，政府部门汇聚和掌控了大量涉及国家安全和个人隐私的数据，在2019年的数据泄露事件中，由于政府门户 站被攻击或存在严重漏洞、政府云上数据库未得到正确配置等原因导致的数据泄露事件占比达7%，2020年利库德集团由于人为失误泄露以色列选民信息640万，已严重违反了以色列《隐私保护法》。

我国自上世纪90年代以来，先后出台多部涉及互联 个人信息安全的法规、条例、办法，不少省市也陆续出台了信息系统安全保护、病毒预防和控制等方面的地方性法规，但是相对来说，我国关于信息保护的立法进程还是比较缓慢。

2020年10月最新颁布的《个人信息保护草案》从呈交国务院起，经历了十几年的时间，增加了例如多元化个人信息的授权途径的规范，对个人信息处理的权利与义务进行了规定，在敏感信息的处理上也有了一定外延规定，并且明确了有关个人信息处理的法律责任，可以说在个人信息的立法保护方面前进了一大步。

数据泄露通知是指数据控制者将泄露情况通知给监管机构和受影响自然人的制度。不同国家纷纷制定适合本国国情的法律制度，其中瑞典于1973年发布的《瑞典数据法》，是世界上首部全国性的个人数据保护法，后于1978年进行了修订。

全球数据泄露通知立法始于美国加利福尼亚州2002年出台的《数据安全泄露法》，随后被欧盟、韩国、澳大利亚、新加坡、加拿大等国家或地区广泛采纳。从美国的立法状况我们可以看出，尽管美国存在着国家机构对公民个人信息拥有超级权限的问题，但是其在对互联 个人信息安全保护立法的分类较为细致，立法思路较为超前，通过注重企业的参与，值得我们学习。

---

大数据时代，个人信息泄露已经不是多么新鲜的资讯，用户频繁的在新闻 道中看到此类的消息，震惊、愤怒之余，更多的是感到无可奈何。用户时常会提出疑问：“App为何如此了解我们的喜好？”、“我刚刚提到的东西，App怎么就给我推送了？”窃听、大数据抓取分析、用户协议中被缩小到几乎看不见的越线条款……都是个人信息泄露的罪魁祸首。

科技以无孔不入之态嵌入每一个智能手机用户的界面中，同时也嵌入了我们的生活，我们所提及“数字歧视”、“数字包容”的概念也是为了让更多人享受数字化生活，但个人信息数据被倒卖、交易，在用户完全不知情的情况下甚至有可能被动参与违法行为，“举起的刀砍在每一个人身上”， 会对技术泄露的包容超出人为，但技术始终体现出背后人的主动性，这也是为什么我们称乔布斯为“苹果之父”而不是别的什么。

数据处理、数据可视化：合一

图片美化、文案撰写：STT、合一

数据收集：LQ

参考资料：

[1]解读数据泄露的 2020：疫情相关的数据泄露事件猛增，黑客攻击是主要原因，InfoQ

https://www.infoq.cn/article/izKzdFNyqQcDTvOJfsUP

[2] 2019年数据泄露全年盘点，让人“触目惊心”，艾媒资讯

https://www.infoq.cn/article/tMIgjgmagamm6prutRiF

[3] 关于侵害用户权益行为的APP通 （2020年第一批），国家政务平台

http://www.gov.cn/xinwen/2020-05/17/content_5512332.htm

[4] 关于侵害用户权益行为的APP通 （2020年第七批），国家政务平台

http://www.gov.cn/xinwen/2020-12/27/content_5573776.htm

[5] 40万条个人信息泄露 圆通被约谈，人民

http://it.people.com.cn/n1/2020/1126/c1009-31945204.html

[6] 十国“个人数据与隐私保护”立法一览表，中国电子银行

https://www.cebnet.com.cn/20170301/102369204.html

[7] 我国互联 个人信息安全的立法现状浅析，中国法院

https://www.chinacourt.org/article/detail/2015/04/id/1577452.shtml