1.2.5 移动数据安全威胁

随着移动智能终端的普及，人们已习惯使用其处理、存储大量个人与工作信息，但这也带来了巨大的移动数据安全威胁。移动数据的安全威胁主要来自于数据过度采集、数据安全防护弱，以及数据非授权使用与共享等方面。

（1）数据过度采集

权限是移动操作系统对移动App运营者收集使用用户个人信息的限制，运营者可通过申请权限的方式获取用户个人信息。为了保障用户数据的安全，安卓、iOS系统的移动App在默认情况下不拥有任何系统权限。但是，目前移动App强制授权、过度索权，超范围收集个人信息的现象大量存在，并且违法违规使用个人信息的关注度始终居高不下，一旦这些个人信息被不法分子获取滥用，将严重危害用户权益。根据研究表明［13］：尽管超过九成的移动App都已具备隐私政策，但是，其中超过半数在用户首次登录时向用户默示隐私政策，导致隐私政策难以起到告知作用。另外，近三成的移动App申请与收集个人信息相关的权限数量大于10个，部分金融类移动App申请权限多达16个，所收集的个人信息远远超出全国信息安全标准化技术委员会发布的《网络安全实践指南——移动互联网应用基本业务功能必要信息范围》中规定的金融行业移动App的7项必要信息，涉嫌超范围获取权限。其中，“写入外置存储器”权限、“读取电话状态”权限被申请的百分比大于85%，二者均属于安卓系统中的危险级别权限。拥有“写入外置存储器”权限的移动App可以修改和删除设备存储卡中的数据，可能导致用户设备被植入恶意程序；拥有“读取电话状态”权限的移动App可以获取设备唯一标识信息和手机通话状态，设备唯一标识信息可关联用户的生活习惯和消费行为，为实施精准诈骗等恶意行为提供数据支持。

（2）数据安全防护弱

移动终端上数据安全防护弱，甚至明文存储，存在数据被恶意盗取、篡改、破坏等安全风险。根据研究表明［13］：我国超过九成的移动App会在用户终端内存储运行日志、设备信息、用户信息等数据，其中25%的移动App存在明文存储用户个人信息的问题。从明文存储的个人信息类型来看，网络身份标识信息占比35.1%，其中主要包括个人信息主体账号以及密码；个人基本资料占比38.6%，主要包括用户手机号、邮箱、生日等信息；精确定位信息占比15.8%，主要包括用户所在位置的经纬度信息。网络身份标识信息被不法分子获取后可直接窃取账号内的全部数据；个人基本资料和精确定位信息被非法获取后，将成为利用人工智能挖掘分析形成用户画像的基础数据，为恶意欺诈行为推波助澜。

（3）数据非授权使用与共享

私自共享用户数据存在数据恶意散播风险。私自共享是指移动App运营者未经用户同意与第三方共享用户个人信息的行为。根据研究表明［13］：四成移动App存在跳转第三方应用时，未提醒用户关注第三方收集使用个人信息规则问题。跳转的第三方应用以金融类和网上购物类为主，占比均为31%。金融类第三方应用易受病毒感染，恶意仿冒、窃取隐私现象频发，容易导致用户个人敏感信息泄露，甚至造成经济损失；网上购物类第三方应用存在过度使用用户个人信息、追踪用户行为、恶意窃取交易信息等现象，由此引发的骚扰电话、推销广告等行为将严重干扰用户的正常工作生活，甚至影响用户人身和财产安全。