移動用戶位置信息安全保護策略研究*

盧丹 王琦 王可 邵曉萌 韓佳琳

(中國信息通信研究院安全研究所，北京100191)

0 引言

定位技術(shù)已應(yīng)用在生活的各個方面，人們享受到了定位技術(shù)帶來的各種便捷，各類互聯(lián)網(wǎng)應(yīng)用也在技術(shù)發(fā)展中獲益。定位服務(wù)除了滿足人們娛樂生活以外，在緊急情況下，通過及時定位事故車輛或受困人員，為人們提供額外的安全保障。

目前常用的定位技術(shù)包括衛(wèi)星定位、基站定位、Wi-Fi/藍(lán)牙/UWB定位，以及通過“打卡”或掃描二維碼等方式實現(xiàn)的定位功能。各類定位服務(wù)特點不同，有其不同的適用場景。衛(wèi)星定位覆蓋范圍最廣，適合于空曠環(huán)境；基站定位在市區(qū)環(huán)境下具有一定優(yōu)勢，能夠彌補衛(wèi)星定位在建筑物遮擋情況下精度不高的問題；Wi-Fi/藍(lán)牙/UWB定位適用于室內(nèi)環(huán)境或局域網(wǎng)環(huán)境，但推廣應(yīng)用方面存在難度；“打卡”或掃描二維碼等方式目前也已應(yīng)用較為普遍，該方式在新冠肺炎疫情期間發(fā)揮了巨大作用，精度最高，但較為被動，缺乏連續(xù)性和時效性。各類定位技術(shù)應(yīng)用特點不同，在融合應(yīng)用后能夠彌補各自優(yōu)缺點，可為用戶提供了更全面的服務(wù)。

隨著定位技術(shù)應(yīng)用范圍的日益普及，定位技術(shù)帶來的隱私泄露風(fēng)險已成為用戶最關(guān)心的問題。企業(yè)收集的用戶位置信息可能會因為使用方式不當(dāng)或安全防護措施不足而造成數(shù)據(jù)泄露，從而被非法利用或被黑產(chǎn)販賣到其他渠道。此外，個別企業(yè)也存在過度收集或使用用戶數(shù)據(jù)的情況。這些數(shù)據(jù)可能會被用于定向推送垃圾廣告、用于跟蹤特定人物甚至重要人物，還可能會被國外情報機構(gòu)利用，嚴(yán)重危害國家安全。紐約時報曾在調(diào)查中，從一家提供位置服務(wù)的互聯(lián)網(wǎng)公司工作人員手中輕松獲取一份包括1 200萬美國人位置信息的特殊樣本，該樣本覆蓋用戶在華盛頓、紐約、舊金山和洛杉磯等幾個主要城市移動的位置信息，涵蓋了用戶幾個月內(nèi)的精確位置。這些數(shù)據(jù)是互聯(lián)網(wǎng)公司通過用戶手機安裝的APP獲得，通過獲取終端位置訪問權(quán)限獲取位置信息。該方式已成為位置信息泄露的主要途徑，除此之外，用戶位置還可能在連接Wi-Fi、藍(lán)牙或掃描二維碼等過程中被悄無聲息獲取。因此，加強用戶位置數(shù)據(jù)保護，防止用戶數(shù)據(jù)被過度采集或非法利用已成為一項重要的研究內(nèi)容。

位置信息屬于用戶重要的一類敏感信息。為保護用戶個人信息的安全性，我國已從法律、政策、技術(shù)標(biāo)準(zhǔn)等方面形成了完備的安全管理體系。

1 我國用戶位置信息安全管理體系

目前，我國在用戶位置信息保護方面，已基本形成以《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)、《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)為上位法，以《APP違法違規(guī)收集使用個人信息行為認(rèn)定方法》《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護管理規(guī)定》等政策文件為實施依據(jù)的體系化安全管理模式。對位置信息的采集、使用、存儲等全流程以及涉及的主體都提出了明確的安全管理要求。目前，配套的安全技術(shù)要求和檢測標(biāo)準(zhǔn)已基本在征求意見或發(fā)布階段，從應(yīng)用商店對APP的審核依據(jù)，到APP個人信息采集范圍等多個環(huán)節(jié)，都制定了細(xì)化和明確的標(biāo)準(zhǔn)，為法律政策的有效落地、安全管理的規(guī)范性實施提供了有利的支撐。

1.1 法律

2021年9月1日，《數(shù)據(jù)安全法》正式實施，明確要求任何組織、個人收集數(shù)據(jù)必須釆取合法、正當(dāng)?shù)姆绞?，不得竊取或者以其他非法方式獲取數(shù)據(jù)。2021年11月1日，《個人信息保護法》正式實施，緊緊圍繞規(guī)范個人信息處理活動、保障個人信息權(quán)益，構(gòu)建了以“告知—同意”為核心的個人信息處理規(guī)則，將個人信息保護提高到重要位置。依據(jù)《數(shù)據(jù)安全法》《個人信息保護法》，任何企業(yè)想獲取用戶位置信息必須獲得用戶授權(quán)。不得以個人不同意提供為由拒絕服務(wù)。同時，處理用戶位置信息的服務(wù)提供商也將作為位置信息保護的第一責(zé)任人，需要采取必要措施保障用戶位置信息的安全性。

1.2 政策

在政策層面，多部門配套出臺行政法規(guī)，目前已對APP應(yīng)用采集個人信息進行了嚴(yán)格限制。從2019年年初開始，中央網(wǎng)信辦、工業(yè)和信息化部、公安部及國家市場監(jiān)督管理總局四部門開展了聯(lián)合行動，發(fā)布系列舉措，嚴(yán)格規(guī)范APP個人信息收集行為。2019年，四部門發(fā)布《APP違法違規(guī)收集使用個人信息行為認(rèn)定方法》[1]，并開展APP違法違規(guī)收集使用個人信息專項治理行動。認(rèn)定方法中，明確將APP收集與提供業(yè)務(wù)功能無關(guān)的個人信息、超實際需求頻率收集、收集敏感信息未同步告知或超已告知范圍使用敏感信息等行為判定為違規(guī)行為。依據(jù)該認(rèn)定方法，APP使用用戶位置信息需同步告知，使用范圍必須與告知范圍完全一致，不能超需求頻率收集位置信息形成位置軌跡。

2021年3月，《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》[2]提出，在常見類型APP中，位置信息僅作為地圖導(dǎo)航類、網(wǎng)約車類、“共享單車、共享汽車、租賃汽車”等用車服務(wù)類應(yīng)用所需的必要個人信息，行蹤軌跡僅為網(wǎng)絡(luò)約車類應(yīng)用所需的必要個人信息。依據(jù)該規(guī)定，除上述類型的應(yīng)用外，若用戶拒絕向應(yīng)用提供位置信息或行蹤軌跡，用戶也有權(quán)使用應(yīng)用的基本功能。

《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護管理規(guī)定》[3]目前也已向公眾征求意見，該規(guī)定進一步規(guī)范了APP個人信息處理相關(guān)活動，并強化了包括APP開發(fā)運營者、APP分發(fā)平臺、APP第三方服務(wù)提供、移動智能終端生產(chǎn)企業(yè)、網(wǎng)絡(luò)接入服務(wù)提供者在內(nèi)從事APP個人信息處理活動的相關(guān)主體責(zé)任。待該規(guī)定正式實施后，對于違規(guī)采集用戶位置的相關(guān)主體，將可采用定期整改與社會公示、下架處置、斷開連接、終端禁入等多級措施進行管控，對于嚴(yán)重侵害用戶權(quán)益的，將依照有關(guān)規(guī)定予以處罰或依據(jù)法律追究刑事責(zé)任。

從目前的政策要求看出，國家對用戶位置等個人信息的保護力度在逐步加大，通過制定明確的安全管理要求，并實施嚴(yán)格的處罰機制，規(guī)范企業(yè)行為，為用戶位置等個人信息筑起了一道堅固的安全防線。

1.3 標(biāo)準(zhǔn)規(guī)范

為配套支撐政策的有效實施，國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、團體標(biāo)準(zhǔn)均在同步制定當(dāng)中?！缎畔踩夹g(shù) 移動互聯(lián)網(wǎng)應(yīng)用程序(APP)收集個人信息基本要求》于2022年4月發(fā)布，《信息安全技術(shù) 移動互聯(lián)網(wǎng)應(yīng)用程序(APP)個人信息安全測評規(guī)范》目前正在征求意見階段，該兩項國家標(biāo)準(zhǔn)為第三方檢測機構(gòu)和國家監(jiān)管機構(gòu)開展APP個人信息安全測評和檢查提供技術(shù)支撐。

作為APP專項治理工作組成員，中國網(wǎng)絡(luò)空間安全協(xié)會于2021年11月發(fā)布團體標(biāo)準(zhǔn)《應(yīng)用商店APP個人信息收集使用上架審核和管理規(guī)范》，并公開向社會征求意見，該規(guī)范將為APP分發(fā)平臺加強對上架APP進行規(guī)范性審核、監(jiān)測提供指導(dǎo)。

2022年5月，由電信終端產(chǎn)業(yè)協(xié)會制定的《APP收集使用個人信息最小必要評估規(guī)范 總則》《APP 收集使用個人信息最小必要評估規(guī)范位置信息》等團體標(biāo)準(zhǔn)正式報批。該系列標(biāo)準(zhǔn)是對“最小必要原則”的規(guī)范和細(xì)化，將對移動應(yīng)用程序收集、加工、應(yīng)用位置信息過程提供規(guī)范化參考。

2022年4月，《移動智能終端安全技術(shù)要求》正式實施，該標(biāo)準(zhǔn)明確要求了移動智能終端應(yīng)在用戶確認(rèn)的情況下才能應(yīng)用程序提供定位功能。終端將用戶許可作為是否提供信息的唯一參考。該要求也成為終端獲得入網(wǎng)許可的必要條件。

可以看出，在標(biāo)準(zhǔn)制定方面，已圍繞終端、應(yīng)用商店審核和APP數(shù)據(jù)收集等方面提出了安全要求，能夠?qū)θ刖W(wǎng)終端對APP采集位置信息時的用戶詢問流程、應(yīng)用商店審核模式和APP位置數(shù)據(jù)采集范圍進行標(biāo)準(zhǔn)化。這在一定程度上保障了通過安全檢測和評估的終端、APP和應(yīng)用商店在保護用戶位置信息方面符合國家要求。

2 風(fēng)險分析

從我國用戶位置信息安全管理體系可以看出，國家已對位置信息等個人信息進行了規(guī)范，同步開展了嚴(yán)格的監(jiān)管。截至2022年5月，工業(yè)和信息化部已累計開展了23輪針對APP違規(guī)收集信息的專項治理工作，對應(yīng)用平臺上線的APP違規(guī)收集用戶個人信息情況進行了整頓[4]。目前，APP若超權(quán)限獲取用戶位置或超范圍使用位置信息將受到嚴(yán)厲懲處。

在嚴(yán)格的監(jiān)管環(huán)境下，一些黑灰產(chǎn)仍在企圖挖掘各類途徑獲取用戶位置信息，個人信息安全風(fēng)險仍然存在。本文在分析定位技術(shù)原理的基礎(chǔ)上，開展位置信息安全風(fēng)險研究。用戶位置信息暴露的主要路徑分析如圖1所示，涉及的主要對象包括移動終端、APP、核心網(wǎng)，以及其他定位主體。下面將從每類對象出發(fā)，分析可能存在的安全風(fēng)險。

2.1 移動終端

移動終端通過集成定位模塊或安裝定位算法實現(xiàn)定位功能。終端目前可采用的定位方式包括衛(wèi)星定位、Wi-Fi/藍(lán)牙/UWB定位等。

終端維護各類定位數(shù)據(jù)，主要依據(jù)的調(diào)用流程如圖2所示，通過接口向APP提供位置讀取權(quán)限。

終端操作系統(tǒng)的安全性很大程度決定了位置數(shù)據(jù)的安全性，然而，部分用戶會忽略終端安全的重要性，會為增加使用自由度而采用“刷機”“越獄”等方式修改手機操作系統(tǒng)，該方式將可能破壞終端安全機制和授權(quán)方式，從而引入安全風(fēng)險。也有部分用戶因價格因素，選擇購買價格更占優(yōu)勢的“山寨機”。此類“山寨機”絕大部分未經(jīng)安全檢驗，存在對定位數(shù)據(jù)等個人信息讀取權(quán)限管理混亂等隱患，導(dǎo)致位置信息違規(guī)提供給APP。

圖2 APP獲取位置信息流程

圖3 5G定位系統(tǒng)架構(gòu)

2.2 APP

依據(jù)我國在個人信息保護領(lǐng)域發(fā)布的政策和標(biāo)準(zhǔn)，上架的APP都要在個人信息收集方面接受監(jiān)督。然而，除官網(wǎng)應(yīng)用商店外，也存在其他APP推廣途徑，如通過下載鏈接獲取APP。這類APP安全風(fēng)險較大，一方面可能未按照國家法律政策要求收集位置信息，存在過度采集的風(fēng)險；另一方面，APP后臺數(shù)據(jù)庫的安全性以及數(shù)據(jù)使用方式均無法保障，存在數(shù)據(jù)泄露、超范圍使用的風(fēng)險。

2.3 核心網(wǎng)

基站定位作為另一種重要的定位方式。核心網(wǎng)通過測量終端信號強度、上下行信號時間差以及信號到達/離開角等參數(shù)計算終端與基站的相對位置，并基于基站真實位置信息得到終端真實位置。在5G網(wǎng)絡(luò)中(見圖3)，定位功能主要由定位管理功能(Location Management Function，LMF)、移動定位中心網(wǎng)關(guān)(Gateway for Mobile Location Center，GMLC)以及定位服務(wù)(Location Service，LCS)客戶端等網(wǎng)元和功能模塊共同實現(xiàn)[5]。

網(wǎng)元和平臺的安全性對于位置信息的安全性至關(guān)重要。需防范針對5G核心網(wǎng)發(fā)起的網(wǎng)絡(luò)攻擊或因運維人員操作不當(dāng)，越權(quán)訪問等因素導(dǎo)致的位置數(shù)據(jù)泄露或違規(guī)使用等風(fēng)險。

2.4 其他定位服務(wù)

掃描二維碼等定位方式依賴于二維碼等實體的實際位置。用戶掃描二維碼后，應(yīng)用后臺便可獲取用戶與二維碼的關(guān)聯(lián)關(guān)系，通過將二維碼與實際所在物理位置進行關(guān)聯(lián)，便可精準(zhǔn)獲知用戶在掃描時刻的位置信息。

對于來源不明的二維碼，其運營主體不明確，數(shù)據(jù)使用方式未受監(jiān)督，將存在較大的安全風(fēng)險，無法排除惡意收集位置信息和違規(guī)使用個人敏感信息的可能性。

3 用戶位置信息保護策略研究

通過對位置信息安全風(fēng)險研究發(fā)現(xiàn)，目前的位置信息安全風(fēng)險點主要存在于終端、APP、核心網(wǎng)、定位服務(wù)，以及用戶使用方式。因此，需要終端廠商、應(yīng)用服務(wù)提供商、基礎(chǔ)電信企業(yè)、定位服務(wù)提供商、用戶等參與主體共同努力，通過加強各環(huán)節(jié)的流程管控，共同保護用戶位置數(shù)據(jù)的合規(guī)使用。

為防范位置信息在流轉(zhuǎn)環(huán)節(jié)可能存在的違規(guī)采集、超范圍使用、數(shù)據(jù)泄露等安全風(fēng)險，建議實施移動用戶定位安全保護策略(見圖4)，以降低目前存在的位置信息安全風(fēng)險。該策略由應(yīng)用管理、數(shù)據(jù)安全保護、個人行為引導(dǎo)3部分組成。

圖4 用戶位置信息保護策略

3.1 應(yīng)用管理

在我國用戶位置信息安全管理體系下，應(yīng)用商店、第三方檢測機構(gòu)應(yīng)依據(jù)現(xiàn)有法律政策規(guī)定的必要個人信息采集范圍，對上架應(yīng)用進行嚴(yán)格審核，保障應(yīng)用程序能按照最小必要原則合規(guī)采集、使用用戶位置信息。除了嚴(yán)格管理應(yīng)用商店上架的應(yīng)用程序外，需進一步防范非可信來源的應(yīng)用違規(guī)采集用戶位置信息。為提高用戶對可信應(yīng)用的感知度，可采用應(yīng)用標(biāo)識管理等方式，對合規(guī)應(yīng)用進行標(biāo)注，該方式能在有效管理應(yīng)用的同時，進一步幫助終端區(qū)分可信和非可信應(yīng)用。對有標(biāo)識的應(yīng)用，終端可依據(jù)用戶授權(quán)方式提供位置信息訪問權(quán)限；對無標(biāo)識的應(yīng)用，則認(rèn)為未通過合規(guī)檢測，終端可為用戶進行風(fēng)險預(yù)警，或僅提供模糊位置。通過標(biāo)識對應(yīng)用進行管理，能有效防止用戶精準(zhǔn)位置被非信任應(yīng)用獲取，是保護用戶位置信息安全的一種重要方式。

3.2 數(shù)據(jù)安全保護

加強應(yīng)用提供商、定位服務(wù)提供商后臺數(shù)據(jù)庫，以及LMF、GMLC、LCS客戶端等核心網(wǎng)網(wǎng)元、定位平臺的安全評測，有針對性加強安全防護能力部署，是保護定位數(shù)據(jù)安全性的一種重要方式。可采用嚴(yán)格管理定位數(shù)據(jù)訪問權(quán)限，對定位數(shù)據(jù)進行加密存儲和傳輸、部署必要的入侵防御能力等措施降低可能存在的來自內(nèi)部運維人員和外部網(wǎng)絡(luò)攻擊帶來的安全風(fēng)險。此外，應(yīng)細(xì)化和保留定位數(shù)據(jù)使用的全流程日志記錄內(nèi)容，通過自查和第三方監(jiān)督等方式定期查閱日志，保障定位數(shù)據(jù)全流程使用的合規(guī)性。

3.3 用戶行為引導(dǎo)

除上述策略外，應(yīng)通過宣傳教育等方式，幫助用戶提高個人信息保護意識。通過注意終端和應(yīng)用使用方式，盡可能避免因個人行為不當(dāng)造成的數(shù)據(jù)泄露。一是避免通過應(yīng)用商店以外的其他渠道獲取APP，僅下載和使用經(jīng)過第三方檢測機構(gòu)或應(yīng)用平臺嚴(yán)格審核后的APP。二是對APP授予位置信息讀取權(quán)限前，根據(jù)使用場景謹(jǐn)慎評估是否授權(quán)。三是僅在需要時開啟藍(lán)牙、Wi-Fi等功能，避免周邊部署的Wi-Fi路由器、藍(lán)牙發(fā)射器等設(shè)備基于參考節(jié)點位置關(guān)聯(lián)、獲取終端位置信息。四是謹(jǐn)慎掃描二維碼，在掃描二維碼前應(yīng)了解二維碼的發(fā)布平臺、用途等關(guān)鍵信息，避免掃描來路不明的二維碼導(dǎo)致位置信息泄露。

4 結(jié)束語

本文梳理了我國在用戶位置信息安全方面的管理體系，分析和研究了用戶位置信息在各環(huán)節(jié)仍然面臨的安全風(fēng)險，并有針對性地提出了用戶位置信息保護策略，以降低位置信息泄露的風(fēng)險，保護用戶隱私。

用戶位置信息作為一類重要的用戶敏感信息，需要各環(huán)節(jié)參與方積極履行主體責(zé)任，發(fā)揮自身價值，共同努力保障個人信息安全。