掃碼再刪除？你的注冊信息早就泄露了

視覺(jué)中國

小王這幾天有點(diǎn)煩。他想注銷(xiāo)掉一款APP，卻發(fā)現怎么也注銷(xiāo)不掉?！百~戶(hù)信息被永久保存在這個(gè)APP里，很擔心個(gè)人隱私會(huì )被泄露出去?！毙⊥跽f(shuō)。

像小王這樣的人不在少數。生活中，各種各樣的APP在給人們帶來(lái)便利的同時(shí)，也平添了不少煩惱。這些刪不掉的信息是否會(huì )造成安全隱患？

注銷(xiāo)賬戶(hù)不等于用戶(hù)信息被清除

“用戶(hù)因生活、工作等日常需要，會(huì )注冊很多手機APP賬戶(hù)。但在注銷(xiāo)賬戶(hù)時(shí)，時(shí)常會(huì )碰到難題，‘進(jìn)門(mén)容易出門(mén)難’的問(wèn)題一直沒(méi)有解決?！?月21日，北京理工大學(xué)軟件安全研究所副所長(cháng)閆懷志在接受科技日報記者采訪(fǎng)時(shí)說(shuō)。

用戶(hù)注銷(xiāo)APP難，究其原因，閆懷志分析，出于留住用戶(hù)目的，平臺可能不愿提供注銷(xiāo)選項。有的APP平臺雖然提供注銷(xiāo)選項，但注銷(xiāo)流程繁復。比如，注銷(xiāo)有些APP，需要在特定時(shí)間段內沒(méi)有修改綁定、更換密碼以及敏感操作等。

其次，有的APP平臺出于安全考慮（如淘寶APP），設置了較為苛刻的注銷(xiāo)條件，注銷(xiāo)門(mén)檻很高。只有在確認注銷(xiāo)操作為用戶(hù)的真實(shí)意愿且不會(huì )產(chǎn)生安全問(wèn)題和商業(yè)糾紛時(shí)，平臺才允許用戶(hù)注銷(xiāo)。

閆懷志表示，用戶(hù)注銷(xiāo)APP后，平臺有可能會(huì )留存兩類(lèi)信息：一是用戶(hù)注冊信息，如用戶(hù)名、密碼、身份證號、手機號、郵箱等基本信息；二是用戶(hù)的歷史操作信息。比如，用戶(hù)的訪(fǎng)問(wèn)信息、消費信息及支付信息等。

“需要指出的是，即便用戶(hù)成功注銷(xiāo)了APP賬戶(hù)，也只是從用戶(hù)側實(shí)現了信息的‘偽消除’。如果想徹底消除這些信息，還要依靠APP平臺自身?！遍Z懷志強調。

用戶(hù)信息多存于后臺數據庫

既然很難徹底清除，那這些信息又會(huì )被保存在哪兒？

對此，閆懷志介紹，用戶(hù)的注冊信息和歷史操作信息大多會(huì )被保存在A(yíng)PP后臺數據庫。具體而言，信息既可能被保存在平臺運營(yíng)商自己的數據中心或私有云中，也可能被保存在公有云中。此外，平臺還可能將這些信息進(jìn)行備份。

“與傳統數據中心的存儲方式不同，APP平臺使用的云存儲涉及到網(wǎng)絡(luò )設備、存儲設備、計算設備、接口設備等諸多軟硬件系統，其核心是存儲設備?！遍Z懷志說(shuō)，通常用戶(hù)資料被保存在云存儲設備，管理這一設備的是云服務(wù)提供商。負責云存儲安全的不僅有云服務(wù)提供商，還有租用云存儲服務(wù)的APP平臺運營(yíng)商。

當前，云計算服務(wù)一般有三種模式，即SaaS、PaaS和IaaS。SaaS（Software as a service）意為軟件即服務(wù)，PaaS（Platform as a Service）意為平臺即服務(wù)，IaaS（Infrastructure as a Service）意為基礎設施即服務(wù)。

“在上述三種服務(wù)模式中，云服務(wù)提供商和APP平臺運營(yíng)商對云計算資源的控制范圍是不同的?！遍Z懷志說(shuō)，這就決定了雙方承擔的責任是不同的，云服務(wù)商因完全控制云計算的設施層（物理環(huán)境）、硬件層（物理設備）和控制層，因而應對此承擔完全的安全責任。應用軟件層、軟件平臺層、虛擬化計算資源層的安全責任則由云服務(wù)提供商和APP平臺運營(yíng)商共同承擔。

信息清除不復雜 關(guān)鍵看APP運營(yíng)商

“客觀(guān)來(lái)講，由于云平臺的重要性，云服務(wù)提供商一般會(huì )在虛擬化安全、數據安全、應用安全以及管理安全等方面采取措施，以此保障云存儲的系統安全性?！遍Z懷志說(shuō)。

閆懷志認為，云平臺數據存儲的安全保護工作是一項系統工程，它涉及云計算系統物理和環(huán)境安全、網(wǎng)絡(luò )和通信安全、設備和計算安全及應用和數據安全。我國即將出臺《網(wǎng)絡(luò )安全等級保護2.0標準》，該標準對云計算安全提出了擴展要求。APP平臺運營(yíng)商如果租用云存儲設備存儲數據，也要按照相關(guān)要求承擔相應的安全責任。

其實(shí)，在賬戶(hù)被注銷(xiāo)后，想要刪除存儲在A(yíng)PP平臺的注冊信息和歷史操作信息，這一操作在技術(shù)上實(shí)現起來(lái)并不復雜。

“但問(wèn)題在于，APP平臺運營(yíng)商有無(wú)動(dòng)力和意愿去刪除這些信息。對于普通用戶(hù)來(lái)說(shuō)，幾乎沒(méi)有渠道和能力來(lái)控制。因此，必須依靠法律法規和制度，從政府監管層面來(lái)解決賬戶(hù)注銷(xiāo)和信息清除問(wèn)題?！遍Z懷志說(shuō)。

的確，工信部賽迪網(wǎng)絡(luò )安全研究所所長(cháng)劉權曾表示，國內90%的安卓手機安裝的APP都存在漏洞。

數據保護應有規可依、有規必依

在我國，公民個(gè)人信息泄露已成頑疾。業(yè)界普遍認為，我國尚未施行針對數據保護的綜合性立法，而且現有涉及數據保護的法律法規和標準的操作性不強。與國際先進(jìn)水平相比，尚存在一定的差距，尤其是在體系化、覆蓋面、深度與有效性方面差距更為明顯。

在閆懷志看來(lái)，想要切實(shí)保障數據安全，就必須構建起完善的安全保障體系。而安全保障體系的建立，離不開(kāi)信息安全法規和標準的支持。因此，在數據保護領(lǐng)域，法律法規和標準至關(guān)重要。有關(guān)數據保護的法律法規問(wèn)題涉及面很廣，它涉及到信息安全犯罪和信息隱私等問(wèn)題，需要從立法、司法等層面，逐步建立并完善針對上述問(wèn)題的防控措施，以保障網(wǎng)絡(luò )空間的數據安全。

“從數據保護的實(shí)踐上來(lái)說(shuō)，一要加快推進(jìn)相關(guān)法律、法規及標準的出臺，做到有規可依、有規必依?！遍Z懷志說(shuō)。

好在這種局面正在發(fā)生改變。1月12日，工信部就個(gè)人信息保護問(wèn)題約談百度、支付寶及今日頭條三家企業(yè)，要求其本著(zhù)充分保障用戶(hù)知情權和選擇權的原則立即進(jìn)行整改，不得收集服務(wù)所必需以外的用戶(hù)個(gè)人信息，不得將信息用于提供服務(wù)之外的目的，不得非法向他人出售或提供個(gè)人信息等。

閆懷志表示，在數據保護領(lǐng)域，可借鑒歐盟將于2018年生效的《通用數據保護條例》。同時(shí)，要加強合理運用安全技術(shù)的能力，化解數據“開(kāi)放共享”與“隱私保護”這對突出矛盾。此外，要加強相關(guān)的監管工作，切實(shí)提高用戶(hù)的安全意識和系統的安全防護水平，做到事前能預防、事發(fā)有反制、事后能補救。（付麗麗）