小王這幾天有點煩。他想注銷掉一款APP，卻發(fā)現(xiàn)怎么也注銷不掉?！百~戶信息被永久保存在這個APP里，很擔心個人隱私會被泄露出去?！毙⊥跽f。

像小王這樣的人不在少數(shù)。生活中，各種各樣的APP在給人們帶來便利的同時，也平添了不少煩惱。這些刪不掉的信息是否會造成安全隱患？

注銷賬戶不等于用戶信息被清除

“用戶因生活、工作等日常需要，會注冊很多手機APP賬戶。但在注銷賬戶時，時常會碰到難題，‘進門容易出門難’的問題一直沒有解決?！?月21日，北京理工大學軟件安全研究所副所長閆懷志在接受科技日報記者采訪時說。

用戶注銷APP難，究其原因，閆懷志分析，出于留住用戶目的，平臺可能不愿提供注銷選項。有的APP平臺雖然提供注銷選項，但注銷流程繁復。比如，注銷有些APP，需要在特定時間段內(nèi)沒有修改綁定、更換密碼以及敏感操作等。

其次，有的APP平臺出于安全考慮(如淘寶APP)，設置了較為苛刻的注銷條件，注銷門檻很高。只有在確認注銷操作為用戶的真實意愿且不會產(chǎn)生安全問題和商業(yè)糾紛時，平臺才允許用戶注銷。

閆懷志表示，用戶注銷APP后，平臺有可能會留存兩類信息：一是用戶注冊信息，如用戶名、密碼、身份證號、手機號、郵箱等基本信息；二是用戶的歷史操作信息。比如，用戶的訪問信息、消費信息及支付信息等。

“需要指出的是，即便用戶成功注銷了APP賬戶，也只是從用戶側實現(xiàn)了信息的‘偽消除’。如果想徹底消除這些信息，還要依靠APP平臺自身?！遍Z懷志強調(diào)。

用戶信息多存于后臺數(shù)據(jù)庫

既然很難徹底清除，那這些信息又會被保存在哪兒？

對此，閆懷志介紹，用戶的注冊信息和歷史操作信息大多會被保存在APP后臺數(shù)據(jù)庫。具體而言，信息既可能被保存在平臺運營商自己的數(shù)據(jù)中心或私有云中，也可能被保存在公有云中。此外，平臺還可能將這些信息進行備份。

“與傳統(tǒng)數(shù)據(jù)中心的存儲方式不同，APP平臺使用的云存儲涉及到網(wǎng)絡設備、存儲設備、計算設備、接口設備等諸多軟硬件系統(tǒng)，其核心是存儲設備?！遍Z懷志說，通常用戶資料被保存在云存儲設備，管理這一設備的是云服務提供商。負責云存儲安全的不僅有云服務提供商，還有租用云存儲服務的APP平臺運營商。

當前，云計算服務一般有三種模式，即SaaS、PaaS和IaaS。SaaS(Software as a service)意為軟件即服務，PaaS(Platform as a Service)意為平臺即服務，IaaS(Infrastructure as a Service)意為基礎設施即服務。

“在上述三種服務模式中，云服務提供商和APP平臺運營商對云計算資源的控制范圍是不同的?！遍Z懷志說，這就決定了雙方承擔的責任是不同的，云服務商因完全控制云計算的設施層(物理環(huán)境)、硬件層(物理設備)和控制層，因而應對此承擔完全的安全責任。應用軟件層、軟件平臺層、虛擬化計算資源層的安全責任則由云服務提供商和APP平臺運營商共同承擔。

信息清除不復雜 關鍵看APP運營商

“客觀來講，由于云平臺的重要性，云服務提供商一般會在虛擬化安全、數(shù)據(jù)安全、應用安全以及管理安全等方面采取措施，以此保障云存儲的系統(tǒng)安全性?！遍Z懷志說。

閆懷志認為，云平臺數(shù)據(jù)存儲的安全保護工作是一項系統(tǒng)工程，它涉及云計算系統(tǒng)物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全及應用和數(shù)據(jù)安全。我國即將出臺《網(wǎng)絡安全等級保護2.0標準》，該標準對云計算安全提出了擴展要求。APP平臺運營商如果租用云存儲設備存儲數(shù)據(jù)，也要按照相關要求承擔相應的安全責任。

其實，在賬戶被注銷后，想要刪除存儲在APP平臺的注冊信息和歷史操作信息，這一操作在技術上實現(xiàn)起來并不復雜。

“但問題在于，APP平臺運營商有無動力和意愿去刪除這些信息。對于普通用戶來說，幾乎沒有渠道和能力來控制。因此，必須依靠法律法規(guī)和制度，從政府監(jiān)管層面來解決賬戶注銷和信息清除問題?！遍Z懷志說。

的確，工信部賽迪網(wǎng)絡安全研究所所長劉權曾表示，國內(nèi)90%的安卓手機安裝的APP都存在漏洞。

數(shù)據(jù)保護應有規(guī)可依、有規(guī)必依

在我國，公民個人信息泄露已成頑疾。業(yè)界普遍認為，我國尚未施行針對數(shù)據(jù)保護的綜合性立法，而且現(xiàn)有涉及數(shù)據(jù)保護的法律法規(guī)和標準的操作性不強。與國際先進水平相比，尚存在一定的差距，尤其是在體系化、覆蓋面、深度與有效性方面差距更為明顯。

在閆懷志看來，想要切實保障數(shù)據(jù)安全，就必須構建起完善的安全保障體系。而安全保障體系的建立，離不開信息安全法規(guī)和標準的支持。因此，在數(shù)據(jù)保護領域，法律法規(guī)和標準至關重要。有關數(shù)據(jù)保護的法律法規(guī)問題涉及面很廣，它涉及到信息安全犯罪和信息隱私等問題，需要從立法、司法等層面，逐步建立并完善針對上述問題的防控措施，以保障網(wǎng)絡空間的數(shù)據(jù)安全。

“從數(shù)據(jù)保護的實踐上來說，一要加快推進相關法律、法規(guī)及標準的出臺，做到有規(guī)可依、有規(guī)必依?！遍Z懷志說。

好在這種局面正在發(fā)生改變。1月12日，工信部就個人信息保護問題約談百度、支付寶及今日頭條三家企業(yè)，要求其本著充分保障用戶知情權和選擇權的原則立即進行整改，不得收集服務所必需以外的用戶個人信息，不得將信息用于提供服務之外的目的，不得非法向他人出售或提供個人信息等。

閆懷志表示，在數(shù)據(jù)保護領域，可借鑒歐盟將于2018年生效的《通用數(shù)據(jù)保護條例》。同時，要加強合理運用安全技術的能力，化解數(shù)據(jù)“開放共享”與“隱私保護”這對突出矛盾。此外，要加強相關的監(jiān)管工作，切實提高用戶的安全意識和系統(tǒng)的安全防護水平，做到事前能預防、事發(fā)有反制、事后能補救。