小王這幾天有點煩。他想注銷掉一款APP，卻發現怎麽(me) 也注銷不掉。“賬戶信息被永久保存在這個(ge) APP裏，很擔心個(ge) 人隱私會(hui) 被泄露出去。”小王說。

像小王這樣的人不在少數。生活中，各種各樣的APP在給人們(men) 帶來便利的同時，也平添了不少煩惱。這些刪不掉的信息是否會(hui) 造成安全隱患？

注銷賬戶不等於(yu) 用戶信息被清除

“用戶因生活、工作等日常需要，會(hui) 注冊(ce) 很多手機APP賬戶。但在注銷賬戶時，時常會(hui) 碰到難題，‘進門容易出門難’的問題一直沒有解決(jue) 。”1月21日，北京理工大學軟件安全研究所副所長閆懷誌在接受科技日報記者采訪時說。

用戶注銷APP難，究其原因，閆懷誌分析，出於(yu) 留住用戶目的，平台可能不願提供注銷選項。有的APP平台雖然提供注銷選項，但注銷流程繁複。比如，注銷有些APP，需要在特定時間段內(nei) 沒有修改綁定、更換密碼以及敏感操作等。

其次，有的APP平台出於(yu) 安全考慮(如淘寶APP)，設置了較為(wei) 苛刻的注銷條件，注銷門檻很高。隻有在確認注銷操作為(wei) 用戶的真實意願且不會(hui) 產(chan) 生安全問題和商業(ye) 糾紛時，平台才允許用戶注銷。

閆懷誌表示，用戶注銷APP後，平台有可能會(hui) 留存兩(liang) 類信息：一是用戶注冊(ce) 信息，如用戶名、密碼、身份證號、手機號、郵箱等基本信息；二是用戶的曆史操作信息。比如，用戶的訪問信息、消費信息及支付信息等。

“需要指出的是，即便用戶成功注銷了APP賬戶，也隻是從(cong) 用戶側(ce) 實現了信息的‘偽(wei) 消除’。如果想徹底消除這些信息，還要依靠APP平台自身。”閆懷誌強調。

用戶信息多存於(yu) 後台數據庫

既然很難徹底清除，那這些信息又會(hui) 被保存在哪兒(er) ？

對此，閆懷誌介紹，用戶的注冊(ce) 信息和曆史操作信息大多會(hui) 被保存在APP後台數據庫。具體(ti) 而言，信息既可能被保存在平台運營商自己的數據中心或私有雲(yun) 中，也可能被保存在公有雲(yun) 中。此外，平台還可能將這些信息進行備份。

“與(yu) 傳(chuan) 統數據中心的存儲(chu) 方式不同，APP平台使用的雲(yun) 存儲(chu) 涉及到網絡設備、存儲(chu) 設備、計算設備、接口設備等諸多軟硬件係統，其核心是存儲(chu) 設備。”閆懷誌說，通常用戶資料被保存在雲(yun) 存儲(chu) 設備，管理這一設備的是雲(yun) 服務提供商。負責雲(yun) 存儲(chu) 安全的不僅(jin) 有雲(yun) 服務提供商，還有租用雲(yun) 存儲(chu) 服務的APP平台運營商。

當前，雲(yun) 計算服務一般有三種模式，即SaaS、PaaS和IaaS。SaaS(Software as a service)意為(wei) 軟件即服務，PaaS(Platform as a Service)意為(wei) 平台即服務，IaaS(Infrastructure as a Service)意為(wei) 基礎設施即服務。

“在上述三種服務模式中，雲(yun) 服務提供商和APP平台運營商對雲(yun) 計算資源的控製範圍是不同的。”閆懷誌說，這就決(jue) 定了雙方承擔的責任是不同的，雲(yun) 服務商因完全控製雲(yun) 計算的設施層(物理環境)、硬件層(物理設備)和控製層，因而應對此承擔完全的安全責任。應用軟件層、軟件平台層、虛擬化計算資源層的安全責任則由雲(yun) 服務提供商和APP平台運營商共同承擔。

信息清除不複雜 關(guan) 鍵看APP運營商

“客觀來講，由於(yu) 雲(yun) 平台的重要性，雲(yun) 服務提供商一般會(hui) 在虛擬化安全、數據安全、應用安全以及管理安全等方麵采取措施，以此保障雲(yun) 存儲(chu) 的係統安全性。”閆懷誌說。

閆懷誌認為(wei) ，雲(yun) 平台數據存儲(chu) 的安全保護工作是一項係統工程，它涉及雲(yun) 計算係統物理和環境安全、網絡和通信安全、設備和計算安全及應用和數據安全。我國即將出台《網絡安全等級保護2.0標準》，該標準對雲(yun) 計算安全提出了擴展要求。APP平台運營商如果租用雲(yun) 存儲(chu) 設備存儲(chu) 數據，也要按照相關(guan) 要求承擔相應的安全責任。

其實，在賬戶被注銷後，想要刪除存儲(chu) 在APP平台的注冊(ce) 信息和曆史操作信息，這一操作在技術上實現起來並不複雜。

“但問題在於(yu) ，APP平台運營商有無動力和意願去刪除這些信息。對於(yu) 普通用戶來說，幾乎沒有渠道和能力來控製。因此，必須依靠法律法規和製度，從(cong) 政府監管層麵來解決(jue) 賬戶注銷和信息清除問題。”閆懷誌說。

的確，工信部賽迪網絡安全研究所所長劉權曾表示，國內(nei) 90%的安卓手機安裝的APP都存在漏洞。

數據保護應有規可依、有規必依

在我國，公民個(ge) 人信息泄露已成頑疾。業(ye) 界普遍認為(wei) ，我國尚未施行針對數據保護的綜合性立法，而且現有涉及數據保護的法律法規和標準的操作性不強。與(yu) 國際先進水平相比，尚存在一定的差距，尤其是在體(ti) 係化、覆蓋麵、深度與(yu) 有效性方麵差距更為(wei) 明顯。

在閆懷誌看來，想要切實保障數據安全，就必須構建起完善的安全保障體(ti) 係。而安全保障體(ti) 係的建立，離不開信息安全法規和標準的支持。因此，在數據保護領域，法律法規和標準至關(guan) 重要。有關(guan) 數據保護的法律法規問題涉及麵很廣，它涉及到信息安全犯罪和信息隱私等問題，需要從(cong) 立法、司法等層麵，逐步建立並完善針對上述問題的防控措施，以保障網絡空間的數據安全。

“從(cong) 數據保護的實踐上來說，一要加快推進相關(guan) 法律、法規及標準的出台，做到有規可依、有規必依。”閆懷誌說。

好在這種局麵正在發生改變。1月12日，工信部就個(ge) 人信息保護問題約談百度、支付寶及今日頭條三家企業(ye) ，要求其本著充分保障用戶知情權和選擇權的原則立即進行整改，不得收集服務所必需以外的用戶個(ge) 人信息，不得將信息用於(yu) 提供服務之外的目的，不得非法向他人出售或提供個(ge) 人信息等。

閆懷誌表示，在數據保護領域，可借鑒歐盟將於(yu) 2018年生效的《通用數據保護條例》。同時，要加強合理運用安全技術的能力，化解數據“開放共享”與(yu) “隱私保護”這對突出矛盾。此外，要加強相關(guan) 的監管工作，切實提高用戶的安全意識和係統的安全防護水平，做到事前能預防、事發有反製、事後能補救。