今日頭條
官方微信
官方抖音
資訊頻道隨著用戶個人信息保護意識的覺醒,個人信息安全受到了前所未有的廣泛關注,2019年可以說是個人信息安全“崛起”的一年。中國信息通信研究院經(jīng)過長期的檢測分析發(fā)現(xiàn),
我國移動互聯(lián)網(wǎng)應用普遍存在隱私政策缺失、權限濫用、私自收集共享、強制定向推送等個人信息安全問題。要解決這些問題,提升APP個人信息安全能力,需要終端廠商、應用服務商、應用分發(fā)商、安全廠商全產(chǎn)業(yè)鏈的共同努力。 近年來,移動互聯(lián)網(wǎng)應用(APP)的種類和數(shù)量呈爆發(fā)式增長,移動互聯(lián)網(wǎng)應用作為收集用戶數(shù)據(jù)的主要入口,強制授權、過度收集等侵害用戶權益的現(xiàn)象層出不窮,明文傳輸、誘導下載等現(xiàn)象屢見不鮮,移動互聯(lián)網(wǎng)應用引發(fā)的安全威脅和個人信息保護風險,逐漸成為國家和社會的關注焦點,進一步推進移動互聯(lián)網(wǎng)應用安全和個人信息保護工作已勢在必行。 APP個人信息安全發(fā)展現(xiàn)狀 在5G移動通信、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等技術的推動下,我國移動互聯(lián)網(wǎng)產(chǎn)業(yè)正呈現(xiàn)垂直化、專業(yè)化和平臺化趨勢,對推動實體經(jīng)濟轉型、促進經(jīng)濟社會發(fā)展起到了基礎性的支撐作用。產(chǎn)業(yè)總體收入突破萬億元大關。然而,APP在豐富大眾數(shù)字生活的同時,也擴大了網(wǎng)絡暴露面,帶來了新威脅和新風險。 當前,企業(yè)通過APP收集用戶數(shù)據(jù)的范圍不斷擴大,隨著用戶數(shù)據(jù)使用、共享、交易的不斷深入,用戶數(shù)據(jù)已成為企業(yè)發(fā)展的重要戰(zhàn)略性資產(chǎn)。然而,企業(yè)安全意識和個人信息保護水平參差不齊,強制索權、過度收集、非授權轉移共享、個性化展示和定向推送不規(guī)范、賬戶注銷難等問題層出不窮,既嚴重威脅了廣大人民群眾的切身利益,又影響了企業(yè)的發(fā)展,甚至威脅國家的安全。 APP個人信息安全常見問題分析 隨著行業(yè)的發(fā)展及權益保障意識的提高,用戶對移動互聯(lián)網(wǎng)應用違規(guī)收集使用個人信息、過度索權、頻繁騷擾等侵害用戶權益的問題感受強烈。根據(jù)網(wǎng)絡不良與垃圾信息舉報受理中心數(shù)據(jù)顯示,近年來,APP用戶個人信息安全相關投訴量急劇上升,投訴內容涉及個人信息收集使用規(guī)則、權限申請、個人信息收集、個人信息使用、個性化服務、賬號注銷等多個方面,其中幾類問題尤為突出,賬號注銷難的比例高達30%,私自共享給第三方比例為21%,不給權限不讓用比例為14%,超范圍收集個人信息比例為11%,私自收集個人信息比例為7%,過度索取權限比例為7%,頻繁申請權限比例為1%。除了用戶感受強烈的這些表象問題,還存在更深層次的成因,本文將對移動互聯(lián)網(wǎng)應用常見的個人信息安全問題展開研究分析。 一是個人信息收集使用規(guī)則效果不佳。APP應公開收集、使用規(guī)則,并明示收集、使用信息的目的、方式和范圍。APP使用規(guī)則通常以隱私政策形式呈現(xiàn),是APP廠商向用戶明示收集使用信息行為的主要途徑。隱私政策缺乏,隱私政策內容不清晰、用詞含糊、語義不清、冗長難懂、用戶難理解,“霸王條款”限制用戶權利,默認、強制用戶同意隱私政策,侵犯用戶選擇權等都是目前的常態(tài)化問題。 二是強制、頻繁、過度索權成為普遍現(xiàn)象。系統(tǒng)權限是終端操作系統(tǒng)賦予用戶的應用管控能力,對于位置、錄音、設備標識、通話記錄等敏感信息的收集,用戶可通過開啟、關閉權限進行管控。然而部分應用不給權限不讓安裝、不給權限不讓登錄、不給權限不讓使用某項無關業(yè)務,變相強制用戶授權,為肆意收集個人信息大開方便之門。同時,提前申請權限或無業(yè)務功能申請權限;權限無關場景或服務下頻繁申請權限,變相誘導用戶授權等現(xiàn)象也逐漸成為新的關注點。權限問題是當前用戶感受最強烈、最為集中的問題。 三是私自收集頻發(fā),超范圍收集問題突出。用戶數(shù)據(jù)作為企業(yè)發(fā)展的重要戰(zhàn)略性資產(chǎn),最大化收集是互聯(lián)網(wǎng)應用發(fā)展早期的常見現(xiàn)象。個人信息收集使用規(guī)則中,常見缺乏告知,或者不明確告知收集使用個人信息的目的、方式和范圍;有些APP在獲得用戶同意前,收集用戶個人信息。或在非服務所必需或無合理應用場景情況下,超范圍或超頻次收集個人信息。還有些APP在登錄時,將收集銀行卡號、身份證號、人臉、指紋等敏感信息作為應用開啟使用的前提條件,或通過積分、獎勵等方式誘導用戶輸入相關敏感信息。 四是數(shù)據(jù)共享行為不規(guī)范,缺乏約束措施。大數(shù)據(jù)技術推動了APP的深度發(fā)展,數(shù)據(jù)的交易和共享應在明示并獲得用戶同意的基礎上進行。有的用戶數(shù)據(jù)共享行為未向用戶明示;有的未經(jīng)用戶同意轉移用戶個人信息。有的APP在用戶拒絕同意的情況下,依然轉移用戶數(shù)據(jù)至第三方;有的APP未對第三方數(shù)據(jù)共享行為進行安全評估,無法保障所共享用戶數(shù)據(jù)在第三方使用時的安全。 五是無開啟或關閉個性化服務選項。APP未向用戶告知并經(jīng)用戶同意的情況下,收集用戶搜索、瀏覽記錄和使用習慣等個性化特征,并將其用于定向推送服務或精準營銷等。用戶通常無法選擇是否使用或接受個性化服務及定向推送。調查發(fā)現(xiàn),84.42%的應用存在未經(jīng)用戶同意,強制接受個性化服務或精準營銷的現(xiàn)象。 六是設置不合理障礙,賬號注銷難。APP通過賬號注冊,提供更具價值的服務。為了留存用戶,在注銷環(huán)節(jié)設置各種障礙是常見現(xiàn)象。有的APP不提供賬號注銷服務,或應用聲明提供賬號注銷服務,但注銷入口難以尋找、注銷功能無效或跳轉到無關頁面。有的APP在用戶使用注銷功能時,注銷失敗、無響應或超出注銷承諾時限。有的APP設置指定方式、指定地點等作為注銷必要前提等。 APP個人信息安全應對策略 提升APP個人信息安全能力,加強用戶權益保護,需要全產(chǎn)業(yè)鏈的共同努力。 加強行業(yè)自律,明確企業(yè)主體責任。行業(yè)自律是用戶個人信息保護的關鍵,也是企業(yè)可持續(xù)發(fā)展的內在基礎。廣大應用服務和應用分發(fā)廠商應主動適應個人信息保護和數(shù)據(jù)管理新形勢新要求,嚴格遵守法律法規(guī),貫徹落實個人信息收集使用規(guī)定,不斷完善企業(yè)內部的個人信息保護和數(shù)據(jù)管理制度,持續(xù)優(yōu)化用戶隱私政策,并將個人信息保護的要求貫徹執(zhí)行到規(guī)劃、開發(fā)、運營等各個環(huán)節(jié),切實有效維護好用戶合法權益。 依托公眾監(jiān)督,及時響應用戶關切。公眾監(jiān)督是保障用戶權益的重要渠道,也是約束企業(yè)行為的有效方式。應用服務、應用分發(fā)平臺廠商應高度重視用戶權益保障,秉承以用戶為中心的思想,健全公眾參與監(jiān)督的機制,主動關注用戶感受和體驗,尊重并保障用戶的投訴權,為用戶舉報投訴設置便捷的方式和渠道。 規(guī)范收集使用規(guī)則,落實告知同意。個人信息收集使用規(guī)則是用戶了解APP用戶個人信息收集使用的主要渠道,收集使用規(guī)則應包含信息收集的內容、目的、方式、范圍、頻次、保護措施。同時,個人信息收集使用規(guī)則應清晰、明確、完整、易懂。移動應用服務商應嚴格依照收集使用規(guī)則收集處理用戶個人信息,并遵循告知同意原則,在收集用戶個人信息前,明示并經(jīng)用戶同意。 規(guī)范信息共享規(guī)則,明確責任歸屬。為明確責任歸屬,增加信息可追溯性。移動應用服務商應制定清晰、明確的信息共享規(guī)則,在公開、轉移、共享用戶個人信息前,應先明示用戶公開、轉移、共享的內容、對象、用途等相關信息,征得用戶同意后,方可公開、轉移或共享信息。移動應用服務商應與共享、轉移的信息接收方訂立安全協(xié)議,明確各方信息保護責任,并督促落實。 規(guī)范推送及權限調用,加強用戶可知可控。APP通常是基于用戶畫像進行定向推送和精準營銷,APP的開發(fā)者應遵循用戶可知可控的原則,進行最小化權限申請,并提供完善的個性化推送開關選項,以有效約束在未向用戶告知或未以顯著方式標示情況下,將收集到的用戶搜索、瀏覽記錄、使用習慣等個人信息用于定向推送或精準營銷。 提高應用防護能力,保障用戶合法權益。安全防護能力是移動應用保護用戶個人信息的基礎保障。APP開發(fā)者應采取必要的手段保障應用的安全性和用戶數(shù)據(jù)的機密性、完整性和可用性。應用服務開發(fā)者應將安全編碼原則貫穿整個軟件開發(fā)周期,采用高等級API和安全SDK、適配最新操作系統(tǒng)及外部代碼庫,并對應用進行必要的安全加固,采用安全存儲和傳輸技術保障用戶敏感信息安全,通過完善的身份認證機制保障通信過程安全。 規(guī)范平臺信息聲明,保證下載用戶知情。應用平臺信息聲明是用戶了解應用基本信息的重要途徑。平臺應向用戶明示應用名稱、功能描述、卸載方法、開發(fā)者信息、應用安裝及運行所需權限列表等基礎信息,明確告知用戶應用收集使用用戶個人信息的內容、目的、方式和范圍。 完善安全審核職責,落實分發(fā)上架機制。應用分發(fā)平臺審核機制是用戶個人信息保護的重要關口。平臺應審核開發(fā)者資質和應用相關信息,制定明確的上架要求并建立完備的檢測機制,通過自動化檢測和人工審核等手段,對應用收集使用用戶個人信息的行為進行規(guī)范。并對應用進行跟蹤監(jiān)測和管控,定期對已上架的應用進行復查,發(fā)現(xiàn)問題立即下架。 健全投訴反饋渠道,配合監(jiān)管落實規(guī)范。應用分發(fā)平臺承擔連接用戶、應用及終端的橋梁責任,是用戶個人信息保護工作的重要環(huán)節(jié)。應用分發(fā)平臺應建立多種渠道,及時接收和反映用戶的建議和投訴,并通過既定的規(guī)則流程,及時響應用戶投訴和應用侵權審核情況。 加強多方溝通協(xié)調,強化產(chǎn)業(yè)協(xié)作體系。針對當前用戶普遍關注的移動互聯(lián)網(wǎng)應用用戶個人信息安全問題,移動互聯(lián)網(wǎng)產(chǎn)業(yè)界應積極響應產(chǎn)業(yè)訴求,加強終端廠商、應用服務商、應用分發(fā)商、安全廠商等多方面的溝通協(xié)調,在設備安全、應用安全、數(shù)據(jù)安全等多方面加強交流合作,共享技術經(jīng)驗,制定行業(yè)標準規(guī)范,強化產(chǎn)業(yè)協(xié)作體系,保障移動互聯(lián)網(wǎng)應用用戶個人信息安全。 來源:質量與認證
北京市公安局海淀分局備案號:11010802023656號