隨著用戶個人信息保護意識的覺醒,個人信息安全受到了前所未有的廣泛關注,2019年可以說是個人信息安全“崛起”的一年。中國信息通信研究院經過長期的檢測分析發現, 我國移動互聯網應用普遍存在隱私政策缺失、權限濫用、私自收集共享、強制定向推送等個人信息安全問題。要解決這些問題,提升APP個人信息安全能力,需要終端廠商、應用服務商、應用分發商、安全廠商全產業鏈的共同努力。
近年來,移動互聯網應用(APP)的種類和數量呈爆發式增長,移動互聯網應用作為收集用戶數據的主要入口,強制授權、過度收集等侵害用戶權益的現象層出不窮,明文傳輸、誘導下載等現象屢見不鮮,移動互聯網應用引發的安全威脅和個人信息保護風險,逐漸成為國家和社會的關注焦點,進一步推進移動互聯網應用安全和個人信息保護工作已勢在必行。
APP個人信息安全發展現狀
在5G移動通信、大數據、物聯網、人工智能等技術的推動下,我國移動互聯網產業正呈現垂直化、專業化和平臺化趨勢,對推動實體經濟轉型、促進經濟社會發展起到了基礎性的支撐作用。產業總體收入突破萬億元大關。然而,APP在豐富大眾數字生活的同時,也擴大了網絡暴露面,帶來了新威脅和新風險。
當前,企業通過APP收集用戶數據的範圍不斷擴大,隨著用戶數據使用、共享、交易的不斷深入,用戶數據已成為企業發展的重要戰略性資產。然而,企業安全意識和個人信息保護水平參差不齊,強制索權、過度收集、非授權轉移共享、個性化展示和定向推送不規範、賬戶註銷難等問題層出不窮,既嚴重威脅了廣大人民群眾的切身利益,又影響了企業的發展,甚至威脅國家的安全。
APP個人信息安全常見問題分析
隨著行業的發展及權益保障意識的提高,用戶對移動互聯網應用違規收集使用個人信息、過度索權、頻繁騷擾等侵害用戶權益的問題感受強烈。根據網絡不良與垃圾信息舉報受理中心數據顯示,近年來,APP用戶個人信息安全相關投訴量急劇上升,投訴內容涉及個人信息收集使用規則、權限申請、個人信息收集、個人信息使用、個性化服務、賬號註銷等多個方面,其中幾類問題尤為突出,賬號註銷難的比例高達30%,私自共享給第三方比例為21%,不給權限不讓用比例為14%,超範圍收集個人信息比例為11%,私自收集個人信息比例為7%,過度索取權限比例為7%,頻繁申請權限比例為1%。除了用戶感受強烈的這些表象問題,還存在更深層次的成因,本文將對移動互聯網應用常見的個人信息安全問題展開研究分析。
一是個人信息收集使用規則效果不佳。APP應公開收集、使用規則,並明示收集、使用信息的目的、方式和範圍。APP使用規則通常以隱私政策形式呈現,是APP廠商向用戶明示收集使用信息行為的主要途徑。隱私政策缺乏,隱私政策內容不清晰、用詞含糊、語義不清、冗長難懂、用戶難理解,“霸王條款”限制用戶權利,默認、強制用戶同意隱私政策,侵犯用戶選擇權等都是目前的常態化問題。
二是強制、頻繁、過度索權成為普遍現象。系統權限是終端操作系統賦予用戶的應用管控能力,對於位置、錄音、設備標識、通話記錄等敏感信息的收集,用戶可通過開啟、關閉權限進行管控。然而部分應用不給權限不讓安裝、不給權限不讓登錄、不給權限不讓使用某項無關業務,變相強制用戶授權,為肆意收集個人信息大開方便之門。同時,提前申請權限或無業務功能申請權限;權限無關場景或服務下頻繁申請權限,變相誘導用戶授權等現象也逐漸成為新的關注點。權限問題是當前用戶感受最強烈、最為集中的問題。
三是私自收集頻發,超範圍收集問題突出。用戶數據作為企業發展的重要戰略性資產,最大化收集是互聯網應用發展早期的常見現象。個人信息收集使用規則中,常見缺乏告知,或者不明確告知收集使用個人信息的目的、方式和範圍;有些APP在獲得用戶同意前,收集用戶個人信息。或在非服務所必需或無合理應用場景情況下,超範圍或超頻次收集個人信息。還有些APP在登錄時,將收集銀行卡號、身份證號、人臉、指紋等敏感信息作為應用開啟使用的前提條件,或通過積分、獎勵等方式誘導用戶輸入相關敏感信息。
四是數據共享行為不規範,缺乏約束措施。大數據技術推動了APP的深度發展,數據的交易和共享應在明示並獲得用戶同意的基礎上進行。有的用戶數據共享行為未向用戶明示;有的未經用戶同意轉移用戶個人信息。有的APP在用戶拒絕同意的情況下,依然轉移用戶數據至第三方;有的APP未對第三方數據共享行為進行安全評估,無法保障所共享用戶數據在第三方使用時的安全。
五是無開啟或關閉個性化服務選項。APP未向用戶告知並經用戶同意的情況下,收集用戶搜索、瀏覽記錄和使用習慣等個性化特徵,並將其用於定向推送服務或精準營銷等。用戶通常無法選擇是否使用或接受個性化服務及定向推送。調查發現,84.42%的應用存在未經用戶同意,強制接受個性化服務或精準營銷的現象。
六是設置不合理障礙,賬號註銷難。APP通過賬號註冊,提供更具價值的服務。為了留存用戶,在註銷環節設置各種障礙是常見現象。有的APP不提供賬號註銷服務,或應用聲明提供賬號註銷服務,但註銷入口難以尋找、註銷功能無效或跳轉到無關頁面。有的APP在用戶使用註銷功能時,註銷失敗、無響應或超出註銷承諾時限。有的APP設置指定方式、指定地點等作為註銷必要前提等。
APP個人信息安全應對策略
提升APP個人信息安全能力,加強用戶權益保護,需要全產業鏈的共同努力。
加強行業自律,明確企業主體責任。行業自律是用戶個人信息保護的關鍵,也是企業可持續發展的內在基礎。廣大應用服務和應用分發廠商應主動適應個人信息保護和數據管理新形勢新要求,嚴格遵守法律法規,貫徹落實個人信息收集使用規定,不斷完善企業內部的個人信息保護和數據管理制度,持續優化用戶隱私政策,並將個人信息保護的要求貫徹執行到規劃、開發、運營等各個環節,切實有效維護好用戶合法權益。
依託公眾監督,及時響應用戶關切。公眾監督是保障用戶權益的重要渠道,也是約束企業行為的有效方式。應用服務、應用分發平臺廠商應高度重視用戶權益保障,秉承以用戶為中心的思想,健全公眾參與監督的機制,主動關注用戶感受和體驗,尊重並保障用戶的投訴權,為用戶舉報投訴設置便捷的方式和渠道。
規範收集使用規則,落實告知同意。個人信息收集使用規則是用戶瞭解APP用戶個人信息收集使用的主要渠道,收集使用規則應包含信息收集的內容、目的、方式、範圍、頻次、保護措施。同時,個人信息收集使用規則應清晰、明確、完整、易懂。移動應用服務商應嚴格依照收集使用規則收集處理用戶個人信息,並遵循告知同意原則,在收集用戶個人信息前,明示並經用戶同意。
規範信息共享規則,明確責任歸屬。為明確責任歸屬,增加信息可追溯性。移動應用服務商應制定清晰、明確的信息共享規則,在公開、轉移、共享用戶個人信息前,應先明示用戶公開、轉移、共享的內容、對象、用途等相關信息,徵得用戶同意後,方可公開、轉移或共享信息。移動應用服務商應與共享、轉移的信息接收方訂立安全協議,明確各方信息保護責任,並督促落實。
規範推送及權限調用,加強用戶可知可控。APP通常是基於用戶畫像進行定向推送和精準營銷,APP的開發者應遵循用戶可知可控的原則,進行最小化權限申請,並提供完善的個性化推送開關選項,以有效約束在未向用戶告知或未以顯著方式標示情況下,將收集到的用戶搜索、瀏覽記錄、使用習慣等個人信息用於定向推送或精準營銷。
提高應用防護能力,保障用戶合法權益。安全防護能力是移動應用保護用戶個人信息的基礎保障。APP開發者應採取必要的手段保障應用的安全性和用戶數據的機密性、完整性和可用性。應用服務開發者應將安全編碼原則貫穿整個軟件開發週期,採用高等級API和安全SDK、適配最新操作系統及外部代碼庫,並對應用進行必要的安全加固,採用安全存儲和傳輸技術保障用戶敏感信息安全,通過完善的身份認證機制保障通信過程安全。
規範平臺信息聲明,保證下載用戶知情。應用平臺信息聲明是用戶瞭解應用基本信息的重要途徑。平臺應向用戶明示應用名稱、功能描述、卸載方法、開發者信息、應用安裝及運行所需權限列表等基礎信息,明確告知用戶應用收集使用用戶個人信息的內容、目的、方式和範圍。
完善安全審核職責,落實分發上架機制。應用分發平臺審核機制是用戶個人信息保護的重要關口。平臺應審核開發者資質和應用相關信息,制定明確的上架要求並建立完備的檢測機制,通過自動化檢測和人工審核等手段,對應用收集使用用戶個人信息的行為進行規範。並對應用進行跟蹤監測和管控,定期對已上架的應用進行復查,發現問題立即下架。
健全投訴反饋渠道,配合監管落實規範。應用分發平臺承擔連接用戶、應用及終端的橋樑責任,是用戶個人信息保護工作的重要環節。應用分發平臺應建立多種渠道,及時接收和反映用戶的建議和投訴,並通過既定的規則流程,及時響應用戶投訴和應用侵權審核情況。
加強多方溝通協調,強化產業協作體系。針對當前用戶普遍關注的移動互聯網應用用戶個人信息安全問題,移動互聯網產業界應積極響應產業訴求,加強終端廠商、應用服務商、應用分發商、安全廠商等多方面的溝通協調,在設備安全、應用安全、數據安全等多方面加強交流合作,共享技術經驗,制定行業標準規範,強化產業協作體系,保障移動互聯網應用用戶個人信息安全。
閱讀更多 中國消費品質量安全 的文章
