文│ 中国信息通信研究院安全所 王然 陈湉

App治理工作已经成为2019年社会各界关注的工作重点,本文将分析目前App在收集使用个人信息过程中普遍存在的问题,然后针对这些安全问题和现有的法律法规及评估规范,分析App治理工作中的重点和难点,最后通过对问题和治理要点的分析,提出App治理工作建议,为治理App违法违规收集使用个人信息工作提供一些思路。

一、App收集使用个人信息过程中存在的问题分

近年来,App违法违规收集使用个人信息受到社会各界的广泛关注,政府部门意识到个人信息保护的重要性,正在加大对App治理工作的投入。但是,App在收集使用个人信息过程中依然普遍存在一些问题,突出表现在以下四方面。

1. 隐私政策不清晰、不完整问题普遍存在

随着《网络安全法》的正式实施,大部分App运营者已经意识到个人信息保护的重要性并制定了隐私政策进行公开发布,但仍有少量的App未以单独成文的形式发布隐私政策,而是作为用户协议、用户说明等文件中的一部分存在,甚至无隐私政策。虽然在法律法规中没有明文规定必须具有隐私政策,但是却可以看出App运营者对于个人信息保护的重视程度明显不足。除此之外,目前虽然大部分App已经制定了单独成文的隐私政策,但是几乎所有App的隐私政策都存在描述不清晰、不完整的问题,未能逐一说明App涉及收集个人信息的各项业务功能及其收集的个人信息类型,也未能清晰完整地描述个人信息处理规则及用户相关权益。隐私政策起到告知用户的作用,若隐私政策描述模糊不清,用户无从知晓自身的个人信息是如何被收集使用的,更无法确保个人信息的安全性。

2. 未经用户明示同意隐蔽收集个人信息的问题突出

通过媒体曝光、用户投诉等渠道发现,大量App在未经用户明示同意的情况下开始收集并上传用户的个人信息,包括但不限于:手机号、IP地址、手机品牌和型号、设备IMEI号、SIM卡IMSI号、Mac地址、网络使用环境、账号和密码等信息。通常采用开启高危权限、使用Cookie及其同类技术等方式隐蔽收集个人信息。通过技术检测发现,80%及以上App存在默认开启“开机自启动”高危权限,无论用户是否在使用App,该App都可以调用用户已经允许的权限收集个人信息,并上传至远程服务器。甚至,某些App存在尝试非法获取超级权限的行为,获得root权限之后就意味着已经获得了系统的最高权限,可以对系统中的任何文件(包括系统文件)执行所有增、删、改、查的操作。除此之外,Cookie是当前识别用户,实现持久会话的最好方式,会话Cookie可以记录用户访问站点时的设置和偏好。一些App就是利用Cookie的这种特点,为了能够收集更多用户信息进行用户分析谋取更大利益,使用Cookie及其同类技术隐蔽收集可记录个人行为、标识个人身份的个人信息。

3. 大量App嵌入第三方SDK(Software Development Kit)存在较为严重的安全隐患

App运营者为了节约开发成本、提高工作效率,一般都会使用多种第三方的SDK。而第三方的SDK开发侧重于功能性的完善,在安全性方面的投入较少,导致App使用第三方SDK存在一些安全问题。首先,SDK自身安全性令人担忧。目前,有超过60%的SDK含有多种漏洞(例如:HTTP的误用,SSL/TLS的不正确配置,敏感权限滥用,身份识别,通过日志造成信息泄露),且由于SDK被广泛使用到大量的App中,造成漏洞的影响范围非常大。其次,SDK普遍存在隐瞒收集用户个人信息的行为。App对嵌入的第三方SDK未采取任何明示方式告知用户SDK收集个人信息目的、方式、范围,利用第三方SDK隐瞒收集个人信息标识、轨迹、个人偏好、网络设备信息等类型的个人信息,并向远程服务器甚至境外服务器进行回传。近日,通过第三方SDK隐瞒收集个人信息的安全事件不断被曝光。杭州顺网科技被曝利用SDK隐瞒收集联系人,QQ登录信息、位置信息并上传至远程服务器;Facebook被曝光在未告知用户的情况下,利用App Events统计分析工具从11个应用程序中收集用户敏感信息。

4. 以捆绑形式获得授权成为App运营者的惯常做法

近年来,随着智能手机功能的不断强大,App提供的功能也不再单一化,App运营者为了谋求利益最大化,通常将多种业务功能集中开发到一款App中。并且这些扩展的业务功能大多数与其基本的业务功能无任何相关性。App的惯常做法是在用户首次使用App时,未经用户对业务功能逐项同意,甚至未在隐私政策中说明所有的业务功能,便一次性开启多项业务功能或其对应的权限,且用户无法撤回这些业务功能或其对应系统权限的授权,即将所有扩展的业务功能与基本功能进行了绑定,要求用户“一揽子”接受所有业务功能。甚至有App存在更为严重的账号捆绑行为,未经用户明示同意将设备号与App账号进行绑定,在使用该企业其他App时,在用户未注册的情况下直接使用该企业注册过的其他账号进行了登录。以捆绑形式获得授权的这种做法不仅违反了《网络安全法》关于明示告知的相关规定,也增加了个人信息泄露、滥用的安全风险。

二、App治理工作中的要点分析

2019年3月1日,App违法违规收集使用个人信息专项治理工作组(以下简称“App专项治理工作组”)发布了《App违法违规收集使用个人信息自评估指南》(以下简称“《自评估指南》”),依据《网络安全法》和《信息安全技术 个人信息安全规范》修订版草案,制定了自评估内容。虽然《自评估指南》是指导App运营者进行自查工作,但从中也可看出目前政府监管部门开展App治理工作中的重点和难点。因此,本章将针对App普遍存在的安全问题以及《自评估指南》具体内容分析,归纳总结出在App治理工作中的三个要点。

1. 隐私政策文本核查是App治理工作的重中之重

《网络安全法》第四十一条中明确规定网络运营者有向用户明确告知的义务,而隐私政策又是App运营者告知用户其个人信息收集和使用规则的惯常做法,在告知用户并获得用户授权同意方面发挥主要作用。同时,通过分析《自评估指南》发现,该指南共分为32个评估点,其中有19个评估点是针对隐私政策文本的,从“隐私政策的独立性、易读性”、“清晰说明各项业务功能及所收集个人信息类型”、“清晰说明个人信息处理规则及用户权益保障”、“不应在隐私政策等文件中设置不合理条款”四个方面提出具体评估标准。因此,无论是从《网络安全法》和《自评估指南》的相关规范要求来看,还是从第二章分析出的App隐私政策文本现状看,隐私政策文本核查自始至终都将是App治理工作中的首要任务。

2. 掌控收集个人信息的实际情况是App治理工作中的难点

虽然近年来App运营者已经逐渐意识到制定和公开隐私政策的重要性,但仍然存在“挂羊头,卖狗肉”的现象,隐瞒收集、超范围收集的问题依然普遍存在,与其在隐私政策中宣称的收集使用个人信息的目的、方式、范围存在明显出入。针对此类问题,App专项治理工作组在《自评估指南》第二部分“App收集使用个人信息行为”评估项7中的评估点25提出了“各业务功能实际收集的个人信息类型应与隐私政策所描述内容一致,不应超出隐私政策所描述范围”相关评估要求。由此可以看出,政府监管部门已将收集个人信息的实际情况作为重点纳入到App治理工作中。同时,通过本文第二章的问题分析可以看出,App可以采用多种方式隐蔽收集个人信息,在App治理评估过程中很难全面掌控App实际收集个人信息的情况。因此,对于App实际收集个人信息的评估验证才是App治理工作的难点。

3. 第三方收集个人信息的行为将在App治理工作中受到重点关注

目前,App运营者为了提升效率,降低成本,常常在开发过程中嵌入第三方代码(SDK开发包)、插件等。但是,通过本文第二章的问题分析可知,App嵌入第三方代码存在隐蔽收集个人信息的问题,这不仅损害了用户知情权,而且也违反了《网络安全法》相关规定。同时,针对此类问题暴露出的安全事件也逐渐增多,监管部门已逐渐意识到应将第三方SDK纳入监管范畴。因此,App专项治理工作组在《自评估指南》中第二部分“App收集使用个人信息行为”评估项5中的评估点22明确提出了“如果通过嵌入第三方代码、插件等方式将个人信息传输至第三方服务器,应通过弹窗提示等方式明确告知用户”相关评估要求。通过以上分析可知,第三方代码违法违规收集个人信息也将成为App治理工作中需重点解决的问题之一。

三、App治理工作综合建议

通过分析App普遍存在的问题以及App治理工作中的重点和难点,本文将从立法、监管、App运营者、广大网民这四个角度提出App治理工作建议。

1. 建议加快个人信息保护法的立法进程,使个人信息治理工作有法可依

我国对个人信息在法律层面的保护越来越严格,但现有对于个人信息保护的法律法规相对分散,仍难以全面满足个人信息保护的实际需求。因此,在十三届全国人大二次会议新闻发布会上也提出相关部门应抓紧研究和起草个人信息保护法,争取早日出台。通过立法进一步细化App运营者收集使用用户个人信息的规范,明确其对收集的个人信息的保护义务及采取的安全措施,对于违法违规收集使用个人信息应当承担的责任等。通过立法不仅可以规范App运营者收集使用个人信息的行为,也可使得个人信息治理工作有法可依。

2. 建议监管部门完善个人信息保护常态化监管机制,鼓励行业协会制定行为准则

随着新技术新业务的不断发展,App应用领域将越来越广泛,违法违规收集使用个人信息的问题短期内可能无法得到根本解决,监管部门需要建立常态化监督管理机制,对违法违规收集使用个人信息进行持续监管,加大处罚力度。此外,相关行业协会或社会组织可以主动发挥平台作用,推动各利益相关方共同制定个人信息收集使用行为准则,推广宣传相关最佳实践,带动提升App个人信息保护整体水平。

3. 建议App运营者建立个人信息保护机制,开展个人信息保护自评估工作

App运营者首先应建立企业内部的个人信息保护机制,规范个人信息收集使用行为。其次,《公告》倡导App运营者在收集使用个人信息时,应严格履行《网络安全法》规定的责任义务,对收集使用的个人信息安全负责,采取有效措施加强个人信息保护。同时,App运营者可参照在网上公开发布的《自评估指南》,尽快对App收集使用个人信息的情况进行自评估,对发现的问题和安全隐患及时整改。

4. 建议广大网民增强安全意识,通过举报投诉渠道维护自身合法权益

对广大网民而言,首先要做好“事前防范”。例如不轻易通过网站、链接、二维码等下载来源不明的App;安装App时注意阅读隐私政策,并对App索取的权限提高警惕,通过增强自身的安全意识保护个人信息安全。除此之外,目前,消费者协会、互联网协会、App专项治理工作组以及各类主流App均建立了举报投诉机制,公开了举报投诉联系方式。广大网民可通过上述各种举报渠道,积极提供App违法违规收集使用个人信息的详细线索,采取实际行动捍卫自己的个人信息安全及合法权益。

(本文刊登于《中国信息安全》杂志2019年第4期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。