9月17日,2019年国家网络安全宣传周“个人信息保护高峰论坛”在天津举行。论坛吸引了来自行业相关机构、知名App、SDK企业,以及应用商店和设备制造厂商的嘉宾,他们共同探讨了App收集使用个人信息的相关问题。
南都记者了解到,目前App专项治理工作组已经收到近9000条举报信息,涉及2000多款App,整改问题多达800余个。有专家指出,App治理需要设备厂商、SDK和应用商店多方共治,App如何在越发严峻的监管下找到适合自己的发展路径在下一阶段将会非常重要。
现状:收到举报信息近9000条,整改问题800余个
长期以来,强制、过度收集和使用个人信息,似乎成为App发展的常态,而用户往往只能被迫接受。
为了改变这种“野蛮生长”的局面,今年1月,中央网信办、工信部、公安部、市场监管总局四部门联合发布公告,宣布开展为期一年的App违法违规收集使用个人信息专项治理,并委托成立了App专项治理工作组。
工作组副组长、北京大学法治与发展研究院高级研究员洪延青。冯群星摄
据工作组副组长、北京大学法治与发展研究院高级研究员洪延青介绍,截至9月12日,工作组建立的举报平台共收到举报信息8992条。他强调,这是经过工作组核实和初步验证的有效举报量。
接到举报后,工作组再选取下载量大且用户常用的App纳入评估范围。
工作组成员、中国电子技术标准化研究院信安中心审查部总监何延哲。朱芳圆摄
工作组成员、中国电子技术标准化研究院信安中心审查部总监何延哲在会上透露,这些举报信息共涉及2000多款App,目前已经有近600款被纳入评估范围,整改问题达800余个。
在评估过程中,工作组总结出App收集使用个人信息的十大典型问题,其中无隐私政策,要求用户一次性同意开启多个可收集个人信息权限,强制索要通讯录、位置等无关权限,未经用户同意收集个人信息等问题得到了显著改善。
比如,下载量靠前的头部App无隐私政策的已经是少数,而在前两年,有隐私政策的才是少数;还有要求用户一次性同意开启多个可收集个人信息权限,强制获取通讯录、位置权限的情况,也已经有了很大好转。
何延哲特别指出,第五个典型问题“申请权限时未向用户同步说明目的”在举报的问题中比较新,很多用户不明白为什么App要获取存储权限,以为App获取电话权限是想偷听他的电话。
“我们在这几天做展览的过程中也能发现,我们告诉用户权限怎么关闭,结果他们问,权限是什么?”他说,“我们都说产品要做得人性化,但是安全什么时候真能做到人性化?跟产品经理一样思考问题,可能才会让老百姓对安全问题有更加深入的了解。”
规范:App应该收集哪些个人信息?
那么,App到底应该收集哪些个人信息?
8月,全国信息安全标准化技术委员会就《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》(下称《规范》)向社会公开征求意见。《规范》规定了21种常用App类型可收集的最少信息。
在何延哲看来,《规范》想要解决的就是上面那个企业最关心的问题。“《规范》是对‘最少够用’原则的细化,也是对‘无关个人信息’的一个反面解释”,他强调,界定最小权限范围则是App的一个特色。
《规范》分两部分,第一部分是管理要求。其中一条提到:App 不得收集不可变更的设备唯一标识(如 IMEI 号、MAC 地址等),用于保障网络安全或运营安全的除外。
何延哲解释说,工作组统计了100款常用App,发现收集IMEI号的概率是100%。“不是说它没用,但确实引发很多问题。我们希望把IMEI号用在安全这块,让它发挥好的作用,而不是放大它骚扰方面的坏的作用。”
第二部分是技术要求。其中一条要求:App 应以实现服务所必需的最低合理频率向后台服务器发送个人信息。
“我们发现有个App获取IMEI号权限之后每五秒钟收集一次,一天24小时不断地收集”,何延哲指出,这种情况下,App打开权限是有合理性的,但如此频繁的收集过程可能就不合理了。
他强调,希望通过对收集端的严格管控,尽可能地推动企业对自生业务的改造来适应日渐严峻的监管环境。“我觉得下个阶段,大家怎么在这么严的监管下找到自己适合的发展路径,是非常重要的。”
治理:需设备厂商、SDK和应用商店协同共治
在论坛上,多位嘉宾提出,由于App生态的复杂性,它的治理不能仅靠App厂商,而是需要多方共治。
中央网信办网络安全协调局处长唐鑫。朱芳圆摄
“App收集使用个人信息涉及到很多环节,比如手机应用厂商、应用商店、SDK(软件开发工具包)”,中央网信办网络安全协调局处长唐鑫举例说,以前有App厂商喊冤,说他也无法控制App里嵌入的SDK收集哪些个人信息。
中国信息通信研究院安全研究所所长魏亮。朱芳圆摄
中国信息通信研究院安全研究所所长魏亮进一步指出,在App个人信息生态安全中,除了App以外,还存在用户、设备厂商、SDK和应用商店等主体,而App和用户之间的关系是最直观和最主要的。
“App为个人提供服务,提供服务的过程中需要一些个人信息,这个时候两者之间就有一定的矛盾”,他说,这个矛盾是天然存在的:App收集的个人信息越多,就能为个人提供更多更有价值的服务;而用户希望得到便捷的服务,却又不希望过度交出自己的个人信息。
App和设备厂商之间更多的则是数据权利方面的争端。比如设备厂商为了更好地提供服务,也希望拿到App的一些数据,这就涉及到这些数据属于个人还是属于App,个人授权后App和设备如何分享数据、如何确权的问题。
而对于SDK和应用商店来说,如何跟App划分数据管理责任是首要问题。“应用商店是App分发的一个重要渠道,对App有管理责任”,魏亮表示,但也有App可以绕开应用商店对App进行更新,这时如何界定管理责任的范围和界限就需要研究。
在唐鑫看来,App治理要做到行业协同,各个环节不能“各自为战”,而是应该坐在一起研究讨论、把环节打通,形成综合治理的生态。这样才能让网民使用App的时候有更多的体验感。(蒋琳)
声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。