今天是4月15日,全民国家安全教育日。《质量与认证》杂志社四月刊推出了“APP安全认证 筑牢信息安全防火墙”专栏,今天,我们继续选取其中的文章进行刊发,聚焦2020年全民国家安全教育日。
APP个人信息安全现状问题及应对策略
文/宁华 王艳红 王宇晓
随着用户个人信息保护意识的觉醒,个人信息安全受到了前所未有的广泛关注,2019年可以说是个人信息安全“崛起”的一年。中国信息通信研究院经过长期的检测分析发现, 我国移动互联网应用普遍存在隐私政策缺失、权限滥用、私自收集共享、强制定向推送等个人信息安全问题。要解决这些问题,提升APP个人信息安全能力,需要终端厂商、应用服务商、应用分发商、安全厂商全产业链的共同努力。
近年来,移动互联网应用(APP)的种类和数量呈爆发式增长,移动互联网应用作为收集用户数据的主要入口,强制授权、过度收集等侵害用户权益的现象层出不穷,明文传输、诱导下载等现象屡见不鲜,移动互联网应用引发的安全威胁和个人信息保护风险,逐渐成为国家和社会的关注焦点,进一步推进移动互联网应用安全和个人信息保护工作已势在必行。
APP个人信息安全发展现状
在5G移动通信、大数据、物联网、人工智能等技术的推动下,我国移动互联网产业正呈现垂直化、专业化和平台化趋势,对推动实体经济转型、促进经济社会发展起到了基础性的支撑作用。产业总体收入突破万亿元大关。然而,APP在丰富大众数字生活的同时,也扩大了网络暴露面,带来了新威胁和新风险。
当前,企业通过APP收集用户数据的范围不断扩大,随着用户数据使用、共享、交易的不断深入,用户数据已成为企业发展的重要战略性资产。然而,企业安全意识和个人信息保护水平参差不齐,强制索权、过度收集、非授权转移共享、个性化展示和定向推送不规范、账户注销难等问题层出不穷,既严重威胁了广大人民群众的切身利益,又影响了企业的发展,甚至威胁国家的安全。
APP个人信息安全常见问题分析
随着行业的发展及权益保障意识的提高,用户对移动互联网应用违规收集使用个人信息、过度索权、频繁骚扰等侵害用户权益的问题感受强烈。根据网络不良与垃圾信息举报受理中心数据显示,近年来,APP用户个人信息安全相关投诉量急剧上升,投诉内容涉及个人信息收集使用规则、权限申请、个人信息收集、个人信息使用、个性化服务、账号注销等多个方面,其中几类问题尤为突出,账号注销难的比例高达30%,私自共享给第三方比例为21%,不给权限不让用比例为14%,超范围收集个人信息比例为11%,私自收集个人信息比例为7%,过度索取权限比例为7%,频繁申请权限比例为1%。除了用户感受强烈的这些表象问题,还存在更深层次的成因,本文将对移动互联网应用常见的个人信息安全问题展开研究分析。
一是个人信息收集使用规则效果不佳。APP应公开收集、使用规则,并明示收集、使用信息的目的、方式和范围。APP使用规则通常以隐私政策形式呈现,是APP厂商向用户明示收集使用信息行为的主要途径。隐私政策缺乏,隐私政策内容不清晰、用词含糊、语义不清、冗长难懂、用户难理解,“霸王条款”限制用户权利,默认、强制用户同意隐私政策,侵犯用户选择权等都是目前的常态化问题。
二是强制、频繁、过度索权成为普遍现象。系统权限是终端操作系统赋予用户的应用管控能力,对于位置、录音、设备标识、通话记录等敏感信息的收集,用户可通过开启、关闭权限进行管控。然而部分应用不给权限不让安装、不给权限不让登录、不给权限不让使用某项无关业务,变相强制用户授权,为肆意收集个人信息大开方便之门。同时,提前申请权限或无业务功能申请权限;权限无关场景或服务下频繁申请权限,变相诱导用户授权等现象也逐渐成为新的关注点。权限问题是当前用户感受最强烈、最为集中的问题。
三是私自收集频发,超范围收集问题突出。用户数据作为企业发展的重要战略性资产,最大化收集是互联网应用发展早期的常见现象。个人信息收集使用规则中,常见缺乏告知,或者不明确告知收集使用个人信息的目的、方式和范围;有些APP在获得用户同意前,收集用户个人信息。或在非服务所必需或无合理应用场景情况下,超范围或超频次收集个人信息。还有些APP在登录时,将收集银行卡号、身份证号、人脸、指纹等敏感信息作为应用开启使用的前提条件,或通过积分、奖励等方式诱导用户输入相关敏感信息。
四是数据共享行为不规范,缺乏约束措施。大数据技术推动了APP的深度发展,数据的交易和共享应在明示并获得用户同意的基础上进行。有的用户数据共享行为未向用户明示;有的未经用户同意转移用户个人信息。有的APP在用户拒绝同意的情况下,依然转移用户数据至第三方;有的APP未对第三方数据共享行为进行安全评估,无法保障所共享用户数据在第三方使用时的安全。
五是无开启或关闭个性化服务选项。APP未向用户告知并经用户同意的情况下,收集用户搜索、浏览记录和使用习惯等个性化特征,并将其用于定向推送服务或精准营销等。用户通常无法选择是否使用或接受个性化服务及定向推送。调查发现,84.42%的应用存在未经用户同意,强制接受个性化服务或精准营销的现象。
六是设置不合理障碍,账号注销难。APP通过账号注册,提供更具价值的服务。为了留存用户,在注销环节设置各种障碍是常见现象。有的APP不提供账号注销服务,或应用声明提供账号注销服务,但注销入口难以寻找、注销功能无效或跳转到无关页面。有的APP在用户使用注销功能时,注销失败、无响应或超出注销承诺时限。有的APP设置指定方式、指定地点等作为注销必要前提等。
APP个人信息安全应对策略
提升APP个人信息安全能力,加强用户权益保护,需要全产业链的共同努力。
加强行业自律,明确企业主体责任。行业自律是用户个人信息保护的关键,也是企业可持续发展的内在基础。广大应用服务和应用分发厂商应主动适应个人信息保护和数据管理新形势新要求,严格遵守法律法规,贯彻落实个人信息收集使用规定,不断完善企业内部的个人信息保护和数据管理制度,持续优化用户隐私政策,并将个人信息保护的要求贯彻执行到规划、开发、运营等各个环节,切实有效维护好用户合法权益。
依托公众监督,及时响应用户关切。公众监督是保障用户权益的重要渠道,也是约束企业行为的有效方式。应用服务、应用分发平台厂商应高度重视用户权益保障,秉承以用户为中心的思想,健全公众参与监督的机制,主动关注用户感受和体验,尊重并保障用户的投诉权,为用户举报投诉设置便捷的方式和渠道。
规范收集使用规则,落实告知同意。个人信息收集使用规则是用户了解APP用户个人信息收集使用的主要渠道,收集使用规则应包含信息收集的内容、目的、方式、范围、频次、保护措施。同时,个人信息收集使用规则应清晰、明确、完整、易懂。移动应用服务商应严格依照收集使用规则收集处理用户个人信息,并遵循告知同意原则,在收集用户个人信息前,明示并经用户同意。
规范信息共享规则,明确责任归属。为明确责任归属,增加信息可追溯性。移动应用服务商应制定清晰、明确的信息共享规则,在公开、转移、共享用户个人信息前,应先明示用户公开、转移、共享的内容、对象、用途等相关信息,征得用户同意后,方可公开、转移或共享信息。移动应用服务商应与共享、转移的信息接收方订立安全协议,明确各方信息保护责任,并督促落实。
规范推送及权限调用,加强用户可知可控。APP通常是基于用户画像进行定向推送和精准营销,APP的开发者应遵循用户可知可控的原则,进行最小化权限申请,并提供完善的个性化推送开关选项,以有效约束在未向用户告知或未以显著方式标示情况下,将收集到的用户搜索、浏览记录、使用习惯等个人信息用于定向推送或精准营销。
提高应用防护能力,保障用户合法权益。安全防护能力是移动应用保护用户个人信息的基础保障。APP开发者应采取必要的手段保障应用的安全性和用户数据的机密性、完整性和可用性。应用服务开发者应将安全编码原则贯穿整个软件开发周期,采用高等级API和安全SDK、适配最新操作系统及外部代码库,并对应用进行必要的安全加固,采用安全存储和传输技术保障用户敏感信息安全,通过完善的身份认证机制保障通信过程安全。
规范平台信息声明,保证下载用户知情。应用平台信息声明是用户了解应用基本信息的重要途径。平台应向用户明示应用名称、功能描述、卸载方法、开发者信息、应用安装及运行所需权限列表等基础信息,明确告知用户应用收集使用用户个人信息的内容、目的、方式和范围。
完善安全审核职责,落实分发上架机制。应用分发平台审核机制是用户个人信息保护的重要关口。平台应审核开发者资质和应用相关信息,制定明确的上架要求并建立完备的检测机制,通过自动化检测和人工审核等手段,对应用收集使用用户个人信息的行为进行规范。并对应用进行跟踪监测和管控,定期对已上架的应用进行复查,发现问题立即下架。
健全投诉反馈渠道,配合监管落实规范。应用分发平台承担连接用户、应用及终端的桥梁责任,是用户个人信息保护工作的重要环节。应用分发平台应建立多种渠道,及时接收和反映用户的建议和投诉,并通过既定的规则流程,及时响应用户投诉和应用侵权审核情况。
加强多方沟通协调,强化产业协作体系。针对当前用户普遍关注的移动互联网应用用户个人信息安全问题,移动互联网产业界应积极响应产业诉求,加强终端厂商、应用服务商、应用分发商、安全厂商等多方面的沟通协调,在设备安全、应用安全、数据安全等多方面加强交流合作,共享技术经验,制定行业标准规范,强化产业协作体系,保障移动互联网应用用户个人信息安全。
本文选自《质量与认证》杂志2020年4月号
声明:本文来自质量与认证,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。