自2019年起,APP个人信息安全的监管一直保持高压态势。四部委联合开展App违法违规收集使用个人信息专项治理行动中,先后多次对违法违规收集用户数据的App进行点名通报、责令整改,其中不乏银行、金融科技与第三方支付行业的持牌机构。同时,个人信息安全的标准规范、防范指引、自评估指南等也陆续推出,在细分领域如金融行业也推出了个人金融信息保护技术规范。根据APP专项治理工作组发布的《APP违法违规收集使用个人信息专项治理报告(2019)》,APP个人信息安全状况有所好转。

但是在大量的金融类App检测过程中,发现仍有一些问题并没有得到很好的解决。在笔者看来,根据目前的标准和规范,App违法违规收集使用个人信息的以下问题仍需关注。为了方便,本文还是以《App违法违规收集使用个人信息行为认定方法》为主要依据和内容划分。

1. 未公开收集使用规则

1.1. 隐私政策等收集使用规则是否易于访问

标准要求,用户进入App主功能界面后,通过4次(含)以内的点击,能够访问到隐私政策。但目前仍有部分APP只有首次安装启动弹隐私政策,进入主界面后无法再次查阅隐私政策。建议APP在进入主界面或用户未注册登录时,即可查阅隐私政策或提供隐私政策的入口。同时也应考虑到,当前用户退出后,在同设备上再次进行新用户注册时,也应保证新用户明示同意隐私政策。

1.2. 是否存在免责等不合理条款

标准要求,App运营者不应在用户协议、服务协议、隐私政策等文件中出现免除自身责任、加重用户责任、排除用户主要权利条款。此项建议APP隐私政策,在条款描述中注意秉持用户友好的态度、避免生硬一刀切的权利排除描述。

2. 未明示收集使用个人信息的目的、方式和范围

2.1. 是否逐一列出App收集使用个人信息的目的、方式、范围等

标准要求,App嵌入了第三方代码、插件(如SDK)收集个人信息,应说明第三方类型,及收集个人信息的目的、类型、方式,说明方式包括隐私政策、弹窗提示、文字备注、文本链接等。笔者理解涉及个人信息收集使用的SDK应逐一公布,其他类SDK开发运营方可选择公布。但目前很大一部分App仍未公布其涉及个人信息收集使用的SDK,或者语焉不详、信息披露不详尽。同时对于SDK实际收集个人信息的行为,可以选择有技术检测能力的第三方机构进行深度的扫描检测,以排查风险、保证合规。

2.2. 是否同步告知申请打开权限和要求提供个人敏感信息的目的

标准要求,在申请打开可收集个人信息的权限、要求用户提供个人敏感信息时,App应通过显著方式(如弹窗提示等)同步告知用户其目的,对目的的描述应明确、易懂。目前对人脸、指纹等生物特性类信息的收集使用的同步弹窗实现都较好。但大多数的APP在申请个人信息相关系统权限时仍直接使用系统弹窗,未对申请的目的做同步的详细说明、拒绝授权后亦无人性化的处理逻辑。

3. 未经用户同意收集使用个人信息

3.1. 用户明确表示不同意收集后是否频繁征求用户同意、干扰用户正常使用

标准要求,用户明确表示不同意收集后,不应在每次重新打开App或使用某一业务功能时,向用户频繁询问是否同意收集个人信息、是否同意打开可收集个人信息的权限。用户选择使用App的某一具体功能触发征得同意的动作,不属于频繁干扰情形。如用户自行选择使用拍摄、扫码等功能,App需获取“相机”权限。同时,对于某些App运行必须使用的必要权限,应在隐私政策中做详细说明、运行时做用户友好的提示信息。

3.2. App利用用户个人信息和算法定向推送信息时,是否提供非定向推送信息的选项

标准要求,App存在利用用户个人信息和算法定向推送信息情形(包括利用个人信息和算法推送新闻和信息、展示商品、推送广告等),应提供拒绝接受定向推送信息,或者停止、退出、关闭相应功能的机制,或者不基于个人信息、用户画像等推送的模式、选项。由于大数据和人工智能等技术方案的进一步落地,金融机构需确认是否存在千人千面的定向推送机制,如存在则需在App内提供非定向推送的控制开关。

4. 违反必要原则,收集与其提供的服务无关的个人信息

4.1. 是否以非正当方式强迫收集用户个人信息

标准要求,App不得以捆绑方式强制要求用户一次性同意打开多个可收集个人信息权限。不应将安卓版App的targetSdkVersion值设置低于23,通过声明机制,在安装App时要求用户一次性同意打开多个可收集个人信息权限。此处按照标准建议,Android版App设置targetSdkVersion 值应不小于23,建议设置targetSdkVersion值不小于26。

4.2. 收集个人信息的频度是否超出业务功能实际需要

标准要求,在未打开App或后台运行App时,App不应收集用户个人信息,除非App业务功能需要后台运行时继续提供服务,如导航功能。结合最近MIUI12系统的隐私照明弹,对几款App后台收集信息、自启动、关联启动等敏感行为进行曝光。建议App对个人信息,尽量避免进行周期性(如N秒一次)的收集上传,最好是基于业务的主动触发后收集。对于非业务必需的数据,不进行收集或最小化收集。

5. 未经同意向他人提供个人信息

5.1. 向他人提供个人信息前是否征得用户同意

标准要求,如App存在从客户端直接向第三方发送个人信息的情形,包括通过App客户端嵌入第三方代码、插件(如SDK)等方式,应事先征得用户同意,经匿名化处理的除外。对此检测项,常遇到这类情况:金融App启动机制复杂,在用户阅读并同意隐私政策前,SDK已经开始自顾自地初始化、权限申请,此时极有可能出现生硬的权限申请逻辑和未经用户同意的信息收集。建议App前置用户同意授权隐私政策的逻辑,并后置涉及个人信息收集的SDK初始化操作。

6. 未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息

6.1. 是否提供有效的注销用户账号功能

标准要求,App应提供有效的注销账号的途径(如在线操作、客服电话、电子邮件等),并在用户注销账号后,及时删除其个人信息或进行匿名化处理,法律法规另有规定的除外。目前,仍有APP未提供注销账号的功能,或者未在隐私政策中单独章节说明注销账号的途径。建议App提供应用内的线上账号注销功能,并及时删除或匿名化用户信息。

6.2. 是否建立并公布个人信息安全投诉、举报渠道

标准要求,App运营者应建立并公布可受理个人信息安全问题相关的投诉、举报渠道,并在承诺时限内(承诺时限不得超过15个工作日)内受理。而就个人信息安全相关问题如何进行申诉、如何受理、何时反馈等用户权利的保障,并未做出详细说明。

作为用户个人信息安全中非常重要的一环,App的个人信息安全可谓是整个战役的最前线。同时也牵扯到整个生态的方方面面,不可能做到一蹴而就。CFCA作为国内一流水平的电子认证服务机构和信息安全综合解决方案提供商,一直致力于创建高水准的基础设施条件和管理体系,竭诚为广大客户提供高质量的产品和一流服务。为营造可信的网络环境、构建稳固的网络信任体系而不断努力,以推动我国的信息安全事业繁荣发展。

曹中全,从业5年,对信安理论、程序设计、系统安全、数据安全有浓厚兴趣,主做移动端安全测试。作者邮箱:caozhongquan@cfca.com.cn,欢迎大家提出宝贵的建议!

声明:本文来自网安前哨,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。