当前,在疫情防控形势出现积极转变的情况下,面对疫情防控和经济社会发展工作的紧迫任务,中央和地方陆续出台政策稳步推进复工复产。同时,移动应用市场上协同办公、在线教育、便民服务等领域不少App也不失时机地展开了助力疫情防控、复工复产的宣传。
复工复产App基本情况
复工复产App数据安全隐患及合规性问题分析
本次评测选取国内主流应用商店下载量较大、业务功能较为贴合疫情防控时期社会大众需求的典型App进行数据安全合规性测试分析,发现其中多款App在注册、使用过程中涉及个人敏感信息以及企业数据的在线传输、存储、处理,且存在相应的安全隐患。
1.医药平台涉及用户医疗和健康隐私数据,如何保护患者隐私是焦点问题
使用医药平台购买部分药品时,用户需要提供处方单和医生咨询信息、邮寄地址等个人敏感信息,除此之外部分App具有在线问诊功能,更进一步获取了患者电子病历、健康档案、会诊信息、影像数据等。一旦发生数据泄露将对患者群体、医疗产业造成严重影响。
本次评测中,此类App除未明示个人信息收集使用规则、未经用户同意收集使用个人信息情况、未遵循最小必要原则等问题以外,还存在强制索取非必要权限的情况。
案例2:某医药平台App申请可收集个人信息权限时未同步说明使用目的。
教育平台存储了大量的学生在线注册信息,使用过程中为了课堂秩序和教育质量,通常需要开启麦克风、摄像头等敏感权限,未成年人信息一旦泄露或被违法商用,对他们的人身安全、学习和成长都将产生极大危害,企业自身及其他教育用户也面临同样的安全风险。
本次评测发现在线教育类App在公开收集使用规则,明示收集使用个人信息的目的、方式、范围方面存在欠缺,部分App申请权限时弹出的说明文字语焉不详,不能明示其索要权限的动机,或未明确隐私政策更新机制。
案例3:某在线教育App在收集个人信息方面未能明确规范其收集使用规则,隐私政策中提及的收集使用个人信息类型和其业务功能对应关系不清。
案例4:某作业辅导App在申请可收集个人信息的定位、存储权限时,未同步说明目的。
案例5:某在线教育App未明确有效的隐私政策更新机制及通知用户的方式。
3.协同办公各项功能的实现涉及员工信息及企业核心数据,管理不当容易造成数据泄露、丢失、被窃取等安全事件
受测的协同办公、视频会议类App多暴露出未明示收集使用个人信息的目的、方式、范围,及未遵循必要原则收集使用个人信息问题,尤其在App索权方面规范性不足。
案例6:某视频会议App在注册账号时,未经用户自主操作,默认勾选“阅读并同意”选项。
案例7:某协同办公App将隐私政策夹杂在服务条款中,且未在隐私政策中逐一描述收集使用个人信息的类型、目的等规则。
移动App使用过程可能涉及个人敏感信息、企业核心数据的,运营公司应实现产品的快速迭代,完善产品防护机制。应用分发平台应加强App数据安全监测能力,提升数据安全保障能力。
2.建议作为用户的企业或个人重视数据安全,增强个人信息保护意识
企业一方面应结合自身管理制度,规范各项工作的开展,梳理数据资产实施分类分级管理,提升企业数据安全风险管控能力;另一方面需加强员工数据安全教育培训,确保员工使用过程的数据安全,防止由于意识不到位导致的安全事件。
3.建议行业协会、联盟加强宣传引导,助力安全有序复工复产