《网络安全法》、《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)和《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管〔2016〕407号)等多项法律法规,明确了收集使用用户个人信息的合法正当必要原则,规范了移动智能终端应用软件预置和分发行为。此次,中国信息通信研究院中国泰尔实验室联合人民网、中国互联网协会重点分析移动互联网应用用户个人信息保护发展趋势和安全挑战,梳理移动互联网应用用户个人信息保护常见问题,分析用户个人信息保护要点及实践案例,为企业规范移动互联网应用用户个人信息收集使用行为提供参考,促进用户个人信息保护意识提升。同时本报告提出移动互联网应用用户个人信息保护十大倡议,希望行业携手提升移动互联网应用个人信息保护能力,为用户提供更安全放心的移动互联网应用服务。
目录
一、移动互联网应用个人信息安全发展现状1
二、移动互联网应用个人信息保护安全挑战3
三、移动互联网应用个人信息安全常见问题分析5
(一)个人信息收集使用规则效果不佳6
(二)强制、频繁、过度索权成为普遍现象6
(三)私自收集频发,超范围收集问题突出6
(四)数据共享行为不规范,缺乏约束措施7
(五)无开启或关闭个性化服务选项7
(六)设置不合理障碍,账号注销难7
四、移动互联网应用个人信息保护重点及实践案例8
(一)个人信息收集使用规则8
(二)权限申请13
(三)个人信息收集15
(四)个人信息使用17
(五)个性化服务18
(六)账户注销20
五、移动互联网应用个人信息保护十大倡议23
(一)加强行业自律,明确企业主体责任24
(二)依托公众监督,及时响应用户关切24
(三)规范收集使用规则,落实告知同意24
(四)规范信息共享规则,明确责任归属25
(五)规范推送及权限调用,加强用户可知可控25
(六)提高应用防护能力,保障用户合法权益26
(八)完善安全审核职责,落实分发上架机制27
(九)健全投诉反馈渠道,配合监管落实规范27
(十)加强多方沟通协调,强化产业协作体系27
一、移动互联网应用个人信息安全发展现状
二、移动互联网应用个人信息保护安全挑战
1.数据价值上升吸引力增大,网络攻击形势严峻
2.应用安全防护能力不足,用户个人数据泄露风险较高
移动互联网APP的应用安全防护能力和个人信息保护能力不足,行业重视度不高,安全防护和个人信息保护能力只停留在基础要求。开发者隐私保护意识相对淡薄,工程开发过程中,大多过分注重业务和性能,忽略安全和个人信息保护。个人信息不安全存储、未加密传输、个人信息未脱敏展示等问题导致用户个人数据泄露风险较高。
3.企业内部管理不完善,防护能力不足易导致数据泄露
企业内部管理不善,主要表现两个方面,一是企业人员管理机制不完善,不重视应用安全,缺少对管理人员和开发人员的安全防护培训,管理人员和开发人员在应用安全防护上缺少应有的安全意识;二是系统防护机制不完善,易遭受恶意攻击,易导致用户敏感信息大规模泄露。
4.分发渠道审核明示力度参差不齐,应用安全水平堪忧
5.隐私保护与应用便利选择两难,产业链协作能力不足
6.法律法规急需完善,协作治理能力有待提升
三、移动互联网应用个人信息安全常见问题分析
随着行业发展及用户意识的提高,用户对移动互联网应用违规收集使用个人信息、过度索权、频繁骚扰等侵害用户权益的问题感受强烈。
(一)个人信息收集使用规则效果不佳
收集使用规则通常以隐私政策形式呈现,是应用运营者明示用户收集使用信息行为的主要途径之一。隐私政策缺乏,隐私政策内容不清晰、用词含糊、语义不清、冗长难懂、用户难理解,“霸王条款”限制用户权利,默认、强制用户同意隐私政策,侵犯用户选择权等都是常见问题。
(二)强制、频繁、过度索权成为普遍现象
(三)私自收集频发,超范围收集问题突出
(四)数据共享行为不规范,缺乏约束措施
应用未向用户明示第三方共享信息的收集使用规则,目的、方式、范围不明确;未经用户同意转移用户信息。应用后端在用户拒绝同意的情况下,依然转移用户数据至第三方;应用提供商未对第三方数据共享行为进行安全评估,无法保障所共享用户数据在第三方处的安全性。
(五)无开启或关闭个性化服务选项
应用在未向用户告知的情况下,收集用户搜索、浏览记录和使用习惯,并将其用于个性化服务或精准营销等。用户通常无法选择是否使用或接受个性化服务及定向推送。84.42%的应用存在未经用户同意,强制接受个性化服务或精准营销的现象。
(六)设置不合理障碍,账号注销难
四、移动互联网应用个人信息保护重点及实践案例
报告针对社会热点聚焦、用户投诉严重的六类问题,在收集使用个人信息规则明示、权限申请、收集个人信息、使用个人信息、个性化推送、账号注销等六个方面,提出了保护要求,给出了保护要点,以及实践案例分析,供行业各方参考使用。
(一)个人信息收集使用规则
1.个人信息收集使用规则单独成文,易于访问、阅读
个人信息收集使用规则应单独成文如《隐私政策》,在APP首次运行时弹出隐私政策弹窗,简述《隐私政策》内容、提供详细《隐私政策》链接、明示《隐私政策》的访问路径,且《隐私政策》字体大小适中,无模糊不清,易于用户阅读,如图4-6所示。
图4单独成隐私政策图5隐私政策路径
图6字体清晰、大小适中
2.规则中应明示收集个人信息的目的、方式、范围
图7收集个人信息渠道图8收集个人信息业务功能
图9收集个人信息类型、频率、目的及场景描述
3.规则应清晰明示申请权限的目的、方式、范围
个人信息收集使用规则中应清晰明示申请的设备权限、对应的业务功能、调用权限的目的、询问时机以及用户可否关闭权限等内容,如图10所示。或在应用开启时以弹窗形式对需要申请的核心权限、目的加以明示,如图11所示。
图10申请权限情况说明图11弹窗权限说明
4.规则应清晰明示第三方SDK收集使用个人信息的目的、方式、范围
个人信息收集使用规则应添加关于第三方服务的描述,按照业务功能清晰明示提供服务的第三方SDK名称和收集使用的个人信息类型、字段,如图12所示。或按照第三方SDK服务明示其收集使用的个人信息类型、字段和目的等,如图13所示。
图12按业务功能分类说明SDK收集使用情况图13按第三方SDK服务说明收集使用情况
5.收集使用个人信息规则应经用户主动选择同意,不应默认或缺省设置为同意
图14默认同意隐私政策图15用户主动同意隐私政策图16多种方式自主选择
(二)权限申请
2.应用targetSDKVersion应高于23
受系统特性的限制,当应用的targetSDKVersion版本低于23时,应用在安装时一次性获取全部申请权限。若用户不同意,则无法正常安装,如图17所示。
3.不应过度索取权限,权限应与当前应用业务功能或场景有关
图18提前申请麦克风、相机权限
4.用户拒绝权限申请后,不应频繁申请权限
应用在运行时,弹窗向用户申请当前场景非必需权限如麦克风、相机、位置等,用户拒绝权限申请后,仍频繁弹窗申请,滋扰用户。
(三)个人信息收集
1.征得用户同意后再收集个人信息
2.不应超范围收集用户信息
应用收集用户个人信息时,在非服务所必需或无合理应用场景下,超出其所向用户明示的收集范围。其中超范围收集通讯录、短信、通话记录比较普遍。例如:应用通过界面展示向用户明示收集1-2条通讯录联系人信息,用户同意后读取全部通讯录联系人信息,如图19-21所示。
图19明示用户收集联系人信息图20明示用户收集两条联系人信息
图21明示用户收集两条联系人信息,实际收集全部联系人信息。
3.不应频繁收集用户信息
应用在无合理服务场景或静置状态下,频繁读取应用定位、通讯录、短信、图片。例如,应用静置状态下,每30S读取上传一次定位。应用后台监听并读取图片/短信/通讯录等数据库变更。
4.不应强制、诱导索取生物特征数据等敏感信息
非服务所必需或无合理应用场景,不应强制,或以积分奖励等方式诱导收集身份证号、人脸、指纹等个人信息。如“完成实名认证,享受更多优惠”、“输入面部密码,保证账户安全”、“完成实名认证,获取更多积分”等,以积分奖励、享受优惠、保证账户安全变相诱导用户输入身份证号、人脸、指纹等个人信息,如图22-23所示。
图22特权诱导实名认证
图23超值大礼包诱导实名认证
(四)个人信息使用
1.未经用户同意,不应将个人信息私自共享给第三方
应用应在隐私政策中告知收集的个人信息会与第三方共享。在用户同意隐私政策前,不得将个人信息发送给第三方。用户阅读隐私政策的操作不代表其同意隐私政策,不应在用户读取隐私政策时,将阅读操作视为用户同意,私自将个人信息发送给第三方。
2.敏感信息应采用去标识化展示方式
图24界面个人信息去标识化展示
(五)个性化服务
(六)账户注销
1.清晰告知账号注销途径,便于用户操作
个人信息收集使用规则中清晰告知账号注销方式和途径,如图28所示。应用内“设置”功能中提供账号注销服务,便于用户操作,如图29所示。
图28清晰告知账号注销方式和途径
图29应用提供账号注销功能便于操作
2.账号注销功能真实有效
图30提供账号注销服务图31账号注销服务不可用
3.不应设置过多不合理障碍
应用提供注销功能,不应设置不合理的注销条件。注销时不应索要之前未曾提供过的个人信息。如要求提供上传手持身份证全身照才可完成注销,或需要前往指定地点才可完成注销等。
4.统一账号注销,可分别提供统一账号下特定服务注销和统一账号注销的功能
图32统一账号下特定服务注销图33统一账号注销
五、移动互联网应用个人信息保护十大倡议
在个人信息价值不断提升、数据应用不断创新、安全威胁不断演变的大背景下,移动互联网应用用户个人信息保护工作道路还很长,移动应用用户个人信息保护治理体系有待进一步深化。提升移动互联网应用个人信息保护能力,加强用户权益保护,离不开全产业链的共同努力。中国信息通信研究院秉持“国家高端专业智库,产业创新发展平台”的发展定位,持续开展技术检测和检查工作,并联合行业协会、互联网企业在制定规范、签署行业自律公约等方面进行了有益的探索,在加强用户个人信息保护、维护人民群众的切身利益方面取得了积极成效。我们特此倡议:
(一)加强行业自律,明确企业主体责任
严格遵守法律法规,全面加强行业自律。行业自律是用户个人信息保护的关键,也是企业可持续发展的内在基础。企业应在行业协会的组织下,严格遵守法律法规,积极开展自律工作。应用服务和应用分发厂商应积极落实主体责任,主动适应个人信息保护和数据管理新形势新要求,严格遵守法律法规,贯彻落实个人信息收集使用规定,不断完善企业内部的个人信息保护和数据管理制度,持续优化用户隐私政策,并将个人信息保护的要求贯彻执行到规划、开发、运营等各个环节,积极配合主管部门的监管要求,切实有效维护好用户合法权益。
(二)依托公众监督,及时响应用户关切
(三)规范收集使用规则,落实告知同意
(四)规范信息共享规则,明确责任归属
(五)规范推送及权限调用,加强用户可知可控
加强应用推送及权限调用管理,净化应用环境。完善的应用推送及权限调用管理机制可以有效约束应用服务在未向用户告知或未以显著方式标示情况下,将收集到的用户搜索、浏览记录、使用习惯等个人信息用于定向推送或精准营销的行为。构建应用服务合规合理定向推送,净化移动互联网应用环境,以期提高公众对应用服务的使用信心。
(六)提高应用防护能力,保障用户合法权益
提高安全专业能力,高度重视个人信息保护。安全防护能力是移动应用保护用户个人信息的基础保障。移动应用开发者应采取必要的手段保障应用的安全性和用户数据的机密性、完整性和可用性。应用服务开发者应将安全编码原则贯穿整个软件开发周期,采用高等级API和安全SDK、适配最新操作系统及外部代码库,并对应用进行必要的安全加固,采用安全存储和传输技术保障用户敏感信息安全,通过完善的身份认证机制保障通信过程安全。
(八)完善安全审核职责,落实分发上架机制
(九)健全投诉反馈渠道,配合监管落实规范
根据反馈保障机制,为用户提供可查可控途径。应用分发平台承担连接用户、应用及终端的桥梁责任,是用户个人信息保护工作的重要环节。应用分发平台应建立多种途径及时接收和反映用户的建议和投诉,并通过既定规则流程,及时响应用户投诉和应用侵权审核情况。平台应积极支撑主管部门开展市场监测工作,敦促落实用户信息收集使用规则,辅助主管部门进行监管和决策。