对话易盾 | 隐私收集进入“严监管”,APP权限获取的行与思

说到隐私,大家并不陌生,尤其是在当下,隐私泄露事件时有发生在我们身边。刚在某个APP上完成注册,随之而来的是广告推送、售楼电话骚扰、信贷电话骚扰,令大部分人不胜其烦。

究其原因在于某些APP过度采集用户信息,增加隐私泄露风险。打开APP,用户收到开发商传来的读取通讯录、位置、相机、照片、麦克风、社交好友列表、称昵、头像等信息的要求,不同意就影响正常使用。广大网民在享受互联网快速发展带来的便利的同时,也不堪隐私泄露之扰。


在这个大环境下,隐私检测政策应运而生。目前,由中国信息通信研究院研发的全国APP技术检测平台已经启动,试图通过集成领先企业的技术检测能力,力争到2021年实现全年检测180万款APP的目标。据不完全统计,自2019年11月工信部开展整治行动以来,至今已通报11批、共657款侵害用户权益的APP。

Q1 近年来,移动端的隐私政策经历了哪些变化?

在针对性的个人信息保护法尚未出台之前,《民法典》《消费者权益保护法》《治安管理处罚法》《侵权责任法》《居民身份证法》等多部法规中存在相应条款保护个人信息。

移动端隐私政策正式起源于2019年中央网信办、工业和信息化部、公安部、市场监管总局四部门下发的《关于开展APP违法违规收集使用个人信息专项治理的公告》。从该公告可以看到相关部门已经意识到随着APP的广泛应用,APP强制授权、过度索权、超范围收集个人信息的现象普遍存在,违法违规使用个人信息的问题十分突出。

为了落实《网络安全法》《消费者权益保护法》的要求,并保障个人信息安全,维护广大网民合法权益,中央网信办、工业和信息化部、公安部、市场监管总局决定,自2019年1月至12月,在全国范围组织开展APP违法违规收集使用个人信息专项治理。

随着治理工作的进一步展开,在2020年3月6日,国家市场监督管理总局、国家标准化管理委员会颁布的《信息安全技术 个人信息安全规范-GBT35273-2020》则对隐私检测作出更明确的规定

Q2 隐私政策对于APP的影响?

在隐私政策出台之前,大部分的应用软件开发者并没有意识到数据采集上报时间点的把控:在用户点击同意之前就对一些相关设备信息、用户资料等数据进行收集上报,从而侵犯了用户隐私,以至于在政策出台之后措手不及,导致在工信部抽查过程中软件被下架。

据资料显示,2020年度工信部共计下发相关下架通知8次,涉及APP百余个,其中存在多个APP在整改之后仍被下架的情况。

通过这些通知,我们可以看到工信部对于隐私检测这块主要集中于:


图 | 澎湃新闻对于近年来工信部整治重点的整理

通过对下架APP的下架原因分析,我们可以发现常见的下架原因主要有:用户个人信息未经允许擅自获取;强制进行个性化推荐;隐私政策内容不完善等等。

Q3 APP隐私合规存在哪些难点?

自"净网2020"专项行动以来,众多移动应用因存在隐私不合规行为被下架。虽说APP开发商可能已经注意到自家APP采取的隐私收集可能存在问题,想要向合规方向看齐,却无从下手。从客户反馈来看,种种因素导致了开发商自查自改困难重重。

1.隐私检测涉及的点非常细,小到是否包含相关联系方式等。大部分的应用软件开发者在安全意识不够的情况下很容易忽略掉。

2.需要深入解读政策。大部分的应用软件开发商未配备专业人员解读政策,对于隐私的尺度把握无深刻的理解。

3.政策包含非常全面。大部分的应用软件开发商未形成一个成熟的自检方案,自检的难度相对较高,需要花费大量人力和时间成本。在不具备形成一个完整且规范的流程方案时,客户自检往往存在遗漏。

网易易盾移动安全专家团队深研隐私政策相关政策法规,深入剖析APP行为检测,研发出一套成熟的隐私政策检测方案,帮助广大APP运营者检测APP有无侵犯用户隐私行为。

APP运营者可在产品上架前使用网易易盾的隐私检测服务,从以下这些方面检测APP是否存在触犯隐私政策的相关行为:

1.是否存在公开收集使用规则的情形;

2.是否存在没有明示收集使用个人信息的目的、方式和范围的情形;

3.是否存在未经同意收集使用个人信息的情形;

4.是否存在违反必要性原则,收集与其提供的服务无关的个人信息的情形;

5.是否存在未经同意向他人提供个人信息的情形;

6.是否存在未按法律规定提供删除或更正个人信息功能的情形;

7.是否侵犯未成年人在网络空间合法权益的情形;

Q4 易盾如何响应政策、并突破技术壁垒?

隐私收集违规可能深入每行代码,自检难度高。2019年初,网易易盾上线APP合规测评安全解决方案实现一站式自动化排查,为客户提供更专业、更安心、更便捷的服务。


在提供相关报告的同时,网易易盾提供资深安全测评专家一对一服务,给予APP开发者专业整改建议,快速定位解决问题,助力APP开发者一次通过安全检测机构的监管评估,如国家计算机网络与信息安全管理中心、公安三所、信息产业信息安全测评中心等等。

截至目前,网易易盾已为数十家企业提供专业的隐私检测服务。期间,网易易盾不断迭代,紧跟国内APP隐私合规监管的最新政策法规,旨在为APP提供完整且规范的检测方案。

总的来说,对于APP开发商而言,在加强个人信息收集规范、自律的同时,也要提高网络安全意识,防范数据窃取、违规爬取、采集传输泄密等安全风险。结合APP加固等安全解决方案,全面保障用户个人信息全链路安全,系统性拥抱监管。