2021年11月1日,我国首部个人信息保护法经十三届全国人大常委会第三十次会议表决获得通过。2021年11月1日起,《中华人民共和国个人信息保护法》正式实施。同日,工信部在其官网对外发布《工业和信息化部关于开展信息通信服务感知提升行动的通知》,要求建立个人信息保护“双清单”。
图一 《工业和信息化部关于开展信息通信服务感知提升行动的通知》
个人信息保护现状
以移动互联网为代表的现代信息技术日新月异,不断推动移动应用APP蓬勃发展,据统计,截至2021年6月底我国国内市场APP应用数量为302万。在移动应用为企业和个人带来巨大经济利益与生活便利的同时,各类安全问题也不断被曝出,隐形相机、麦克风窃听、大数据杀熟……个人信息安全遭受威胁,引发社会各界关注与重视。
自2017年以来国家各部门相继出台了一系列政策法规,并开展多次APP专项整治工作,大量违规应用得到处理。近期出台的《个人信息保护法》对过度收集个人信息、滥用人脸识别、大数据“杀熟”、个人敏感信息收集等,从法律层面做了明文保护与制约。但是有了法,个人信息保护是否就能从此走上安全大路?有了法,该如何让它更好落地,真正为人民服务?
为此,工信部提出建立APP个人信息保护双清单专项整治行动,要求建立已收集个人信息清单,以及建立与第三方共享个人信息清单。
“双清单”要点一览
01什么是“双清单”
各相关企业应建立已收集个人信息清单和与第三方共享个人信息清单,并在APP二级菜单中展示,方便用户查询。
已收集个人信息清单应简洁、清晰列出APP(包括内嵌第三方软件工具开发包SDK)已经收集到的用户个人信息基本情况,包括信息种类、使用目的、使用场景等。
与第三方共享个人信息清单应简洁、清晰列出APP与第三方共享的用户个人信息基本情况,包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。
02解决的问题
泛滥的短信营销早已打扰到消费者日常生活,这一现象透视着“个人信息泄露”的隐忧。智能机在为我们连接世界打开了获取信息的大门,但它私下的信息采集行为也造成了安全隐患。例如,我们的位置信息、在线浏览数据、消费记录等,这类数据采集可以为用户提供更多便利优质的服务,但是一旦遭到泄漏与滥用,不法分子可以根据这些数据分析目标行为画像,诈骗信息、骚扰电话等便可从过去的“误打误撞”变成“准确定位”。
作为前沿科技,人脸识别技术近年来被广泛应用于城市安防、支付转账等领域,呈现加速落地趋势。是什么让人脸识别技术遭到“全球抵制”,在今年的“3·15”晚会也曝光了多家门店利用摄像头获取人脸信息的案例。究其原因,其存在信息泄露风险大、安全漏洞难消除等问题,严重威胁用户的信息安全。
图二 个人信息安全现状
建立个人信息保护“双清单”,是对“谁在动我的信息”困惑的解答。让“谁”明明白白站出来。将选择权归还到用户,将所有的信息与规则都一一列明,让用户真正对自己的信息了如指掌,保证用户的知情权。同时,APP只应采集经过用户同意的且提供服务所必需的信息,从侧面保护用户的信息安全。
同时,建立个人信息保护“双清单”,协助用户做好“我的信息我该如何做主”。以《个人信息保护法》为依据,帮助用户管理个人信息,保护个人信息。
建立个人信息保护“双清单”,是基于《个人信息保护法》,让APP与用户置于信息对等地位,从而提升用户的安全感、幸福感。
03具体的措施
1)优化APP开屏弹窗信息展示方式。
互联网企业应在其APP开屏信息和弹窗信息窗口设置明显、有效的关闭按钮,按钮大孝位置、颜色应易于操作辨认,让用户“找得到,关得了”。
2)优化隐私政策和权限调用展示方式。
互联网企业应以简洁、清晰、易懂的方式,向用户提供APP产品隐私政策摘要;涉及调用用户终端中相册、通讯录、位置等敏感权限的,应当以适当方式告知用户调用该权限的目的,充分保障用户知情权。
3)提升APP关键责任链个人信息保护能力。
鼓励应用商店为本平台APP提供检测服务,及时向APP开发者反馈相关问题并督促改正,防止违规APP上架。内嵌SDK在非服务所必须或无合理应用场景下,不得自启动或关联启动,由用户自主选择是否开启关联启动。
4)明确告知用户所有相关第三方信息。
简洁、清晰列出APP与第三方共享的用户个人信息基本情况,包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。
第三方SDK面面观
01什么是SDK
SDK(Software Development Kit)为协助软件开发的软件库,通常包括相关二进制文件、文档、范例和工具的集合。APP嵌入SDK后,能够通过SDK提供的接口使用其封装特定功能,从而降低APP的开发成本。通常将常用的SDK分为16大类。
图三 常见SDK类型
02SDK存在的安全问题
SDK本身不具备运行能力,必须等待宿主APP调用才能被执行,完成特定功能。APP 在提供各类便捷服务的同时,也在不断地收集、使用用户个人信息,与APP密切相关的SDK收集个人信息和安全问题也已得到了各方的关注。2019 年以来各监管部门均将SDK违法违规收集个人信息作为重点审查对象之一。
SDK经常在APP背后收集用户个人信息,这一类行为难以被发现,需要依托自动化的检测引擎帮助识别。针对APP使用全过程进行监测,依据权限检测标准,主动发现APP及SDK存在的未经授权擅自收集、过度和非必要收集、频繁索权和强制收集、隐瞒第三方SDK收集行为、私自共享给第三方等问题,从而帮助用户和开发者快速、准确地检测SDK中存在的敏感权限调用及过度个人信息收集。
03SDK合规自查三步走
1)确认SDK安全
开发者基本信息是否完整、是否存在风险漏洞、恶意行为、数据共享等问题
2)收集共享行为明确告知用户
在《隐私政策》中明确告知用户所有使用的SDK,是否存在数据共享行为,必要时该如何撤回个人信息收集等
3)收集共享行为确实已获用户同意
在用户同意《隐私政策》后,再开始SDK初始化、用户信息收集行为
结语
落实“双清单”,需要强化企业及各组织的工作落实,加强国家及政府各部门的监督指导,各相关企业要建立健全内部管理长效机制,更需要推进政府监管、社会监督、企业自律、用户参与的协同共治,形成服务提质与感知提升良性互动。
在这一基础上,我们提出技术治理,科技向善这一理念。通付盾移动安全产品提供集APP和SDK检测加固、APP合规检测、渠道检测、渗透测试于一体的安全服务,同时应用商店安纯应用市场已投入使用,为APP提供检测服务,及时向APP开发者反馈相关问题并督促改正,防止违规APP上架。通付盾致力于用新一代数字化技术让数据生活更安全更美好。