全国咨询办理热线:400-0020-296

您所在的位置: 首页 > 相关业务 > 全文发布 | 移动互联网应用个人信息安全报告(2019年)

全文发布 | 移动互联网应用个人信息安全报告(2019年)

 

全文发布 | 移动互联网应用个人信息安全报告(2019年)

 

前 言

随着移动通信技术的快速发展,移动互联网应用正逐渐渗透到人们生活、工作的各个领域,移动应用种类和数量呈爆发式增长,对社会经济发展的基础性作用日益突显。大数据相关技术快速发展,企业对数据挖掘技术的利用和不断深入,用户数据已成为企业发展的重要战略性资产,数据安全面临的风险和威胁形势越来越严峻。移动互联网应用作为用户数据收集的主要入口之一,其用户个人信息保护问题正逐渐得到国家和社会的广泛重视。由于立法、标准和规范相对滞后,移动互联网应用个人信息保护水平参差不齐,用户信息强制收集、过度收集、非授权转移共享、个性化展示和定向推送不规范、账户注销难等问题严重威胁了广大人民群众的切身利益,进一步推进移动互联网应用个人信息保护工作已势在必行。

《网络安全法》、《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)和《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管〔2016〕407号)等多项法律法规,明确了收集使用用户个人信息的合法正当必要原则,规范了移动智能终端应用软件预置和分发行为。此次,中国信息通信研究院中国泰尔实验室联合人民网、中国互联网协会重点分析移动互联网应用用户个人信息保护发展趋势和安全挑战,梳理移动互联网应用用户个人信息保护常见问题,分析用户个人信息保护要点及实践案例,为企业规范移动互联网应用用户个人信息收集使用行为提供参考,促进用户个人信息保护意识提升。同时本报告提出移动互联网应用用户个人信息保护十大倡议,希望行业携手提升移动互联网应用个人信息保护能力,为用户提供更安全放心的移动互联网应用服务。

 

目 录

版权声明 1

一、移动互联网应用个人信息安全发展现状 1

二、移动互联网应用个人信息保护安全挑战 3

三、移动互联网应用个人信息安全常见问题分析 5

(一)个人信息收集使用规则效果不佳 6

(二)强制、频繁、过度索权成为普遍现象 6

(三)私自收集频发,超范围收集问题突出 6

(四)数据共享行为不规范,缺乏约束措施 7

(五)无开启或关闭个性化服务选项 7

(六)设置不合理障碍,账号注销难 7

四、移动互联网应用个人信息保护重点及实践案例 8

(一)个人信息收集使用规则 8

(二)权限申请 13

(三)个人信息收集 15

(四)个人信息使用 17

(五)个性化服务 18

(六)账户注销 20

五、移动互联网应用个人信息保护十大倡议 23

(一)加强行业自律,明确企业主体责任 24

(二)依托公众监督,及时响应用户关切 24

(三)规范收集使用规则,落实告知同意 24

(四)规范信息共享规则,明确责任归属 25

(五)规范推送及权限调用,加强用户可知可控 25

(六)提高应用防护能力,保障用户合法权益 26

(七)规范平台信息声明,保证下载用户知情 26

(八)完善安全审核职责,落实分发上架机制 27

(九)健全投诉反馈渠道,配合监管落实规范 27

(十)加强多方沟通协调,强化产业协作体系 27

 

一、 移动互联网应用个人信息安全发展现状
随着5G移动通信、大数据、物联网、人工智能等技术的快速发展,移动互联网产业正呈现垂直化、专业化和平台化趋势,对社会经济发展的基础性作用日益突显。移动互联网应用(APP)的种类和数量呈爆发式增长,越来越多地渗透到人们生活、工作的各个领域,正逐渐成为用户信息数据的主要入口和核心载体。APP安全和用户个人信息保护态势愈加严峻,侵害用户权益的事件层出不穷,受到国家和社会公众高度关注。

APP用户个人信息安全相关投诉量急剧上升,严重侵犯用户权益、影响产业发展、甚至威胁国家安全。2019年11、12月12321网络不良与垃圾信息举报受理中心共收到用户APP投诉4900余条,投诉内容涉及个人信息收集使用规则、权限申请、个人信息收集、个人信息使用、个性化服务、账号注销等多个方面,其中几类问题尤为突出,账号注销难比例高达到30%,私自共享给第三方比例为21%,不给权限不让用比例为14%,超范围收集个人信息比例为11%,私自收集个人信息比例为7%,过度索取权限比例为7%,频繁申请权限比例为1%。

图1 投诉问题占比 数据来源:12321网络不良与垃圾信息举报受理中心

图2 权限申请方面投诉主要问题 数据来源:12321网络不良与垃圾信息举报受理中心

图3 收集个人信息方面投诉主要问题 数据来源:12321网络不良与垃圾信息举报受理中心

二、 移动互联网应用个人信息保护安全挑战
移动互联网应用作为用户数据收集的主要入口,近年来其个人信息保护问题引发社会的广泛关注。用户个人信息泄漏、信息过度收集使用、权限滥用等问题严重威胁了广大APP用户的切身利益。收集使用规则不清、收集行为不合理、数据随意共享等现象的存在,将用户推入隐私与便利的两难选择。移动互联网产业用户个人信息保护工作面临严峻的挑战。

1. 数据价值上升吸引力增大,网络攻击形势严峻
随着大数据、人工智能等技术的应用推广,用户数据价值提升,黑产吸引力剧增。内鬼、黑客、爬虫以及手握数据的公司与个人之间的数据互换,是构成地下数据交易的主要成分,这些数据再经过清洗、分类,可以从不同的渠道销售出去,为暗扣费、恶意移动广告、App推广刷量等黑产相关方提供大量原始资源,给用户带来了巨大的安全威胁和经济损失。

2. 应用安全防护能力不足,用户个人数据泄露风险较高
移动互联网APP的应用安全防护能力和个人信息保护能力不足,行业重视度不高,安全防护和个人信息保护能力只停留在基础要求。开发者隐私保护意识相对淡薄,工程开发过程中,大多过分注重业务和性能,忽略安全和个人信息保护。个人信息不安全存储、未加密传输、个人信息未脱敏展示等问题导致用户个人数据泄露风险较高。

3. 企业内部管理不完善,防护能力不足易导致数据泄露
企业内部管理不善,主要表现两个方面,一是企业人员管理机制不完善,不重视应用安全,缺少对管理人员和开发人员的安全防护培训,管理人员和开发人员在应用安全防护上缺少应有的安全意识;二是系统防护机制不完善,易遭受恶意攻击,易导致用户敏感信息大规模泄露。

4. 分发渠道审核明示力度参差不齐,应用安全水平堪忧
分发渠道安全审核机制不完善,应用和用户个人信息安全无法保障。主要表现在三个方面,一是部分分发平台缺少必要的应用管理机制,未对应用进行审核及安全、服务等相关检测和跟踪监测;二是分发平台虽有应用管理机制,但粒度和范围参差不齐,特别是缺少对老旧应用的审核;三是一些应用通过广告商或信息流分发,缺乏安全检查,无用户信息明示环节,存在静默下载和诱导安装现象。

5. 隐私保护与应用便利选择两难,产业链协作能力不足
面对隐私保护与应用便利,用户很难抉择,主要表现在两方面,一是应用存在一揽子授权、不授权就不给用的现象,使得大部分用户别无选择,不得不拿个人隐私换取便利。二是在用户权益保护共识广泛达成、公众个人敏感信息保护意识普遍提升的情况下,终端、应用、分发等产业链环节协作不足,权限管控、信息收集使用、设备识别码防护等方面行动不统一,未形成有效合力。

6. 法律法规急需完善,协作治理能力有待提升
现行的《网络安全法》、《民法总则》和即将出台的《个人信息保护法》等相关法律作为国家法律,构成我国个人信息保护的制度基础,但政府行政、立法司法、市场企业及个人等相关主体间协作治理体系尚未形成,个人信息采集、使用和管理存在采集主体资格无法界定、数据权利无法律依据、权利人被动接受、数据使用和退出边界不清晰、相关法律责任不明确,以及监管和执法难以到位等问题。

三、 移动互联网应用个人信息安全常见问题分析
随着行业发展及用户意识的提高,用户对移动互联网应用违规收集使用个人信息、过度索权、频繁骚扰等侵害用户权益的问题感受强烈。

(一)个人信息收集使用规则效果不佳
收集使用规则通常以隐私政策形式呈现,是应用运营者明示用户收集使用信息行为的主要途径之一。隐私政策缺乏,隐私政策内容不清晰、用词含糊、语义不清、冗长难懂、用户难理解,“霸王条款”限制用户权利,默认、强制用户同意隐私政策,侵犯用户选择权等都是常见问题。

(二)强制、频繁、过度索权成为普遍现象
不给权限不让用、不给权限不让登录、不给权限不让使用某项业务,变相强制用户授权是用户最为反对的行为。提前申请权限或无业务功能申请权限;权限无关场景或服务下频繁申请权限,变相诱导用户授权等现象也逐渐成为新的关注点。

(三)私自收集频发,超范围收集问题突出
未明确告知收集使用个人信息的目的、方式和范围并在获得用户同意前,收集用户个人信息。在非服务所必需或无合理应用场景情况下,超范围或超频次收集个人信息。在应用登录时,将收集银行卡号、身份证号、人脸、指纹等敏感信息作为应用开启使用的前提条件或通过积分、奖励等方式诱导用户输入相关敏感信息等超范围收集问题突出。

(四)数据共享行为不规范,缺乏约束措施
应用未向用户明示第三方共享信息的收集使用规则,目的、方式、范围不明确;未经用户同意转移用户信息。应用后端在用户拒绝同意的情况下,依然转移用户数据至第三方;应用提供商未对第三方数据共享行为进行安全评估,无法保障所共享用户数据在第三方处的安全性。

(五)无开启或关闭个性化服务选项
应用在未向用户告知的情况下,收集用户搜索、浏览记录和使用习惯,并将其用于个性化服务或精准营销等。用户通常无法选择是否使用或接受个性化服务及定向推送。84.42%的应用存在未经用户同意,强制接受个性化服务或精准营销的现象。

(六)设置不合理障碍,账号注销难
应用不提供账号注销服务,或应用声明提供账号注销服务,但注销入口难以寻找、注销功能无效或跳转到无关页面。有的在用户使用注销功能时,注销失败、无响应或超出注销承诺时限。或者设置指定方式、指定地点等作为注销必要前提等。

四、 移动互联网应用个人信息保护重点及实践案例
报告针对社会热点聚焦、用户投诉严重的六类问题,在收集使用个人信息规则明示、权限申请、收集个人信息、使用个人信息、个性化推送、账号注销等六个方面,提出了保护要求,给出了保护要点,以及实践案例分析,供行业各方参考使用。

(一)个人信息收集使用规则
应用应具备收集使用个人信息规则,向用户告知其收集使用行为,规则应清晰明了,便于用户阅读,以达到规则的实际目的和效果。收集使用个人信息规则关注要点如下:

1.个人信息收集使用规则单独成文,易于访问、阅读
个人信息收集使用规则应单独成文如《隐私政策》,在APP首次运行时弹出隐私政策弹窗,简述《隐私政策》内容、提供详细《隐私政策》链接、明示《隐私政策》的访问路径,且《隐私政策》字体大小适中,无模糊不清,易于用户阅读。

友情链接