移動互聯網應用個人信息安全報告(2019年)

2020年01月12日10:49  來源:人民網-IT頻道
 

前 言

隨著移動通信技術的快速發展,移動互聯網應用正逐漸滲透到人們生活、工作的各個領域,移動應用種類和數量呈爆發式增長,對社會經濟發展的基礎性作用日益突顯。大數據相關技術快速發展,企業對數據挖掘技術的利用和不斷深入,用戶數據已成為企業發展的重要戰略性資產,數據安全面臨的風險和威脅形勢越來越嚴峻。移動互聯網應用作為用戶數據收集的主要入口之一,其用戶個人信息保護問題正逐漸得到國家和社會的廣泛重視。由於立法、標准和規范相對滯后,移動互聯網應用個人信息保護水平參差不齊,用戶信息強制收集、過度收集、非授權轉移共享、個性化展示和定向推送不規范、賬戶注銷難等問題嚴重威脅了廣大人民群眾的切身利益,進一步推進移動互聯網應用個人信息保護工作已勢在必行。

《網絡安全法》、《電信和互聯網用戶個人信息保護規定》(工業和信息化部令第24號)和《移動智能終端應用軟件預置和分發管理暫行規定》(工信部信管〔2016〕407號)等多項法律法規,明確了收集使用用戶個人信息的合法正當必要原則,規范了移動智能終端應用軟件預置和分發行為。此次,中國信息通信研究院中國泰爾實驗室聯合人民網、中國互聯網協會重點分析移動互聯網應用用戶個人信息保護發展趨勢和安全挑戰,梳理移動互聯網應用用戶個人信息保護常見問題,分析用戶個人信息保護要點及實踐案例,為企業規范移動互聯網應用用戶個人信息收集使用行為提供參考,促進用戶個人信息保護意識提升。同時本報告提出移動互聯網應用用戶個人信息保護十大倡議,希望行業攜手提升移動互聯網應用個人信息保護能力,為用戶提供更安全放心的移動互聯網應用服務。

 

目 錄

版權聲明 1

一、移動互聯網應用個人信息安全發展現狀 1

二、移動互聯網應用個人信息保護安全挑戰 3

三、移動互聯網應用個人信息安全常見問題分析 5

(一)個人信息收集使用規則效果不佳 6

(二)強制、頻繁、過度索權成為普遍現象 6

(三)私自收集頻發,超范圍收集問題突出 6

(四)數據共享行為不規范,缺乏約束措施 7

(五)無開啟或關閉個性化服務選項 7

(六)設置不合理障礙,賬號注銷難 7

四、移動互聯網應用個人信息保護重點及實踐案例 8

(一)個人信息收集使用規則 8

(二)權限申請 13

(三)個人信息收集 15

(四)個人信息使用 17

(五)個性化服務 18

(六)賬戶注銷 20

五、移動互聯網應用個人信息保護十大倡議 23

(一)加強行業自律,明確企業主體責任 24

(二)依托公眾監督,及時響應用戶關切 24

(三)規范收集使用規則,落實告知同意 24

(四)規范信息共享規則,明確責任歸屬 25

(五)規范推送及權限調用,加強用戶可知可控 25

(六)提高應用防護能力,保障用戶合法權益 26

(七)規范平台信息聲明,保証下載用戶知情 26

(八)完善安全審核職責,落實分發上架機制 27

(九)健全投訴反饋渠道,配合監管落實規范 27

(十)加強多方溝通協調,強化產業協作體系 27

一、 移動互聯網應用個人信息安全發展現狀

隨著5G移動通信、大數據、物聯網、人工智能等技術的快速發展,移動互聯網產業正呈現垂直化、專業化和平台化趨勢,對社會經濟發展的基礎性作用日益突顯。移動互聯網應用(APP)的種類和數量呈爆發式增長,越來越多地滲透到人們生活、工作的各個領域,正逐漸成為用戶信息數據的主要入口和核心載體。APP安全和用戶個人信息保護態勢愈加嚴峻,侵害用戶權益的事件層出不窮,受到國家和社會公眾高度關注。

APP用戶個人信息安全相關投訴量急劇上升,嚴重侵犯用戶權益、影響產業發展、甚至威脅國家安全。2019年11、12月12321網絡不良與垃圾信息舉報受理中心共收到用戶APP投訴4900余條,投訴內容涉及個人信息收集使用規則、權限申請、個人信息收集、個人信息使用、個性化服務、賬號注銷等多個方面,其中幾類問題尤為突出,賬號注銷難比例高達到30%,私自共享給第三方比例為21%,不給權限不讓用比例為14%,超范圍收集個人信息比例為11%,私自收集個人信息比例為7%,過度索取權限比例為7%,頻繁申請權限比例為1%。

圖1 投訴問題佔比 數據來源:12321網絡不良與垃圾信息舉報受理中心

圖2 權限申請方面投訴主要問題 數據來源:12321網絡不良與垃圾信息舉報受理中心

圖3 收集個人信息方面投訴主要問題 數據來源:12321網絡不良與垃圾信息舉報受理中心

二、 移動互聯網應用個人信息保護安全挑戰

移動互聯網應用作為用戶數據收集的主要入口,近年來其個人信息保護問題引發社會的廣泛關注。用戶個人信息泄漏、信息過度收集使用、權限濫用等問題嚴重威脅了廣大APP用戶的切身利益。收集使用規則不清、收集行為不合理、數據隨意共享等現象的存在,將用戶推入隱私與便利的兩難選擇。移動互聯網產業用戶個人信息保護工作面臨嚴峻的挑戰。

1. 數據價值上升吸引力增大,網絡攻擊形勢嚴峻

隨著大數據、人工智能等技術的應用推廣,用戶數據價值提升,黑產吸引力劇增。內鬼、黑客、爬虫以及手握數據的公司與個人之間的數據互換,是構成地下數據交易的主要成分,這些數據再經過清洗、分類,可以從不同的渠道銷售出去,為暗扣費、惡意移動廣告、App推廣刷量等黑產相關方提供大量原始資源,給用戶帶來了巨大的安全威脅和經濟損失。

2. 應用安全防護能力不足,用戶個人數據泄露風險較高

移動互聯網APP的應用安全防護能力和個人信息保護能力不足,行業重視度不高,安全防護和個人信息保護能力隻停留在基礎要求。開發者隱私保護意識相對淡薄,工程開發過程中,大多過分注重業務和性能,忽略安全和個人信息保護。個人信息不安全存儲、未加密傳輸、個人信息未脫敏展示等問題導致用戶個人數據泄露風險較高。

3. 企業內部管理不完善,防護能力不足易導致數據泄露

企業內部管理不善,主要表現兩個方面,一是企業人員管理機制不完善,不重視應用安全,缺少對管理人員和開發人員的安全防護培訓,管理人員和開發人員在應用安全防護上缺少應有的安全意識﹔二是系統防護機制不完善,易遭受惡意攻擊,易導致用戶敏感信息大規模泄露。

4. 分發渠道審核明示力度參差不齊,應用安全水平堪憂

分發渠道安全審核機制不完善,應用和用戶個人信息安全無法保障。主要表現在三個方面,一是部分分發平台缺少必要的應用管理機制,未對應用進行審核及安全、服務等相關檢測和跟蹤監測﹔二是分發平台雖有應用管理機制,但粒度和范圍參差不齊,特別是缺少對老舊應用的審核﹔三是一些應用通過廣告商或信息流分發,缺乏安全檢查,無用戶信息明示環節,存在靜默下載和誘導安裝現象。

5. 隱私保護與應用便利選擇兩難,產業鏈協作能力不足

面對隱私保護與應用便利,用戶很難抉擇,主要表現在兩方面,一是應用存在一攬子授權、不授權就不給用的現象,使得大部分用戶別無選擇,不得不拿個人隱私換取便利。二是在用戶權益保護共識廣泛達成、公眾個人敏感信息保護意識普遍提升的情況下,終端、應用、分發等產業鏈環節協作不足,權限管控、信息收集使用、設備識別碼防護等方面行動不統一,未形成有效合力。

6. 法律法規急需完善,協作治理能力有待提升

現行的《網絡安全法》、《民法總則》和即將出台的《個人信息保護法》等相關法律作為國家法律,構成我國個人信息保護的制度基礎,但政府行政、立法司法、市場企業及個人等相關主體間協作治理體系尚未形成,個人信息採集、使用和管理存在採集主體資格無法界定、數據權利無法律依據、權利人被動接受、數據使用和退出邊界不清晰、相關法律責任不明確,以及監管和執法難以到位等問題。

三、 移動互聯網應用個人信息安全常見問題分析

隨著行業發展及用戶意識的提高,用戶對移動互聯網應用違規收集使用個人信息、過度索權、頻繁騷擾等侵害用戶權益的問題感受強烈。

(一)個人信息收集使用規則效果不佳

收集使用規則通常以隱私政策形式呈現,是應用運營者明示用戶收集使用信息行為的主要途徑之一。隱私政策缺乏,隱私政策內容不清晰、用詞含糊、語義不清、冗長難懂、用戶難理解,“霸王條款”限制用戶權利,默認、強制用戶同意隱私政策,侵犯用戶選擇權等都是常見問題。

(二)強制、頻繁、過度索權成為普遍現象

不給權限不讓用、不給權限不讓登錄、不給權限不讓使用某項業務,變相強制用戶授權是用戶最為反對的行為。提前申請權限或無業務功能申請權限﹔權限無關場景或服務下頻繁申請權限,變相誘導用戶授權等現象也逐漸成為新的關注點。

(三)私自收集頻發,超范圍收集問題突出

未明確告知收集使用個人信息的目的、方式和范圍並在獲得用戶同意前,收集用戶個人信息。在非服務所必需或無合理應用場景情況下,超范圍或超頻次收集個人信息。在應用登錄時,將收集銀行卡號、身份証號、人臉、指紋等敏感信息作為應用開啟使用的前提條件或通過積分、獎勵等方式誘導用戶輸入相關敏感信息等超范圍收集問題突出。

(四)數據共享行為不規范,缺乏約束措施

應用未向用戶明示第三方共享信息的收集使用規則,目的、方式、范圍不明確﹔未經用戶同意轉移用戶信息。應用后端在用戶拒絕同意的情況下,依然轉移用戶數據至第三方﹔應用提供商未對第三方數據共享行為進行安全評估,無法保障所共享用戶數據在第三方處的安全性。

(五)無開啟或關閉個性化服務選項

應用在未向用戶告知的情況下,收集用戶搜索、瀏覽記錄和使用習慣,並將其用於個性化服務或精准營銷等。用戶通常無法選擇是否使用或接受個性化服務及定向推送。84.42%的應用存在未經用戶同意,強制接受個性化服務或精准營銷的現象。

(六)設置不合理障礙,賬號注銷難

應用不提供賬號注銷服務,或應用聲明提供賬號注銷服務,但注銷入口難以尋找、注銷功能無效或跳轉到無關頁面。有的在用戶使用注銷功能時,注銷失敗、無響應或超出注銷承諾時限。或者設置指定方式、指定地點等作為注銷必要前提等。

四、 移動互聯網應用個人信息保護重點及實踐案例

報告針對社會熱點聚焦、用戶投訴嚴重的六類問題,在收集使用個人信息規則明示、權限申請、收集個人信息、使用個人信息、個性化推送、賬號注銷等六個方面,提出了保護要求,給出了保護要點,以及實踐案例分析,供行業各方參考使用。

(一)個人信息收集使用規則

應用應具備收集使用個人信息規則,向用戶告知其收集使用行為,規則應清晰明了,便於用戶閱讀,以達到規則的實際目的和效果。收集使用個人信息規則關注要點如下:

1.個人信息收集使用規則單獨成文,易於訪問、閱讀

個人信息收集使用規則應單獨成文如《隱私政策》,在APP首次運行時彈出隱私政策彈窗,簡述《隱私政策》內容、提供詳細《隱私政策》鏈接、明示《隱私政策》的訪問路徑,且《隱私政策》字體大小適中,無模糊不清,易於用戶閱讀,如圖4-6所示。

圖4 單獨成隱私政策                      圖5 隱私政策路徑

圖6 字體清晰、大小適中

2. 規則中應明示收集個人信息的目的、方式、范圍

個人信息收集使用規則應清晰明示會通過哪些渠道獲取個人信息,如“您直接提供的信息”、“我們主動收集的信息”和“我們從其他來源取得的信息”等,且應清晰顯著的明示各業務場景或功能下需求的個人信息類型、個人信息字段以及收集使用信息目的說明、場景描述,如圖7-9所示。

圖7 收集個人信息渠道                        圖8 收集個人信息業務功能 

圖9 收集個人信息類型、頻率、目的及場景描述

3. 規則應清晰明示申請權限的目的、方式、范圍

個人信息收集使用規則中應清晰明示申請的設備權限、對應的業務功能、調用權限的目的、詢問時機以及用戶可否關閉權限等內容,如圖10所示。或在應用開啟時以彈窗形式對需要申請的核心權限、目的加以明示,如圖11所示。

圖10申請權限情況說明                                  圖11彈窗權限說明

4. 規則應清晰明示第三方SDK收集使用個人信息的目的、方式、范圍

個人信息收集使用規則應添加關於第三方服務的描述,按照業務功能清晰明示提供服務的第三方SDK名稱和收集使用的個人信息類型、字段,如圖12所示。或按照第三方SDK服務明示其收集使用的個人信息類型、字段和目的等,如圖13所示。

圖12 按業務功能分類說明SDK收集使用情況        圖13 按第三方SDK服務說明收集使用情況

5. 收集使用個人信息規則應經用戶主動選擇同意,不應默認或缺省設置為同意

個人信息收集使用規則不應存在默認勾選或默認同意(如“點擊登錄/注冊即同意”)等情況,如圖14所示。應提示用戶閱讀由用戶主動選擇同意,如圖15所示。可在首次打開時提供“不同意,僅瀏覽”、“同意並進入”及“不同意,退出並關閉APP”等多種選項供用戶進行自主選擇,如圖16所示。

圖14 默認同意隱私政策        圖15 用戶主動同意隱私政策        圖16 多種方式自主選擇

(二)權限申請

應用權限申請應與功能相關,不應因用戶拒絕授權而限制其他功能使用。權限申請關注要點如下:

1. 不應不給權限不讓用,不給權限不讓登錄

應用啟動時,彈窗向用戶申請可收集用戶個人信息的權限,用戶拒絕授權后,應用不會退出或關閉,仍能正常使用。

2. 應用targetSDKVersion應高於23

受系統特性的限制,當應用的targetSDKVersion版本低於23時,應用在安裝時一次性獲取全部申請權限。若用戶不同意,則無法正常安裝,如圖17所示。

圖17 安裝時一次性授權

3. 不應過度索取權限,權限應與當前應用業務功能或場景有關

權限申請應與當前應用業務功能或場景有關,不應過度索取權限。如應用申請可收集個人信息的權限,但無與所申請權限相關的業務功能﹔或應用申請可收集個人信息的權限,但申請時不存在相關的業務功能或場景。例如,用戶點擊應用在線客服功能入口中,向用戶彈窗申請開啟相機、麥克風權限,此時並未實際使用麥克風、相機,如圖18所示。

圖18 提前申請麥克風、相機權限

4. 用戶拒絕權限申請后,不應頻繁申請權限

應用在運行時,彈窗向用戶申請當前場景非必需權限如麥克風、相機、位置等,用戶拒絕權限申請后,仍頻繁彈窗申請,滋擾用戶。

(三)個人信息收集

應用收集個人信息應向用戶告知並經用戶同意,收集行為應滿足合理正當必要原則,收集個人信息行為關注要點如下:

1. 征得用戶同意后再收集個人信息

收集個人信息的行為應發生在應用向用戶告知並經用戶同意后。用戶未明確點擊隱私政策彈窗或注冊/登錄頁面的“同意”選項前,瀏覽滑動當前頁面,點擊隱私政策鏈接閱讀,返回上一頁或退出應用等操作,均不表示用戶同意個人信息收集使用規則。

2. 不應超范圍收集用戶信息

應用收集用戶個人信息時,在非服務所必需或無合理應用場景下,超出其所向用戶明示的收集范圍。其中超范圍收集通訊錄、短信、通話記錄比較普遍。例如:應用通過界面展示向用戶明示收集1-2條通訊錄聯系人信息,用戶同意后讀取全部通訊錄聯系人信息,如圖19-21所示。

圖19明示用戶收集聯系人信息              圖20明示用戶收集兩條聯系人信息

圖21明示用戶收集兩條聯系人信息,實際收集全部聯系人信息。

3. 不應頻繁收集用戶信息

應用在無合理服務場景或靜置狀態下,頻繁讀取應用定位、通訊錄、短信、圖片。例如,應用靜置狀態下,每30S讀取上傳一次定位。應用后台監聽並讀取圖片/短信/通訊錄等數據庫變更。

4. 不應強制、誘導索取生物特征數據等敏感信息

非服務所必需或無合理應用場景,不應強制,或以積分獎勵等方式誘導收集身份証號、人臉、指紋等個人信息。如“完成實名認証,享受更多優惠”、“輸入面部密碼,保証賬戶安全”、“完成實名認証,獲取更多積分”等,以積分獎勵、享受優惠、保証賬戶安全變相誘導用戶輸入身份証號、人臉、指紋等個人信息,如圖22-23所示。

圖22 特權誘導實名認証

圖23 超值大禮包誘導實名認証

(四)個人信息使用

應用應向用戶告知個人信息的使用目的、方式和范圍,用戶同意后才可將個人信息共享到第三方。應用使用個人信息,在相關界面展示時,應採取去標識化的方法展示個人敏感信息如身份証,以保証個人敏感信息的安全。使用個人信息關注要點如下:

1. 未經用戶同意,不應將個人信息私自共享給第三方

應用應在隱私政策中告知收集的個人信息會與第三方共享。在用戶同意隱私政策前,不得將個人信息發送給第三方。用戶閱讀隱私政策的操作不代表其同意隱私政策,不應在用戶讀取隱私政策時,將閱讀操作視為用戶同意,私自將個人信息發送給第三方。

2. 敏感信息應採用去標識化展示方式

應用在相關功能界面展示用戶個人信息如身份証號、手機號等,應採用去標識化展示方式,以保証其安全,常見方式如圖24所示。

圖24 界面個人信息去標識化展示

(五)個性化服務

應用應向用戶告知收集用戶信息用於個性化服務或精准營銷,給用戶提供是否使用或接受個性化服務及精准營銷的選擇,關注要點如下:

1. 個性化內容及廣告告知簡單易懂、清晰明了

隱私政策中應清晰告知使用用戶信息進行用戶個性化內容及廣告的推送。如圖25所示,明確區分個性化展示、推送信息和商業廣告,便於用戶更好地理解。

圖25 區分個性化內容及廣告

2. 提供易訪問、易操作的個性化廣告推送關閉選項

APP應提供易訪問、易操作的個性化內容或廣告的關閉選項,通常可在設置中提供個性化選項,如圖26-27所示。

圖26 個性化設置關閉選項易於發現         圖27 廣告及內容個性化展示關閉選項

(六)賬戶注銷

應用應為用戶提供賬號注銷功能,不得為注銷服務設置不合理障礙。注銷方式可以依據功能特性設計,但應便於用戶操作,注銷功能真實有效,關注要點如下:

1. 清晰告知賬號注銷途徑,便於用戶操作

個人信息收集使用規則中清晰告知賬號注銷方式和途徑,如圖28所示。應用內“設置”功能中提供賬號注銷服務,便於用戶操作,如圖29所示。

圖28 清晰告知賬號注銷方式和途徑

圖29 應用提供賬號注銷功能便於操作

2. 賬號注銷功能真實有效

賬號注銷功能應真實有效,不應存在功能無效、死鏈、跳轉到其他未知頁面等現象,如圖30-31所示。電話、郵箱等注銷方式不應無響應。

圖30 提供賬號注銷服務                             圖31 賬號注銷服務不可用

3. 不應設置過多不合理障礙

應用提供注銷功能,不應設置不合理的注銷條件。注銷時不應索要之前未曾提供過的個人信息。如要求提供上傳手持身份証全身照才可完成注銷,或需要前往指定地點才可完成注銷等。

4. 統一賬號注銷,可分別提供統一賬號下特定服務注銷和統一賬號注銷的功能

統一賬號雖然關聯多個應用或服務,但不應因此拒絕為用戶提供賬號注銷服務。可同時對用戶提供注銷統一賬號下特定服務及永久注銷統一賬號的服務,供用戶靈活選擇。例如,使用統一賬號登錄的應用提供某一特定服務注銷功能,同時提供統一賬號注銷功能,如圖32-33所示。

圖32 統一賬號下特定服務注銷                       圖33 統一賬號注銷

五、 移動互聯網應用個人信息保護十大倡議

在個人信息價值不斷提升、數據應用不斷創新、安全威脅不斷演變的大背景下,移動互聯網應用用戶個人信息保護工作道路還很長,移動應用用戶個人信息保護治理體系有待進一步深化。提升移動互聯網應用個人信息保護能力,加強用戶權益保護,離不開全產業鏈的共同努力。中國信息通信研究院秉持“國家高端專業智庫,產業創新發展平台”的發展定位,持續開展技術檢測和檢查工作,並聯合行業協會、互聯網企業在制定規范、簽署行業自律公約等方面進行了有益的探索,在加強用戶個人信息保護、維護人民群眾的切身利益方面取得了積極成效。我們特此倡議:

(一)加強行業自律,明確企業主體責任

嚴格遵守法律法規,全面加強行業自律。行業自律是用戶個人信息保護的關鍵,也是企業可持續發展的內在基礎。企業應在行業協會的組織下,嚴格遵守法律法規,積極開展自律工作。應用服務和應用分發廠商應積極落實主體責任,主動適應個人信息保護和數據管理新形勢新要求,嚴格遵守法律法規,貫徹落實個人信息收集使用規定,不斷完善企業內部的個人信息保護和數據管理制度,持續優化用戶隱私政策,並將個人信息保護的要求貫徹執行到規劃、開發、運營等各個環節,積極配合主管部門的監管要求,切實有效維護好用戶合法權益。

(二)依托公眾監督,及時響應用戶關切

高度重視用戶權益保障,為用戶舉報監督創造便利條件。公眾監督是保障用戶權益的重要渠道,也是約束企業行為的有效方式。應用服務、應用分發平台應以用戶為中心,為用戶舉報投訴設置便捷的方式和渠道,健全公眾參與監督的機制,時刻關注用戶感受和體驗,尊重並保障用戶的投訴權,積極向行業主管部門移交公眾舉報信息。

(三)規范收集使用規則,落實告知同意

規范告知明示內容,確保用戶知情權、選擇權。收集使用規則是用戶了解移動互聯網應用用戶個人信息收集使用的主要渠道,收集使用規則應滿足清晰、明確、完整、易懂等要求,確保用戶充分理解。收集使用規則應包含收集使用信息的內容、目的、方式、范圍、頻次、保護措施以及公開、轉移、共享等相關信息。移動應用服務商應嚴格依照收集使用規則進行用戶個人信息收集處理,遵循告知同意原則,在收集用戶個人信息前,以易於感知的方式,明示告知用戶收集使用規則,待用戶同意后,方可執行。

(四)規范信息共享規則,明確責任歸屬

根據信息共享和責任歸屬原則,增加信息可追溯性。移動應用服務商應制定清晰、明確的信息共享規則,在轉移、共享用戶個人信息前,應先明示用戶共享的內容、共享對象、共享用途等相關信息,征得用戶同意后,方可轉移或共享信息。移動應用服務商應與信息接收方訂立安全協議,明確各方信息保護責任,並要求信息接收方依規執行。

(五)規范推送及權限調用,加強用戶可知可控

加強應用推送及權限調用管理,淨化應用環境。完善的應用推送及權限調用管理機制可以有效約束應用服務在未向用戶告知或未以顯著方式標示情況下,將收集到的用戶搜索、瀏覽記錄、使用習慣等個人信息用於定向推送或精准營銷的行為。構建應用服務合規合理定向推送,淨化移動互聯網應用環境,以期提高公眾對應用服務的使用信心。

(六)提高應用防護能力,保障用戶合法權益

提高安全專業能力,高度重視個人信息保護。安全防護能力是移動應用保護用戶個人信息的基礎保障。移動應用開發者應採取必要的手段保障應用的安全性和用戶數據的機密性、完整性和可用性。應用服務開發者應將安全編碼原則貫穿整個軟件開發周期,採用高等級API和安全SDK、適配最新操作系統及外部代碼庫,並對應用進行必要的安全加固,採用安全存儲和傳輸技術保障用戶敏感信息安全,通過完善的身份認証機制保障通信過程安全。

(七)規范平台信息聲明,保証下載用戶知情

為用戶提供應用詳情,增加應用環境透明度。應用平台信息聲明是用戶了解應用基本信息的重要途徑。平台應明示用戶,應用名稱、功能描述、卸載方法、開發者信息、應用安裝及運行所需權限列表等,明確告知用戶應用收集使用用戶個人信息的內容、目的、方式和范圍等。在用戶下載應用時,平台應明示應用名稱、功能描述、卸載方法、開發者信息、應用安裝及運行所需權限列表等,且應明示用戶收集使用個人信息的內容、目的、方式和范圍。

(八)完善安全審核職責,落實分發上架機制

通過應用檢查審核機制,為用戶提供合規應用。應用分發平台審核機制是保証用戶個人信息的基礎保障。平台應審核開發者資質和應用相關信息。平台應制定明確的上架要求並建立完備的檢測機制,通過自動化檢測和人工審核手段,對應用收集使用用戶個人信息的行為進行規范。應用分發平台應對應用進行跟蹤監測和管控,包括定期復查,定期對已上架的應用進行復查,發現問題立即下架。

(九)健全投訴反饋渠道,配合監管落實規范

根據反饋保障機制,為用戶提供可查可控途徑。應用分發平台承擔連接用戶、應用及終端的橋梁責任,是用戶個人信息保護工作的重要環節。應用分發平台應建立多種途徑及時接收和反映用戶的建議和投訴,並通過既定規則流程,及時響應用戶投訴和應用侵權審核情況。平台應積極支撐主管部門開展市場監測工作,敦促落實用戶信息收集使用規則,輔助主管部門進行監管和決策。

(十)加強多方溝通協調,強化產業協作體系

針對焦點和難點問題,產業界齊心協力聯手行動。針對當前用戶普遍關注的移動互聯網應用用戶個人信息安全問題,產業界應積極響應產業訴求,加強終端廠商、應用服務商、應用分發商、安全廠商等多方面的溝通協調,在設備安全、應用安全、數據安全等多方面加強交流合作,共享技術經驗,制定行業標准規范,強化產業協作體系,共同提升移動互聯網應用用戶個人信息保護能力。

 

中國信息通信研究院

中國泰爾實驗室

人民網

中國互聯網協會

2020年1月

(責編:栗翹楚、孫陽)