9月15日,“个人信息保护主题论坛”在2020年国家网络安全宣传周举办。

2020年网安周“个人信息保护主题论坛”。

会上,App违法违规收集使用个人信息专项治理工作组(下称“App专项治理工作组”)副组长洪延青透露,目前已收到有效举报信息19503条,涉及5000余款App。

App专项治理工作组专家何延哲则进一步指出,从收到的举报信息看,用户对中小企业App的举报在慢慢增多,整改也比较缓慢。他强调,不能因为合规需要成本就不做,只要有足够的个人信息保护意识,“适当合规”,成本完全可控。

文|蒋琳

编辑|石莹

举报信息近两万条,涉及5000余款App

2019年1月,中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,决定自2019年1月至12月,在全国范围内组织开展App违法违规收集使用个人信息专项治理。2020年7月,四部门在京召开会议,继续开展治理工作。

App专项治理工作组副组长洪延青。

“我们的App专项治理工作已经经历了一年”,洪延青介绍,截至目前,App专项治理工作组共收到有效举报信息19503条,涉及5000余款App。举报量排在前五的典型问题包括:超范围收集与功能无关个人信息、强制或频繁索要无关权限、存在不合理免责条款、无法注销账号、默认捆绑功能并一揽子同意。

此外,App专项治理工作组还为四部门发布的《App违法违规收集使用个人信息行为认定办法》撰写了初稿,对国家标准《信息安全技术 个人信息安全规范》进行了修订,并委托测评机构对受到举报的App进行了评估并要求整改。

洪延青透露,目前正在制定《信息安全技术 移动互联网应用(App)收集个人信息基本规范》。规范将明确38类基本业务功能所对应的最少信息和最小权限范围。“有了这个标准规范之后,我们就能够对App进行一个相对完整的评价。”

在四部门共同的强力整治下,典型问题整改效果明显。从2019年3月起,App专项治理工作组分六批次对下载量大、用户常用的千余款App进行了评估,发现问题比例总体呈现逐批下降趋势,典型问题整改效果显著。

六批次评估发现问题比例趋势图。

南都个人信息保护研究中心去年底发布的《2019个人信息安全报告》也显示,App的隐私政策透明度较2018年有巨幅提升,2019年度隐私政策透明度高及较高的App占比相比上一年增加了42.5个百分点;注销难和过度申请权限等问题也有明显改善。

2018 年度和 2019 年度 APP 隐私政策透明度分布图。

中小企业App被举报多,整改缓慢

尽管整体来说App收集使用个人信息的问题得到明显改善,但何延哲指出,相对于头部企业的积极整改,几百万中小企业旗下的App受到举报的情况却在慢慢增多,整改也比较缓慢。

比如一些中小企业的App仍然没有隐私政策,这违反了网络安全法第41条关于“公开收集、使用规则”的规定。还有的App直接抄袭其他App的隐私政策——“这种隐私政策到最后很有可能坑的是自己”,何延哲直言,“你写下来的东西都要做到,你做不到,那恐怕是言行不一致。”

他表示,中小企业在制定隐私政策的时候,需要真正把产品调研到位之后,采用一个比较符合自己产品功能和服务的角度来制定适合的隐私政策,还要让用户能看得懂。还需要注意的是,隐私政策只代表对App初步规则的认可,和后续的收集过程中再同意是有区别的。

还有个别App在申请权限时“不给就不让用”,也没有标明申请的目的。何延哲举例说,“我要权限”这句话没有任何信息量,用户无法得知用来干什么,除非声明“我要你的摄像头是为了拍照”这类具体目的。

“以前连告知都没有,现在有了告知,但是告知的目的非常不清楚,需要改善。”他说,如果告知的目的是成立的,就可以认为App索要权限、信息的过程是合理的。

另一个举报量大的问题是注销难。虽然App普遍提供注销功能,但经常被网友吐槽“注册一分钟,注销一小时”。何延哲指出,尤其是中小企业的App,抱着尽量减少用户流失的心态,设置了非常“啰嗦”的注销条件。“有些‘啰嗦’的条件是没有道理的。”他强调。

根据举报中的案例,他总结道,现在中小企业已经有了初步的保护意识,有些问题从表面上得到了一定的解决,但是真正落在实际功能上,在合规上还有所欠缺,隐私设计也需要进一步加强。

何延哲表示,中小企业可能在发展期没有那么多的资金,抽调不出来一个人或者一个团队去做好整个产品的合规工作,那就需要一套比较简单的思维方式。

App专项治理工作组专家何延哲。

首先保证一切以功能为出发点,保护好过程中收集的个人信息;其次若用数据营利或产生社会公共利益,应使用匿名化等措施做好合规;最后也可以在去标识化、匿名化处理后,形成统计性、趋势性的数据协助社会治理,反向促进数据开放。

“事实上是一个比较简单的逻辑,可以去判断你的业务到底是用来做哪个方面的工作,我们就需要把合规的精力放在哪个方面。”何延哲说。

新一轮评估将加强自动化,涵盖移动全生态

谈到给中小企业的合规建议,何延哲直言,企业必须真心实意地区做合规,加强责任意识,而不是“搞表面式的应对”。

“虽然说今年的环境下,大家会觉得各方面的成本都受一些控制,但是个人信息保护是不能打折扣的。”此外,存在的典型问题要即使整改,对用户的投诉要及时反馈,达到对业务的最大程度的保护。

对于中小企业常常以合规成本高为借口,保护个人信息不到位的现象,他强调,只要掌握个人信息保护的基本意识,就能做到“适当合规”,成本完全可控,千万不要陷入要花钱就不做的误区里。

在何延哲看来,有了用户反馈,企业合规就有了方向,“有的放矢”地合规又可以在一定程度上节省成本,这是“相互依存的一个关系”。只有中小企业的个人信息保护做得更好,才能带动国家个人信息保护整体水平的提升。

放眼国内所有企业,洪延青指出,中美关系等外部环境的变化倒逼个人信息保护整体水平的提升。随着数据安全法公开征求意见,个人信息保护法即将提请审议,民法典明年生效,立法在不断加速,对App收集使用个人信息提出了更加完整的要求。

南都记者了解到,在新一轮治理中,SDK(软件开发工具包)和小程序也被纳入评估,触角伸向了整个移动生态。

洪延青解释说,比如SDK嵌在App内,而App的很多行为又受制于移动终端;当个人信息离开移动终端,到达系统后台,还可能被共享给第三方的合作伙伴。“由于很多时候业态已经成型,提出个人信息保护要求的话,意味着要改变业态的运作模式,实际上不是一个很容易的事儿。”

去年App专项治理工作组重点评估了常用的1000多款App,但这个数字相对于市面上活跃的400多万款App来说只是杯水车薪。对此,洪延青提到,今年的评估将利用更好的自动化工具,将关注的范围扩展到整个移动生态,与App开发者、应用商店运营者、操作系统开发者共同探讨和提升个人信息保护水平。

声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。