當前,在疫情防控形勢出現積極轉變的情況下,面對疫情防控和經濟社會發展工作的緊迫任務,中央和地方陸續出臺政策穩步推進復工復產。同時,移動應用市場上協同辦公、在線教育、便民服務等領域不少App也不失時機地展開了助力疫情防控、復工復產的宣傳。
01
復工復產App基本情況
通過某主流應用市場進行初步統計,目前已上線的復工復產相關App約500款,類型可分為防疫服務、遠程辦公、在線教育等。其中防疫服務類App多為醫藥產品網購平臺,支持在線購買防疫物資。遠程辦公類App普遍以在線協同辦公、即時通信傳輸、網絡視頻會議等作為核心業務功能。在線教育類App則通過網課直播、作業批改、遠程輔導等功能,協助教育群體在疫情期間實現停課不停學。
02
復工復產App數據安全隱患及合規性問題分析
本次評測選取國內主流應用商店下載量較大、業務功能較為貼合疫情防控時期社會大眾需求的典型App進行數據安全合規性測試分析,發現其中多款App在註冊、使用過程中涉及個人敏感信息以及企業數據的在線傳輸、存儲、處理,且存在相應的安全隱患。
評測結果顯示,復工復產相關App在是否明示收集使用個人信息的目的、方式、範圍及公開收集使用個人信息規則等方面問題比較突出。除此之外,防疫服務類App在遵循最小必要原則方面存在不足;在線教育類App存在收集使用個人信息規則不完善、未明確有效的隱私政策更新機制等問題;遠程辦公類App則存在默認選擇同意隱私政策、無法確保個人信息有效刪除等情況。
1.醫藥平臺涉及用戶醫療和健康隱私數據,如何保護患者隱私是焦點問題
使用醫藥平臺購買部分藥品時,用戶需要提供處方單和醫生諮詢信息、郵寄地址等個人敏感信息,除此之外部分App具有在線問診功能,更進一步獲取了患者電子病歷、健康檔案、會診信息、影像數據等。一旦發生數據洩露將對患者群體、醫療產業造成嚴重影響。
本次評測中,此類App除未明示個人信息收集使用規則、未經用戶同意收集使用個人信息情況、未遵循最小必要原則等問題以外,還存在強制索取非必要權限的情況。
案例1:某醫藥平臺App在啟動、登錄、註冊界面未以顯著方式提示用戶閱讀隱私政策。
案例2:某醫藥平臺App申請可收集個人信息權限時未同步說明使用目的。
2.在線教育相關數據涉及用戶身份信息、教育信息,需額外關注未成年人信息保護
教育平臺存儲了大量的學生在線註冊信息,使用過程中為了課堂秩序和教育質量,通常需要開啟麥克風、攝像頭等敏感權限,未成年人信息一旦洩露或被違法商用,對他們的人身安全、學習和成長都將產生極大危害,企業自身及其他教育用戶也面臨同樣的安全風險。
本次評測發現在線教育類App在公開收集使用規則,明示收集使用個人信息的目的、方式、範圍方面存在欠缺,部分App申請權限時彈出的說明文字語焉不詳,不能明示其索要權限的動機,或未明確隱私政策更新機制。
案例3:某在線教育App在收集個人信息方面未能明確規範其收集使用規則,隱私政策中提及的收集使用個人信息類型和其業務功能對應關係不清。
案例4:某作業輔導App在申請可收集個人信息的定位、存儲權限時,未同步說明目的。
案例5:某在線教育App未明確有效的隱私政策更新機制及通知用戶的方式。
3.協同辦公各項功能的實現涉及員工信息及企業核心數據,管理不當容易造成數據洩露、丟失、被竊取等安全事件
協同辦公主要支持在線考勤、文檔分享、辦公協作、流程審批等功能,抗疫期間各平臺競相提供免費資源吸引用戶,信息交互涉及大量企業內部、甚至核心數據,對App本身的數據安全保障能力提出了極高要求。
受測的協同辦公、視頻會議類App多暴露出未明示收集使用個人信息的目的、方式、範圍,及未遵循必要原則收集使用個人信息問題,尤其在App索權方面規範性不足。
案例6:某視頻會議App在註冊賬號時,未經用戶自主操作,默認勾選“閱讀並同意”選項。
案例7:某協同辦公App將隱私政策夾雜在服務條款中,且未在隱私政策中逐一描述收集使用個人信息的類型、目的等規則。
案例8:某協同辦公App功能界面、客服電話、電子郵箱等各渠道均無法要求刪除文檔、個人信息等數據。
案例9:某網絡會議App啟動、登錄、註冊界面均未提示用戶閱讀其隱私政策。
03
數據安全及個人信息保護相關建議
1.建議App相關企業嚴格落實法律法規要求,消除數據安全隱患
App運營公司及相關企業應嚴格落實《網絡安全法》、《電信和互聯網用戶個人信息保護規定》(工信部24號令)等有關法律法規要求,參照《App違法違規收集使用個人信息行為認定方法》進行自查自糾,及時消除安全隱患,避免違法違規收集使用個人信息或發生數據安全事件。
移動App使用過程可能涉及個人敏感信息、企業核心數據的,運營公司應實現產品的快速迭代,完善產品防護機制。應用分發平臺應加強App數據安全監測能力,提升數據安全保障能力。
2.建議作為用戶的企業或個人重視數據安全,增強個人信息保護意識
企業一方面應結合自身管理制度,規範各項工作的開展,梳理數據資產實施分類分級管理,提升企業數據安全風險管控能力;另一方面需加強員工數據安全教育培訓,確保員工使用過程的數據安全,防止由於意識不到位導致的安全事件。
此外,用戶應選擇正規、可靠的渠道下載App,關注App是否提供了完善的個人信息保護機制,謹慎提交個人信息,合理合法保障自身權益。
3.建議行業協會、聯盟加強宣傳引導,助力安全有序復工復產
相關行業協會、產業聯盟應積極配合相關部門推動復工復產,在助力防控工作的前提下充分發揮聯盟優勢,凝聚各方力量,互助協作、資源共享,共同形成行之有效的解決方案並宣傳推廣。充分利用安全、高效的互聯網平臺,通過舉辦在線論壇、講座,在媒體、公眾號等渠道適時發聲,加大數據安全和個人信息保護的宣傳力度,增強企業和社會公眾的數據安全意識。(王丹輝 解伯延 中國信息通信研究院安全研究所數據安全研究部)
閱讀更多 國家網信辦舉報中心 的文章
