1、 移动应用移动应用(A Apppp) 数据数据安全安全与个人信息保护与个人信息��������保护 白皮书白皮书 (2012019 9 年)年) 中国信息通信研究院中国信息通信研究院 安全研究所安全研究所 2012019 9年年1212月月 版权声明 本白皮书本白皮书版权属于版权属于中国信息通信研究院中国信息通信研究院(工业和信息化工业和信息化 部电信研究院部电信研究院)安全研究所)安全研究所,并受法律保护并受法律保护。转载、摘编或利用转载、摘编或利用 其它方式使用其它方式使用本本白皮书白皮书����文字或者观点的, 应文字或者观点的, 应注明注明“来源:来源:中国信中国信 息通信研究院息通信研究院安全研究所安全研究
2、所” 。违反上述声明者,本。违反上述声明者,本单位单位将追究其将追究其 相关法律责任。相关法律责任。 前前 言言 移动应用(以下简称“App” )是数字经济下的重要产品。随着移 动网络和智能手机全面覆盖,App 种类和数量增长迅猛。从社交到出 行、从网购到外卖,从办公到娱乐,App 已全面渗透用户生活,成为 大众生活必需品,并因此汇集大量衣食住行、社交关系等用户个人信 息。App 逐渐成为承载网络应用和信息数据的核心������载体。 App 在满足用户美好数字生活需要,助力消费升级和经济转型发 展方面发挥了不可替代的作用, 但也暴露出违法违规收集使用个人信 息、用户个人信息泄露与滥用等数据安全问题。Ap
3、p 数据安全关乎个 体层面的隐私权利保护,产业层面的健康发展,以及国家层面的全球 数字竞争力。欧美等移动互联网�����发展较早的国家,在移动互联网安全 制度构建方面已较为领先。近年来,我国也高度重视 App 数据安全与 个人信息保护工作,从法规标准、专项治理�������、企业自律等方面多管齐 下,加大治理力度。 本白皮书在研判 App 发展趋势及社会经济影响的基础上, 重点分 析目前主流 App 存在的数据安全隐患, 系统梳理总结国内外 App 数据 安全治理现状, 最后从政府、 企业、 行业三个维度研究提出了我国 App 数据安全与个人信息保护综合治理建议, 并从用户视角总结提出了用 户安全使用技巧。 目目 录
4、录 一、 移动应用(App)发展趋势及影响 . 4 (一) 移动应用成为互联网服务主要载体 . 4 (二) 移动应用引领用户数字生活 . 5 (三) 移动应用助推消费提质升级 . 7 (四) 移动应用支撑经济转型发展 . 8 二、 移动应用(App)主要数据安全问题 . 9 (一) 默示征询个人情况多,存在数据违规收集风险 . 12 (二) 过度索取����个人权限多,存在数据恶意滥用风险 . 13 (三) 明文存储个人信息多,存在数据非法获取风险 . 15 (四) 私自共享用户数据多,存在数据恶意散播风险 . 16 (五) 设置注销限制条件多,存在数据过度留存风险 . 17 三、 国内外移动应用(A
5、pp)数据安全管理现状 . 18 (一) 国内移动应用数据安全管理现状 . 18 (二) 国外移动应用数据安全管理现状 . 18 四、 移动应用(App)数据安全治理建议 . 29 (一) 政府层面,加快完善数据安全监管体系 . 29 (二) 政府层面,创新数据安全防护技术手段 . 30 (三) 企业层面,切实落实数据安全主体责任 . 30 (四) 行业层面,构建数据安全多方治理生态 . 31 五、 移动应用(App)用户安全使用建议 . 32 (一) 用户授予敏感权�������限应谨慎 . 32 (二) 用户阅读隐私政策宜仔细 . 33 (三) 用户注销个人账号需灵活 . 34 移动应用(App)数据安
6、全与个人信息保护白皮书 4 一、一、 移动应用(App)发展趋势及影响 (一) 移动应用成为互联网服务主要载体 随着移动互联网技术的飞速发展, 以智能手机为代表的智能移动��� 终端广泛普及。截至 2019 年 9 月底,三家基础电信企业手机上网用 户规模达到 13.04 亿户 1,普及率超过 90%。移动互联网的持续渗透, 直接推动了数字生活的丰富和繁荣,海量用户需求被持续挖掘,移动 应用(以下简称“App” )种类和数量持续增长,全面渗透,已成为不 可替代的“公共基础软设施” 。 从总量上看,App 首次超越网站成为提供互联网服务的主角。近 年来,我国 App 数量稳步增长,而网站数量自 201
7、8 年起持续下降。 截至 2019 年 10 月, 我国本土市场上监测到的 App 在架数量为 525 万 款 2,首次超越我国网站数量 518 万个,传统桌面互联网应用服务已 向移动互联网全面迁移。 (数据来源:工业和信息化部、(数据来源:工业和信息化部、CNNIC、爱加密)、爱加密) 图 1 2016-2019 年 App 与网站数量对比 1 数据来源:工业和信息化部, 2019 年前三季度通信业经济运行情况 2 数据来源:北京智游网安科技有限公司(爱加密) 403 449 525 482 533 523 518 2016年2017年2018年2019年10���������月 App数量网站数量 移动应用
8、(App)数据安全与个人信息保护白皮书 5 从用户使用看, App 成为用户最依赖的互联网入口。 用户使用 App 的数量和时长逐年递增,App 成为承载手机用户上网时长的核心。据 统计,2018 年我国的 App 下载量将近千亿,其中近 20 款应用���下载量 过亿 3,是目前全球 App 下载量最大的国家。2019 年三季度,我国网 民人均安装 App 总量增加至 58 款,用户每天花在各类 App 的时间为 4.9 小时 4,占用户每日上网时长的 81.7%。 (数据来源:(数据来源:极光极光2019 年年 Q3 移动互联网行业数据研究报告移动互联网行业数据研究报告 ) 图 2 人均安装 A
9、pp 的数量增长情况 (二) 移动应用引领用户数字生活 网上购物、手机打车、听书、看视频、外卖到家,App 已经 深入渗透进衣食住行等日常生活的方方面面,用户习惯于通过使用 App 解决生活中各类场景需求。 在横向覆盖各类功��������能领域的同时, App 不断深入拓展、发掘不同用户群体的差异化需求,进一步普及数字红 利,更好地满足美好数字生活需要。 3 数据来源:中国信通院移动应用程序(App)监测平台 4 数据来源:QuestMobile中国移动互联网半年报告 ,极光2019 年 Q3 移动互联网行业数据研究报 告 50 51 54 56 58 2018Q32018Q42019Q12019Q2201
10、9������Q3 移动应用(App)数据安全与个人信息保护白皮书 6 从应用类型看,App 已实现生活场景全覆盖,形成围绕个人需求 的完整消费闭环。截至 2019 年 10 月底,中������国信通院安全研究所移动 应用程序监测平台上监测到的 App 覆盖 22 种类型, 从短视频、 游戏、 社交为代表的泛娱乐应用拓展到金融理财、旅行交通、健康养生、商 务办公、家居服务、教育医疗等生活服务类应用(见表 1) ,基本实现 “一部手机走天下”。社交、搜索、新闻、购物支付等基础应用渗透 率都超过 70% 5,其他细分市场呈现出明显长尾效应。 表 1 App 类型及数量分布 序号序号 应用类型应用类型 AppApp数量数
11、量(个个) 序号序号 应用类型应用类型 AppApp数量数量(个个) 1 1 游戏 931238 12 健康养生 20077 2 2 生活�������服务 137192 13 摄影图像 13963 3 3 主题美化 78501 14 休闲娱乐 12709 4 4 影音�����播放 67638 15 安全保密 8545 5 5 电子商务 63450 16 手机通信 6913 6 6 金融理财 47635 17 网络浏览 6554 7 7 学习帮助 39033 18 文件管理 5808 8 8 系统工具 38479 19 图形相关 4177 9 9 网上购物 29274 20 商务办公 531 1 10 0 社区交友
12、 26519 21 及时通信 292 1 11 1 旅行交通 23517 22 时间日程 66 (数据来源:(数据来源:中国信通院中国信通院移动应用程序(移动应用程序(App)监测平台)监测平台) 从覆盖人群看,App 基本实现适龄人口全覆盖,并加速向三线及 以下城市用户下沉。 手机网民年龄分布逐步向�������两端延伸, 14 岁以下青 5 数据来源:CNNIC 第 44 次中国互联网络发展状况统计报告 ,极光2019 年 Q3 移动互联网行业数据 研究报告 移动应用(App)数据安全与个���人信息保护白皮书 7 少年和 50 岁以上中老年人均手机 App 数量都超过 30 个 6。除了微信 等国民级应用外
13、,中老年人还钟爱理财、购物、广场舞、美颜相机和 全民 K 歌等潮流 App。此外,三线及以下市场的潜力和空间正在被发 掘,70%左右的三线及以下城市网民刷手机的时间占比都超过一半 7, 娱乐和生活相关的 App 在三线及以下城市发展的新用户更多。 阿里巴 巴财报显示,截至 2019 年 3 月底,淘宝天猫 1.04 亿移动月活跃新增 用户的 77%来自三线城市及以下地区。 (数据来源:(数据来源:CNNIC 第第 44 次中国互联网络发展状况统计报告 ,次中国互联网络发展状况统计报告 ,2019.6) 图 3 各年龄段网民人均安装 App 数量 (三)����� 移动应用助推消费提质升级 App 创新活
14、跃、增长迅速、辐射广泛,助推信息消费升级。一方 面,App 是拉动流量消费的重要驱动力。App 全场景的使用,大大增 强用户粘性, 提高用户上网时长, 激发了数据流量消费�����快速攀升。 2019 年 110 月,通过手机上网的流量达到 995 亿 GB,同比增速仍高达 6 数据来源:CNNIC,第 44 次中国互联网络发展状况统计报告 7 数据来源:企鹅智库,2018 年中国三四五线城市网民时间&金钱消费数据报告 32 40 66 54 49 47 40 33 10岁以下10-14岁15-19岁20-29岁30-39岁40-49岁50-59岁60岁及以上 移动应用(App)数据安全与个人信息保护白
15、皮书 8 85.6%。经测算,2018 年仅微信就带动流量消费������ 2108 亿元 8。另一方 面, 以 App 为载体的信息服务消费规模持续扩大, 带动信息消费增长。 2019 年前三季度,包括网络音乐和视频、网络游戏、新闻信息、网络 阅读等在内的信息服务收入规模达 5660 亿元,同比增长 22.3%,占 互联网业务收入比重达 65.8% 9。 App 作为“连接器”融合线上线下,助力传统消费升级。在信息 消费之外, App 覆盖出行、 餐饮、 购物、 酒店、 旅游等线下消费场景, 传统实体经济的大量商品和服务,通过 App 入口直接与用户对接,提 升服务效率,降低交易成本,改善消费体验。在购
16、物领域,据�����商务部 统计,2018 年全国网上零售额突破 9 万亿元,其中实物商品网上零 售额 7 万亿元,同比增长 25.4%。在餐饮领域,美团通过 53.1 万日 活配送骑手,连接起全国超过 2800 个市县的 3.1 亿年度交易用户和 约 440 万年度活跃餐厅。在旅游领域,各大景区或城市与短视频 App 合作打造“网红景点” “网红城市” ,带动地方旅游收入增长。 (四) 移动应用支撑经济转型发展 App 带�����动传统产业数字化转型,促进实体经济发展。一方面,以 电子商务、数字内容等为代表的大量新应用、新模式、新业态,带动 零售、物流配送、文化创意等传统服务业的数字化转型。据国家邮政 局统计
17、,2018 年中国快递年业务量突破 500 亿件,自 2014 年开始连 续 5 年稳居世界第一。另一方面,App 从消费领域向工业领域快速渗 8 数据来源:微������信、中国信通院、数字中国研究中心联合发布, 微信就业影响力报告 9 数据来源:工业和信息化部,2019 年前三季度互联网和相关服务业运行情况 移动应用(App)数据安全与个人信息保护白皮书 9 透,我国面向工业场景的 App 数量一年增长 7 倍 10。在工信部印发的 工业互联网 APP 培育工程实施方案 (20182020 年) 中明确提出, 到 2020 年要培育 30 万个面向特定行业、特定场景的工业 App。工业 App 的形成
18、与规模化应用,有利于发挥软件赋能作用,破解企业内部 工业技术不足的难题,加速推动制造业转型升级。 App 分布地区聚集效应显著,促进区域经济发展。App 地区分布 与总体经济繁荣程度密切相关,从接入地分布情况看,App 主要聚集 在北上广等一线城市。 中国信通院安全研究所移动应用程序监测平台 已监测 100 个重点 App 的接入信息,其中在北京接入的 App 最多,接 入数量达到 78 个,其次是广东、天津和上海,接入 App 数量分别是 70、56 和 52 个。以上地区综合优势十分明显,北京、上海、天津也 是同期全国人均 GDP 排名前三的省市。这一结果说明,App ������的发展已 广泛渗透到
19、经济社会各个领域,对各地就业拉动、经济发展起到至关 重要的带动作用。 二、二、 移动应用(App)主要数据安全问题 随着 App 的全面渗透, 广�����大用户却面临着享受便捷化泛在化服务 与保护个人信息权利之间的两难抉择。App 强制授权、过度索权、超 范围收集个人信息的现象大量存在, 违法违规使用个人信息的关注度 始终居高不下。截至 2019 年 11 月 4 日,报告团队从应用宝、华为应 用市场、小米应用商店等 10 个安卓应用市场选择社交通信、餐饮外 卖、地图导航、视频直播、网上购物、网约车、医疗教育等 20 个类 10 工信部、北京市政府主办的第二十三届中国国际软件博览会展示 移动应用(Ap
20、p)数据安全与个人信息保护白皮书 10 别中下载量大、影响范围广、存在典型问题的 200 余款 App 作为检测 对象,共计检测出 1265 项数据安全问题。整体来看: 一是 App 个人信息安全整体问题较多且集中。67%的 App 存在 5 个及以上个人信息安全问题, 18.5%的 App 存在 10 个及以上个人信息 安全问题。超过四成 App 的问题集中在未公开收集使用规则、未明示 收集使用目的、超范围收集个人信息等 5 类。具体情况如下图所示。 图 4 App 问题数量分布情况 图 5 App 安全检测突出的不合规问题 40.0% 40.0% 42.0% 46.0% 48.5% 未�����经用
21、户同意收集使用个人信息 私自共享个人信息 超范围收集个人信息 未明示收集使用个人信息的目的 未公开收集使用规则 0=问题数5, 33.0% 5=问题数10, 48������.5% 10=问题数=15, 1.5% 移动应用(App)数据安全与个人信息保护白皮书 11 二是地图导航、医疗健康、安全管理类 App 个人信息安全问题较 突出。从业务类别来看,地图导航类 App 个人信息安全问题数量高居 首位,平均每款 App 出现 8.4 个问题,医疗健康、安全管理类 App 问 题数量位列第二,平均每款 App 出现 8.3 个问题。具体情况如图 6 所 示。 图 6 分业务 App ��������个人信息安全平均问题数
22、三是用户数据存储、收集、共享环节安全问题较多。检测工作覆 盖用户数据收集、传输、存储、使用、共享、删除等全生命周期关键 环节, 其中 20.7%的问题属于数据存储环节, 20.5%的问题属于数据收 集环节,17.1%的问题属于数据共享环节。具体情况如图 7 ������所示。 8.4 8.3 8.3 7.8 7.6 6.9 6.8 6.7 6.5 6.4 6.4 6.4 6.2 6.1 6.0 4.8��� 4.6 4.3 3.4 2.7 地 图 导 航 医 疗 健 康 安 全 管 理 餐 饮 外 卖 直 播 在 线 教 育 物 流 网 约 车 基 础 电 信 社 交 网 上 购 物 网 租 房 票 务 金 融
23、 短 视 频 输 入 法 求 职 招 聘 新 闻 资 讯 视 频 运 动 健 身 注:平均问题数=该类App问题总数/该类App总数 移动应用(App)数据安全与个人信息保护白皮书 12 图 7 各环节问题占比情�������况 基于前述检测和研究, 报告团队梳理出当前主流 App 在数据安全 与用户个人信息保护方面存在的风险如下: (一) 默示征询个人情况多,存在数据违规收集风险 隐私政策是 App 运营者告知用户个人信息收集规则的主要途径, 是保障用户知情权的基础。运营者应在用户首次注册、登录 App����� 时以 弹窗、超链接等明显方式提醒用户阅读隐私政策,以直观的方式告知 用户收集使用个人信息的目的、方式、
24、范围,使用户充分了解其个人 信息如何被收集、存储、使用、传输、共享、�����销毁,在知情了解的基 础上保护其个人信息安全。 经报告团队检测发现, 超过九成的 App 都已具备隐私政策且内容 丰富,但是其中超过半数 App 在用户首次登录时向用户默示隐私政 策,导致隐私政策难以起到告知作用。63.1%的 App 通过“登录/注册 即表示同意隐私政策”的方式强制用户同意,且未提供拒绝选项,用 户若想继续使用只能被动同意隐私政策,侵犯了用户自主选择权; 数据收集, 20.5% 数据传输, 16.3% 数据存储, 20.7% 数据使用, 12.7% 数据共享, 17.1% 数据删除, 12.6% 移动应用(A
25、������pp)数据安全与个人信息保护白皮书 13 16.9%的 App 在使用过程中仅展示隐私政策但未征询用户同意,违背 制定隐私政策的初衷;15.4%的 App 提供了是否同意隐私政策的勾选 框, 但存在默认勾选问题, 在用户不知情的情况下将风险让渡给用户, 企图逃避自身责任。具体情况如图 8 所示。 图 8 默示隐私政策各场景占比 与运营者相比,用户在使用 App 时处于信息不对称的弱势地位。 若运营者以隐蔽、模糊的方式默示信息收集规则,用户将无法知悉被 收集信息的类型、数量以及个人信息的最终流向,失去对其个人信息 的知情控制权,大大增加个人信息被违规收集的风险。 (二) 过度索取个人权限多,存在
26、数据恶意滥用风险 权限是移动终端操作系统对于 App 运�������营者收集使用用户个人信 息的限制,运营者可通过申请权限的方式获取用户个人信息。为保障 用户数据的安全,安卓系统的 App 在默认情况下不拥有任何系统权 限。如果 App 运营者因业务功能需要申请权限,应当遵循最小够用原 登录/注册即表示同意隐私 政策, 63.1% 未在使用过程中征求用户 同意隐私政策, 16.9% 默认勾选同意隐私政策, 15.4% 隐私政策默认勾选且无 法取消, 3.1% 未提供“不同意”选项, 1.5% 移动应用(App)数据安全与个人信息保护白皮书 14 则,仅收集使用业务功能必需的最少类型和数量的个人信息。App
27、 违 法违规收集使用个人信息专项治理工作组于 2019 年 5 月发布的研究 报告App 申请安卓系统权限机制分析与建议称,绝大部分 App 申 请 10 个(含)以下与收集个人信息相关的权限即可满足需要。 经报告团队检测发现, 近三成的 App 申请的与收集个人信息相关 的权限数量大于 10 个,部分金融类 App 申请权限多达 14-16 个,所 收集的个人信息远远超出全国信息安全标准化技术委员会发布的 网 络安全实践指南移动互联网应用基本业务功能必要信息范围 中 规定的金融行业 App 的 7 项必要信息,涉嫌超范围获取权限。检测发 现“写入外�����置存储器”权限、 “读取电话状态”权限被申请
28、的百分比 大于 85%,二者均属于安卓系统中的危险级别权限。拥有“写入外置 存储器”权限的移动 App 可以修改和删除设备存储卡中的数据,可能 导致用户设备被植入恶意程序;拥有“读取电话状态”权限的移动 App 可以获取设备唯一标识信息和手机通话状态,设备唯一标识信息 可关联用户的生活习惯和消费行为, 为实施精准诈骗等恶意行为提供 数据支持。此外, “拍摄” 、 “访问粗略定位” 、 “访����问精确定位” 、“读 取外置存储器”、“录音”等危险权限的申请比例也超过七成。 App 过度索权现象成常态,用户缺少自主选择权,处于要么放弃 使用、要么授权的被动地位。过度索取危险权限为违规收集用户个人 信息
29、提供了渠道,一旦这些个人信息被不法分子获取滥用,将严重危 害用户权益。 移动应用(App)数据安全与个人信息保护白皮书 15 (三) 明文存储个人信息多,存在数据非法获取风险 数据存储是 App 运营过程中的关键环节, 也是网络黑客攻击窃取 数据的切入点, 可靠的数据存储为用户个人信息的正常使�������用提供重要 保障。App 运营者应在不影响用户终端和服务正常使用的情况下,优 先在用户个人终端内存储所收集的个人信息, 并采取加密等技术措施 确保用户数据即使泄露也难以被破解。 经报告团队检测发现, 超过九成的 App 会在用户终端内存储运行 日志、设备信息、用户信息等数据,但其中 25%的 App 存在
30、明文存储 用户个人信息的问题。从明文存储的个人信息类型来看,网络身份标 识信息占比 35.1%,其中�����主要包括个人信息主体账号以及密码;个人 基本资料占比 38.6%,主要包括用户手机号、邮箱、生日等信息;精 确定位信息占比 15.8%,主要包括用户所�������在位置的经纬度信息。网络 身份标识信息被不法分子获取后可直接窃取账号内的全部数据; 个人 基本资料和精确定位信息被非法获取后, 将成为利用人工智能挖掘分 析形成用户画像的基础数据,为“大数据杀熟”提供数据支撑,甚至 移动应用(App)数据安全与个人信息保护白皮书 16 为恶意欺诈行为推波助澜。具体情况如图 9 所示。 图 9 本地明文存储数据类型占
31、比 运营者本地存储用户个人信息的行为通常在用户不知情的情况����� 下发生,存储的数据往往是使用 App 过程中常用的重要信息。发生数 据泄露事件时,若未对存储的数据采取加密等保护措施,用户个人信 息将直接被识别利用,降低了不法分子的犯罪难度,极大地增加了用 户数据被非法获取利用的风险。 (四) 私自共享用户数据多�������,存在数据恶意散播风险 私自共享是指 App 运营者未经用户同意与第三方共享用户个人 信息的行为。 运营者应在用户跳转至第三方应用前明示用户其个人信 息是否被共享及共享后个人信息的传播路径, 同时还应根据共享的个 人信息私密程度、安全系数的不同,为用户提供是否同意信息共享及 信息共享路径的选
32、�������择权。 经报告团队检测发现,四成 App 存在跳转第三方应用时,未提醒 个人基本资料, 38.6% 网络身份标识信息, 35.1% 精确定位信息, 15.8% 个人设备信息, 3.5% 个人财产信息, 1.8% 个人身份信息, 1.8% 个人健康生理信息, 1.8% 个人教育工作信息, 1.8% 其他, 10.5% 移动应用(App)数据安全与个人信息保护白皮书 17 用户关注第三方收集使用个人信息规则问题。 跳转的第三方应用以金 融类和网上购物类为主,占比均为 31%。金融类第三方应用易受病毒 感染,恶意仿冒、窃取隐私现象频发,容易导致用户个人敏感信息泄 露,甚至造成经济损失;网������上购物类第三
33、方应用存在过度使用用户个 人信息、追踪用户行为、恶意窃取交易信息等现象,由此引发的骚扰 电话、推销广告等行为将严重干扰用户的正常工作生活,甚至影响用 户人身和财产安全。具体情况如图 10 所示。 图 10 跳转的第三方应用类型占比 在 App ������使用过程中,跳转至第三方应用,在用户毫不知情的情况 下使其个人信息被第三方获取, 将导致用户无法掌握并控制个人信息 的传播路径、使用范围及风险系数,极大增加了用户数据被恶意散播 的风险。 (五) 设置注销限制条件�����多,存在数据过度留存风险 账号注销功能是用户自主注销权的重要保障, 也是民众关注的热 点,中国青年报社调查数据显示,80.2%的受访者存在注销
34、App 账号 金融, 31.0% 网上购物, 31.0% 娱乐, 5.2% 票务, 5.2% 房地产, 5.2% 社交, 5.2% 配送, 3.4% 小程序, 3.4% 网约车, 3.4% 求职招聘, 3.4% 在线医疗, 1.7% 新闻资讯, 1.7% 移动应用(App)数据安全����与个人信息保护白皮书 18 的意愿和需求 11。 电信和互联网用户个人信息保护规定 、 信息安全 技术 个人信息安全规范等制度标准中明确要求运营者提供注销账 户功能。App 运营者应在积极为新用户推广业务的同时,为老用户提 供终止业务的便捷途径,避免“注册容易注销难”的现象发生。 经报告团队检测发现,20.5%的 A
35、pp 未提供注销功能。App 账号 常与用户银行卡、身份证等敏感信息相关联,若账号无法注销将导致 用户个人敏感信息长期被运营者留存,增大数据泄露风险。26.9%的 App 虽然提供了注销功能,但注销耗时长、流程繁琐,还需比注册时 多提交额外非必要的个人敏感信息,如用户真实姓名、住址、邮箱、 身份证照片等,且 App 运营者并未明确额外信息在注销后是否会删 除。相比简单的注册流程,为用户注销账号设置了大量不合理条件, 阻碍用户行使注销权。 用户量是 App 商业价值的重要衡量标准, 但由此导致的 App �������运营 者为提升其市场竞争力而限制用户注销账户的行为, 侵犯了用户的选 择权、隐私权和平等交易
36、权等权益。无法注销账户或者为完成注销流 程需要用户额外提交个人信息的行为,均存在数据过度留存风险。 三、三、 国内外移动应用(App)数据安全管理现状 (一) 国外移动应用数据安全管理现状 移动互联网应��������用服务领域的安全问题已经成为了国际社会面临 的重大挑战。欧美等移动互联网发展较早的国家�����,在移动互联网安全 制度构建方面也较为领先,已从制度构建阶段步入到深化拓展阶段。 11 中国青年报, 75.9%受访者遭遇过 App 账号注销难 移动应用(App)数据安全与个人信息保护白皮书 19 整体来看,欧美等主要国家均通过基础性立法、针对性指导文件、安 全审查、行业自律等综合性举措,以个人隐私保护为重点
37、,逐渐加强 对 App 的治理和指引。 1 1、管理制度:完备的基础性、管理制度:完备的基础性数据安全立法奠定监管基础数据安全立法奠定监管基础 一是世界主要国家和地区以个人信息保护为切入点, 抓紧出台和 完善数据安全基础性和行业性法律。截至 2018 年年底,全球近 120 ������个国家和独立的司法管辖区已采用全面的数据保护或隐私法律来保 护个人数据。现有法律法规主要是一般性规定,其中对网络运营者的 数据安全保护义务和责任同样适用于 App 服务提供者。如欧盟一般 数据保护条例(GDPR) , 英国 数据保护法案(Data Protection Act) 、������� 瑞典瑞典数据法案 (Swedish Da
3��������8、ta Act) 、爱尔兰2018 数据保护 法案 、美国加利福尼亚州颁布加州消费者隐私保护法案 (CCPA) 等,都围绕个人数据的收集、使用、保存、分享、转移等,对数据控 制者和处理者、数据主体的权利义务进行了全面规定。 二是在移动互联网应用安全专门法规方面, 美国也有一些成功探 索。2016 年美国发布应用程序隐私保护和安全法案 ,这是第一部 全国性的专门规范 App 收集使用用户隐������私信息的法案, 试图实现用户 隐私保护与 App 功能正常之间的动态平衡。 法案的内容并没有新颖之 处,但是它将专门针对 App 的个人信息保护原则上升到法律的高度, 且明确一个强有力的执行机构, 能够使该法案的
39、相关规定得到切实执 行。 三是通�����过高压执法、强力处罚推动企业落实法律法规要求。美、 移动����应用(App)数据安全与个人信息保护白皮书 20 欧等国保护消费者隐私和个人信息最主要的手段就是采取强制执法 措施来制止违法行为,并要求企业采取积极整改措施。美国联邦贸易 委员会(FTC)已建立两年一次的独立专家评估制度,并针对一系列 移动互联网应用隐私问题开展执法行动,通过高罚款、禁止销售运营 等强力处罚手段,震慑移动应用提供者。2019 年 7 月,FTC 认为 Facebook 多次使用欺骗性的披露和设置来破坏用户的隐私偏好,且 对违反其平台政策的第三方应用程序采取的措施不足,对其处以 50 亿美元罚
40、款。2019 年 ��������10 月,FTC 认为三款 App 未经移动设备用户的 知情或同意,监控 App 使用者的移动设备地理位置,损害了消费者的 隐私权以及移动设备的安全性,现已禁止其继续推广和销售。 2 2、管理思路:重视产业链各环节主体的责任落实和协作、管理思路:重视产业链各环节主体的责任落实和协作 针对 App 的独特性,加拿大、美国、欧盟等国家和地区纷纷发布 App 个人隐私保护的指导意见, 对 App 产业链上的开发者、 应用商店、 终端制造商等相关主体提出细化要求。 一是在移动应用开发设计环节即纳入隐私保护要求。2012 年 10 月,加拿大隐私专员办公室发布移动 App 开发隐私指南
41、 ,该指南 指出开发者在 App 设计和开发过程中, 应如何加强个人隐私数据安全 保障。2014 年 9 月澳大利亚信息专员办公室(OAIC)制定移动隐 私:面向移动应用开发者的更好的实践指南 ,要求 App 开发公司设 置隐私事项专员, 在应用的规划设计阶段应进行隐私影响评估 (PIA) , 并需要有适当的控制措施(例如合同) ,确保第三方应用合法�������合规处 理个人信息。 移动应用(App)数据安全与个人信息保护白皮书 21 二是对于智能终端预置应用数据安全性提出监管要求。2013 年 美国加利福尼亚州司法部长发布手机 App 隐私保护规范 ,要求操 作系统开发商提供全球性的隐私设置,使手机用户
42、能够控制访问 App 的数据和硬件配置特征,并向 App 开发商提供工具,使其能够综合评 价隐私信息的收集、使用和传输情况。韩国未来创造部于 2014 年 1 月发布关于智能手机预置应用准则 ,该准则规定上市的智能手机 应保证用户对于预置应用的选择权以及向用户公开预置应用的相关 信息。 三是推动�����移动应用商店加强应用上架前数据安全审核管理。 美国 手机 App 隐私保护规范 中明确要求 App 分发平台建立健全审核机 制以及投诉举报制度。苹果应用程序商店(App Store)随着 iOS 版 本更新和终端类型的增加,持续完善事前审核规则,实行对开发者资 质和 App 安全性的双重审核,且审核内容
43、逐步扩大,包括程序中是否 使用非公开 API、是否安装������或运行其他可执行代码、是否隐蔽调用位 置信息及传输用户相关数据等。 3 3、管理方式:、管理方式:行业组织多管齐下引导行业自律成共识行业组织多管齐下引导行业自律成共识 各国在监管实践中均重视多方治理, 通过 “政府主导+行业自律” 混合模式,充分发挥行业����协会、第三方机构和社会公众的作用。目前 典型的做法主要有以下几种: 一是通过制定标准指导企业开展自评估。 2014 年, 美国国家信息 安全保障合作组织(NIAP)和美国标准与技术研究院(NIST)分别制 定移动互联网相关保护轮廓和移动应用安全审查 ,为各行各 移动应用(App)数据安全与个
44、人信息保护白皮书 22 业(包括医疗保健)明确了移动应用隐私风险等安全评估审�������查方法和 流程。评估审查主要包括应用测试和应用批准/拒绝两个步骤:应用 测试是指利用自动化工具和人员测试软件�����漏洞, 形成漏洞报告和风险 评估;应用批准/拒绝是指根据评估报告决定该应用软件是否可用于 移动设备。 其他国家也同样制定了类似移动应用安全审查验证的标准, 比如欧洲网络与信息安全局(ENISA)发布的智能手机开发者安全 开发指引 、日本智能终端安全社(JSSEC)发布的Android 应用安 全设计/安全代码指导 。 二是通过认证或资金奖励鼓励企业加强数据保护。 美国建立网络 隐私认证计划, 通过权威的第三方机构
45、对遵守信息收集规则并服从监 督管理的企业颁发认证标志,如果企业违反相关规定侵害用户隐私, 将被取消认证,以此督促企业加强对个人信息的保护。美国国内存在 多个网络隐私认证组织,其中最有名的是加州个人隐私认证机构 “TRUSTe�����” ,目前已为雅虎、微软、苹果等 3500 多家企业网站及 App 提供认证。美国健康信息技术全国协调员办公室(ONC)还用资金奖 励的方式鼓励企业对数据保密性进行防护。比如,为了达到 ONC 的数 据认证要求并满足特定的政府补助规定, 医疗设备制造商必须证明自 己能�����够充分适当地处理用户隐私数据。 二是为用户提供技术软件保护用户个人信息。 英国为用户提供先 进的个人信息保护
46、软件,让用户掌握保护个人隐私的主动权。当 App 需要收集用户隐私时, 该技术保护软件就会主动提示用户并识别即将 收集的个人信息类型和内容。 用户可评估被收集信息的敏感程度以及 移动应用(App)数据安全与个人����信息保护白皮书 23 泄露后果的风险,自行决定是否继续使用该 App 的服务。同时,该技 术软件还提供设定权限的功能,即允许设置哪些隐私可被收集,以及 绝不允许哪些隐私被收集。 三是发布指引引导企业自律, 提高用户保护意识。 2013 年美国电 信和信息管理局(NTIA)发布关于移动 App 行为准则的倡议 ,要 求 App 收集和使用用户数据必须向用户明示,以增强 App 的透明性。
47、2013 年美国联邦贸易委员会(FTC) 发布报告手机隐私披露:通过透 明度建立信任 ,对 App 产业链各主体提出相应建议,并提出行业协 会应促进 App 隐私保护政策统一和标准化, 并制定标准化图标插入在 App 程序内部,通过该图标用户可以了解隐私政策和保护实践。美国 健康信息技术全国协调员办公室(ONC)针对消费者和设备制造商发 布了一系列用于移动健康数据保密的资源, 包括为移动健康应用设备 使用者准备的安装指南, 为消费者准备的数据管理软件和为开发者准 备的新款升级更新。 (二) 国内移动应用数据安全管理现状 数字经济时代, 以 App 安全为代表的数据安全关系到个体层面的 隐私保护,产业层面的科技竞争、创新和发展,以及国家层面的数据 安全和全球数字竞争力。我国高度重视 App 数据安全,已形成以个人 信息保护为核心的法律制度框架,各监管部门基于自身职能,以专项������� 行������动为牵引,着力开展 App 数据安全管理实践,对企业监督执法力度 持续加强。 1 1、基本建立基本建立 A Apppp 数据数据安全安全和个人信息保护制度体系和个人信息保护制度体系 移动应用(App)数据安全与个人信息保护白皮书 2
sgpjbg002
工作日 8:30 - 17:30
会员动态:
报告分类
新质生产力
ChatGPT
新能源汽车
大模型
Sora
机器人
微短剧
芯片
薪酬
白皮书
低空经济
数据要素
创新药
人工智能
AI产业
信息科技
互联网
消费经济
汽车交通
电商零售
传媒娱乐
医药健康
投资金融
能源环境
地产建筑
传统产业
英文报告
其它
扫码登录
手机快捷登录
账号登录
