1、 智能终端产业智能终端产业 个人信息保护白皮书个人信息保护白皮书 (20182018 年)年) 中国泰尔实验室中国泰尔实验室 中国互联网协会中国互联网协会 电信终端产业协会电信终端产业协会 20182018年年1111����月月 版权声明版权声明 本白皮书本白皮书版权属于版权属于中国信息通信研究院中国泰尔实验中国信息通信研究院中国泰尔实验 室室,并受法律保护,并受法律保护。转载、摘编或利用其它方式使用转载、摘编或利用其它方式使用本白本白 皮书文字或者观点的,应皮书文字或者观点的,应注明注明“来源:来源:中国泰尔实验室”中国泰尔实验室”。 违反上述声明者,本违反上述声明者,本实验室实验室将追究其相关法
2、律责任。将追究其������相关法律责任。 前前 言言 当前,世界正处于新一轮科技革命和产业革命的变革浪潮中, 以智能终端为代表的互联网产业已成为“互联网+”的基础设施,是 推动经济社会变革的重要力量。智能终端、应用分发平台、应用软 件的迅猛发展为用户带来了前所未有的丰富体验。在智能终端上, 可以通过应用分发平台下载社交、购物、支付、出行、娱乐等各类 应用软件, 随时随地享受互联网时代的便利。 随着产业的蓬勃发展, 终端产业未来会进一步走向信息化、智能化。 然而,随着技术日新月异的发展,智能终端产业的个人信息保 护问题日益凸显,信息泄漏、信息过度收集使用、����权限滥用等问题 严重威胁了广大人民群众的切身利益。
3、为保障智能终端产业健康发 展,维护用户合法权益,中国泰尔实验室、互联网协会、电信终端 产业协会联合制定与发布本白皮书。本白皮书着眼于智能终端产业 新的发展阶段,阐述了个人信息保护现状和面临的挑战,基于业界 最佳实践,在终端设备、分发平台、应用开发等方面提出个人信息 保护建议,并倡议产业界落实企业主体责任,加强行业自律,强化 产业协作体系,共同构筑智能终端产业个人信息保护良好生态。 目目 录录 一、智能终端产业�������现状 . 1 二、智能终端产业个人信息保护面临的挑战 . 4 (一)用户信息过度收集难识别难举证 . 4 (二)权限申请过度易感知难判定 . 5 (三)低 API 等级应用规避安卓安全机制
4、 . 6 (四)设备识别码防护意识不足 . 7 (五)隐私与便利选择两难,产业协作能力不足 . 8 三、终端设备个人信息保护的分析和建议 . 9 (一)加大权限调用可知可控力度 . 9 (二)落实信息收集使用告知同意 . 10 (三)提高设备识别码防护能力 . 11 (四)重点加强生物特征数据保护 . 12 (五)完善应用管控保障机制 . 13 (六)加强基础保障能力建设 . 14 四、应用开发个人信息保护的分析与建议 . 15 (一)采用高 API 等级开发应用 . 15 (二)适配最新操作系统及外部代码库 . 16 (三)遵循合法正当必要原则申�������请权限 . 16������ (四)采用单项同意获取敏感信
5、息收集使用授权 . 18 (五)采用加密机制传输敏感数据 . 20 (六)谨慎使用外部存储区域 . 20 (七)贯彻全生命周期安全编码原则 . 21 五、应用分发个人信息保护的分析与建议 . 22 (一)制定完善的开发者政策和分发协议 . 22 (二)落实开发者及应用资质审核要求 . 22 (三)完善分发平台上架机制 . 23 (四)充分明示应用相关������信息 . 2�������3 (五)探索应用运行期管控方案 . 23 (六)建立投诉与反馈通道 . 24 (七)建立应用下架响应机制 . 24 (八)定期报送行业监管数据 . 24 六、消费者个人信息保护建议 . 25 (一)选择信息明示清晰的手机、应用和下载渠
6、道 . 25 (二)使用前充分了解权限管理机制和隐私政策 . 26 (三)善于使用手机设置功能,增强安全意识 . 26 七、智能终端产业行动倡议 . 27 (一)落实企业主体责任,保障用户合法权益 . 28 (二)加强行业自律,探索自治新方式 . 28 (三)促进公众监督,及时响应用户关切 . 29 (四)加强沟通协调,强化产业协作体系 . 29 中国泰尔实验室 智能终端产业个人信息保护白皮书 (2018 年) 1 一、一、智能终端产业现状智能终����端产业现状 据中国信息通信研究院发布的2018 年 9 月国内手机市场运行 分析报告,2018 年 1 月到 9 月,国内智能终端出货量为 2.87
7、亿部, 其中 Android 操作系统占比达到 89.8%,iOS 操作���������系统占比为 10.1%, 其他系统为 0.1%。Android 操作系统具备开源、开放、灵活的特性, 当前占据了智能终端市场的主导地位。随着用户权益保护意识的觉 醒,装载 Android 操作系统的智能终端已成为个人信息保护工作的焦 点。 数据来源:中国泰尔实验室 图 1 2018 年进网终端 Android 系统版本比例 Android 系统碎片化问题严重。据统计,在 2018 年进网终端中, Android 9.0 占比 4.42%;Android 8.0 占比 46.54%;Android 7.0 占比 25.18%
8、;上市三年多的 Android 6.0 系������统,占比 14.58%;Android 5.0 及更早之前的版本占比 9.28%。相对于旧版本,新版本增加了更多的 4% 47% 25% 15% 9% Android 9 Android 8 Android 7 Android 6 其他 智能终端产����业个人信息保护白皮书 (2018 年) 中国泰尔实验室 2 个人信息保护机制。严重的系统碎片化问题,使得较多应用利用 Android 操作系统向下兼容的特性,采用较低等级目标 API 版本,规 避高版本操作系统安全和保护机制的约束。 iOS 系统版本分布相对集中。根据苹果公司官网数据,截至 2018 年 10
9、 月 10 日,全球活跃设备中有 50%使用 1 个月前发布的 iOS 12 新版本, 约 90%的用户使用一年内发布的 iOS 版本。 相对于 Android, iOS 操作系统具有封闭的特性, 核心代码不开放, 操作系统统一更新, 新版本普及速率较快, 版本分布比较集中, 碎片化现象不严重。 同时, 具有唯一的官方应用市场 (App Store) 下载渠道, 应用上�������架规则统一, 可在源头加强应用敏感权限使用和信息收集使用的审核,对营造的 iOS 产业生态具有较强的管控能力。 数据来源:苹果公司官网,2018������� 年 10 月 10 日 图 2 活跃设备 iOS 系统版本比例 应用个人信息保护问
10、题突出。用户可从商店、网页、论坛等第三 方分发渠道下载应用。装载社交、购物、支付、出行、娱乐等各类应 50% 39% 11% iOS 12 iOS 11 早期版本 中国泰尔实验室 智能终端产业个人信息保护白皮书 (2018 年) 3 用的终端设备,已经成为用户社交和生活的主要载体。终端所装应用 引发的信息泄露等问题是消费者关注的焦点。������在应用使用过程中,用 户让渡部分信息获取生活便利已成为普遍现象, 大量应用越�������界获取及 滥用用户信息,侵犯用户合法权益,造成用户财产损失。 敏感信息窃取比例 11.86%。在 2017 年 10 月-2018 年 10 月所检 测的 2722 万余款应用中,存在资费
11、损耗、妨害滋扰、隐私窃取等侵 犯用户权益的应用 299 万个,其中窃取敏感信息的应用比例为 11.86%。 数据来源:武汉安天信息技术有限公司 图 3 用户个人信息保护不良行为类别 游戏娱乐类应用风险最高。从高风险和违规应用分布来看,游戏 娱乐类应用占比最高,达 40.05%。游戏依托其应用特性,多款应用 存在窃取用户信息、强行捆绑应用等问题。高风险和违规应用中系统 工具类占比 21.49%,其中手机桌面应用、R�������OOT 工具应用等越界获 取用户信息严重,甚至造成用户财产损失。生活服务类应用占比 16.83%,该类应用与用户生活连结紧密,更容易被攻击者利用,窃取 12% 46% 0% 4% 0%
12、 2% 3% 1% 32% 隐私窃取 资费损耗 远程控制 系统破坏 风险传播 诱骗欺诈 强制推广 版权侵害 妨害滋扰 智能终端产业个人信息保护白皮书 (2018 年) 中国泰尔实验室 4 用户信息,侵犯用户权益。 数据来源:武汉安天信息技术有限公司 图 4 高风险和违规应用行业分布 二、智能终端产业个人信息保护面临二、智能终��������端产业个人信息保护面临的的挑战挑战 随着大数据时代的到来, 个人信息保护问题逐渐暴露。 信息泄漏、 信息过度收集使用、权限滥用等问题严重威胁了广大用户的切身利 益。应用 API 等级低、一揽子授权、������不授权就不给用等现象的存在, 将用户推入隐私与便利的两难选择。 智能终端产业
13、用户个人信息保护 工作面临严峻的挑战。 (一)(一)用户信息过度收集难识别难举证用户信息过度收集难识别难举证 随着移动互联网的迅速发展,应用经历了“野蛮生长”的时代。 为提供个性化服务,开展精准投放,应用收集使用了大量用户的个人 信息,包括设备信息、位置信息、通讯录等敏感数据。应用在收集使 用个人信息的过程中,存在以下现象: 40% 21% 17% 6% 4% 3% 3% ���3% 2% 1% 游戏娱乐 系统工具 生活服务 通讯社交 媒体资讯 办公商务 教育培训 旅游出行 金融理财 网上购物 中国泰尔实验室 智能终端产业个人信息保护白皮书 (2018 年) 5 应用在用户不知情的情况下,过度收集和
14、使用个人信息。大量用 户反映,个人信息在不知情的情况下被收集使用,搜索过的信息,说 过的话,敏感的健康数据,以用户可感知的方式呈现。但信息是如何 被收集,通过何种渠道共享传播,普通用户难识别,难举证。较多应 用并未通过隐私政策或其他�������途径告知用户收集使用信息的目的、 方式 和范围,也未向用户提供明确的允许和拒绝的选择,这种累积性的权 益侵害在日常生活中普遍存在,引发了用户的严重担忧。信息过度收 集使用的乱象亟待解决。 应用第三方 SDK 大量收集使用个人信息。 应用通常会使用第三方 SDK 快速实现业务功能,而第三方 SDK 与应用在收集用户信息方面 具有同样的能力。鉴于第三方 SDK 的不开源
15、性,应用无法完全掌控 第三方 SDK 的行为。部分应用不清楚 SDK 申请权限的目的,难以准 确明示第三方 SDK 所收集使用的用户信息,通常只能通过协议约束 第三方 SDK 收集使用用户信息的行为。 某些第三方 SDK 同时被多家 应用集成使用,收集的海量数据一旦泄露,可造成广泛的恶劣影响。 (二)(二)权限申请过度易感知难判定权限申请过度易感知难�������判定 权限是指为保护用户的隐私, 移动终端操作系统对于应用访问敏 感用户数据或使用特定系统功能的限制。为满足用户可知可控要求, 国内终端大都具备权限管理机制,权限申请在显著位置提示,并经用 户同意后方可使用。但目前权限申请过度仍是普遍现象。 权限申
16、请过度现象严重。根据对国内应用市场 TOP 1000 应用取 样分析显示,Android 应用普遍会申请电话、定位、摄像头和录音等 智能终端产业个人信息保护白皮����书 (2018 年) 中国泰尔实验室 6 核心敏感权限,其中读取电话状态权限的比例 97.37%,申请位置权 限的比例 84.15%,申请摄像头权限的比例 66.8%,申请录音权限的 比例 59.1%,申请联系人权限的比例 42.4%。应用过度申请权限的问 题普遍存在。申请超出应用实际业务功能和场景的权限,为应用过度 收集用户个人信息打开了通道,极易造成用户信息泄漏。 数据来源:中国泰尔实验室 图 5 应用权限获取情况 权限过度申请滥用
17、难规范难判定。 如何判定应用权限过度申请和 滥用,存在易感知难判定的问题。目前尚缺乏成熟的技术规范和判定 手段,难以正确引导应用开发者遵循合法正当必要原则申请权限,是 智能终端产业在个人信息保护工作中面临的巨大的挑战。 (三)(三)低低 API 等级应用规避安卓安全机制等级应用规避安卓安全机制 应用与 Android 系统的交互依赖于框架 API,开发时要配置应用 99.25% 97.37% 84.52% 84.15% 79.64% 66.79% 59.07% 49.44% 42.39% 41.80% 0.00% 10.00% 20.00% ������30.00% 40.00% 50.00% 60.00
18、% 70.00% 80.00%������ 90.00% 100.00% 百分比 写入外部存储 读取电话状态 读取外部存储 访�������问粗略位置 访问精确位置 使用摄像头 录音 访问帐号信息 读取联系人 拨打电话 中国泰尔实验室 智能终端产业个人信息保护白皮书 (2018 年) 7 的目标 API 等级以明确应用支持的 Android 目标系统版本。 低 API 等级应用风险高,升级难度大。Android 系统在应用运行 时检查目标 API 等级设置, 若系统版本低于或者等于应用的目标 API 等级,系统无需执行任何兼容性处理。若 Android 系统版本高于此项 配置,系统会执行兼容性策略。低 API 等级应用
19、运行在高版本的 Android 操作系统上,可绕过 Android 系统的信息保护机制。同时, Android 系统针对目标 API 等级 23 及以上的应用执行运行时权限机 制,即业务功能运行时系统才会授予�����应用权限。目标 API 等级 23 以 下的应用采用一揽子授权,存在不授权无法安装使用的问题。目前, 国内应用达到目标 API 等级 26 及以上的比例大致为 10%,推动应用 开发者及时适配高版本 Android 系统,加强移动智能终端预置与分发 环节对应用高 API 等级的上架要求, 是近期用户个人信息������保护的重点 工作。 (四)(四)设备识别码防护意识不足设备识别码防护意识不足 随着大
20、数据产业的发展,收集智能终端唯一标识,如国际移动设 备识别码(IMEI)、Wi-Fi MAC 地址、SIM 卡国际移动用户识别 码(IMSI)和蓝牙地址等设备物理地址信息成为普遍现象。 用户普遍缺乏设备识别码防护意识。 设备识别码与用户身份深度 绑定。累积性的数据汇聚为用户的行踪轨迹,可用于分析特定用户的 生活习惯和消费行为,形成个人画像,并在用户未知情的情况下用于 精准营销、甚至�����精准诈骗等。然而普通用户缺乏设备识别码的防护意 识,并未意识到设备识别码已成为重要的个人敏感信息。提升用户设 智能终端产业个人信息保护白皮书 (2018 年) 中国泰尔实验室 8 备识别码防护意识,加大设备识别码保护
21、机制研究,落实设备识别码 防护措施,既是个人信息保护工作的难点,也是重点。 设备识别码防护手段不足。部分终端设备使用了 Wi-Fi MAC 地 址随机化机制,在未接入 Wi-Fi 热点时发送含有随机 MAC 地址的探 索帧,避免真实 MAC 地址被恶意 Wi-Fi 热点非法收集,防止用户轨 迹的泄露。但当终端设备实际接入 Wi-Fi 网络时,终端设备������仍需切换 真实的 MAC 地址进行网络通信,未能从根源上解决设备识别码被非 法收集的问题。 (五)(五)隐私与便利选择两难,产业协作能隐私与便利选择两难,产业协作能力不足力不足 移动互联网在给我们工作生活带来便利的同时, 频频出现用户个 人信息泄漏
22、、盗用等问题。 隐私换取便利是无奈之举。 大量应用在安装使用时, 申请通讯录、 摄�������像头、短信、录音、位置等多项与其核心功能无关的权限,若用户 拒绝某些权限的申请,应用则无法正常使用。这种行业内普遍存在的 一揽子授权、不授权就不给用的现象,使得大部分用户别无选择,不 得不拿个人隐私换取便利。应用这种权限滥用行为,已经成为用户个 人信息泄露的主要途径。 产业协作能力不足。在用户权益保护共识广泛达成、公众个人敏 感信息保护意识普遍提升的情况下,终端、应用、分发等产业链环节 协作不足,权限管控、信息收集使用、设备识别码防护等方面行动不 统一,未形成有效合力。建立对重点环节的有效管控,构筑上下游打 中国
23、泰尔实验室 智能终端产业个人信息保护白皮书 (2018 年) 9 通、各方力量协同的个人信息保护协作体系,将成为现实需要和必然 方向。 三、终端设备个人信息保护的三、终端设备个人信息保护的分析和分析和建议建议 随着互联网的迅猛发展,终端功能日益丰富,在给生活带来极大 便利性的同时�������,也逐步成为绑定了大量个人信息的载体,带来安全威 胁。终端设备应从权限可知可控,个人信息采集告知同意,设备识别 码安全防护,生物特征数据保护,终端设备应用管控和基础保障等多 个方面出发,建立全方位的个人信息保护体系,为个人敏感数据的机 密性、完整性和可用性保驾护航。 (一)加大(一)加大权限调用可知可控权限调用可知可控
24、力度力度 应依据 YD/T 2407-20�������13 移动智能终端安全能力技术要求 标准, 终端设备应遵循行为与用户意愿一致的基本原则, 设计完善的权限管 控机制,提升用户可知可控的能力,避免用户个人信息泄露。 用户对终端设备权限调用应可知。 终端设备应通过给用户提示的 方式来防范安全威胁,给用户的提示����可以是图标、文字或其他明显的 方式。在操作执行期间,提示应足够引起用户注意,且提示信息易于 理解。终端设备宜从应用和权限两个视角呈现调用情况,用户既可查 看单个应用申请的全部权限及目的, 也可查看申请某特定权限的全部 应用。同时,建议终端设备提供相应机制,在一定时间内记录并统计 应用调用行为情况,可供
25、用户查看详细记录结果。 用户对终端设备上权限调用应可控。 终端设备应通过让用户确认 智能终端产业个人信息保护白皮书 (2018 年) 中国泰尔实验室 10 的方式来防范安全威胁, 用户应具有选择权, 即用户能确认也能�������取消。 Android 6.0(API 23 等级)及以上,在应用运行时向其授予权限。终 端设备应提供权限管控机制, 对所安装的第三方应用的敏感权限进行 分项控制,可提供允许、询问和禁止三种状态以便用户选择。终端设 备在应用使用摄像头、录音、定位和电话等核心敏感权限时,应实时 提供显性提示告知用户。手机号码、设备识别码(IMEI、Wi-Fi MAC 地址等)、读取短信、写/删短信、
26、读取联系人、写/删联系人、后台 截屏、上网记录(历史、书签)等敏感权限,应在相关业务功能运行 时获取用户确认授权。终端设备未经用户许可不得默认授权。应用调 用移动数据、WLAN、NFC 和蓝牙等功能开关时,应征得用户同意。 终端设备宜提供应用自启动权限管理功能, 用户可设置应用能否被系 统或第三方应用启动。 (二)(二)落实信息收集使用告知同意落实信息收集使用告知同意 终端设备在收集和使用个人信息时,用户应具有知情权与选择 权。 终端应详细告知所收集用户个人信息的内容、 目的、 方式和范围, 仅当用户同意后方可收集。 在个人信息收集前告知用户。在企业网站、公众号等渠道明示终 端及预置软件������的相关
27、信息,为用户选择终端产品提供便利的查询������方 式。用户首次使用时,终端设备应在开机向导的隐私政策、用户协议 中,展现信息收集使用的内容,明确告知此设备将收集的详细信息。 在首次使用功能或服务前、撤回授权后重新使用前,分项告知����用户功 中国泰尔实验室 智能终端产业个人信息保护白皮书 (2018 年) 11 能或服务收集个人信息详情。在使用终端功能或服务过程中,需收集 个人敏感信息时,应在每次收集前进行告知。当收集信息的内容、使 用目的、收集方式与频率、存放地域与期限、保护方式、信息共享和 个人信息控制权等发生变更时,应重新告知用户。 告知方式应易于用户感知。终端告知方式,应根据收集的信息类 型、功能服
28、务类别、终端设备形态等因素综合考量。可在通用隐私政 策基础上,根据功能和服务的不同,制定独立的隐私政策。在终端界 面中,应增加可供用户随时查看的隐私政策或用户协议入口。在个人 敏感信息收集时,��������应通过询问、弹窗等二次增强的告知方式,将收集 的个人敏感信息告知用户,并由用户选择同意或拒绝。可在终端告知 方式上开展创新,如动画、短片等告知形式。 告知内容应足够清晰且易于理解。终端告知内容应准确、清晰、 易懂,符合通用的语言习惯,避免歧义,不得诱导用户。告知内容应 包含收集使用信息的内容、目的、方式、范围、频次、保护措施以及 公开、转移、共享等相关信息。终端应明示用户对个人信������息所拥有的 各项权利,如拒
29、绝权、访问权、更正权撤销同意权等。 (三)(三)提高设备识别码防护能力提高设备识别码防护能力 随着设备识别码敏感性的提升, 用户高度关注设备识别码被收集 滥用的情况。终端设备厂商应加强设备识别码�����的防护,提升设备识别 码防护能力,避免在用户不知情的情况下,与用户身份绑定的物理设 备信息被随意收集使用。 设备识别码匿名化。在终端设备的使用过程中,使用匿名化的设 智能终端产业个人信息保护白皮书 (2018 年) 中国泰尔实验室 12 备识别码机制,降低因设备识别码泄�����露用户位置记录、消费习惯等信 息的风险。例如在连接 Wi-Fi 热点的过程中,终端设备使用随机化的 MAC 地址搜索 Wi-Fi 热点,
30、 可保护真实的 MAC������� 地址。 此外应加快设 备识别码匿名化方案的研究,提出切实可行的设备识别码匿名化框 架,如研制真伪设备识别码映射系统、提出 Wi-Fi 协议识别码匿名化 机制等。 提供设备识别码替代机制。 终端设备应尽量避免使用设备识别码 作为终端唯一标识符,应提供替代机制。例如采用广告 ID 作为唯一 标识符, 使终端设备应用无法获取设备物理的识别码, 用作精准营销、 ������用户画像等。同时该广告 ID 可由用户重置,禁止将设备识别码与广 告 ID 链接,杜绝长期跟踪用户的行为。 严格限制获取设备识别码。 终端设备应禁止设备直接获取所有的 设备识别码,同时应对设备识别码的访问设置严格权限管控
31、机制,如 第三方应用对设备识别码的收集与使用应对用������户详细提示与确认, 并 在用户同意后进行。 (四)(四)重点加强生物特征数据保护重点加强生物特征数据保护 支付业务中的生物特征数据直接关系到用户的切身利益, 用户的 支付口令、生物识别信息等必须得到有效的安全防护。终端设备厂商 应健全生物特征数据保护架构,采用生物特征数据加密存�����储、支付环 境隔离防护等措施,保障用户切身权益。 生物特征数据应进行加密存储。为保障用户支付口令、密钥、证 中国泰尔实验室 智能终端产业个人信息保护白皮书 (2018 年) 13 书、指纹模版和人脸模版等个人敏感数据的安全性,建议使用具备安 全存储功能的安全单元芯片(SE
32、)、可信执行环境(TEE)等方案, 存储加密后的个人敏感数据,加密的密钥应采用多密钥衍生的方式, 保证终端设备一机一密。 终端设备应遵循生物特征数据本地存储的原 则,未经用户许可,严禁上传云端。 支付环境�������应采用隔离防护措施。支付环境应采用软硬件隔离技 术,使用安全单元芯片(SE)、可信执行环境(TEE)等方案,将支 付应用与其它应用进行隔离, 确保在支付全生命周期中个人敏感数据 不被非法窃取。 (五)(五)完善应用管控保障机制完善应用管控保障机制 终端设备厂商应该构建完善的应用管控保障机制,提供应用签 名�������、运行时内存保护、恶意网址检测、流量监控等措施,全方位保护 用户数据。 使用应用签名。使用
33、应用签名保证应用的完整性和�����来源的合法 性, 系统在安装应用时, 通过对签名进行验证, 检查应用是否被篡改。 运行时内存保护。通过地址空间布局随机化(ASLR)及数据执 行保护技术(DEP),增加内存漏洞攻击的难度,降低个人敏感数据 被窃取的风险。 提供恶意网址检测功能。针对短信、浏览器和即时通讯等应用中 未知来源的链接,提供恶意网址检测功能。 监控流量使用情况。监控应用数据流量使用,将应用流量情况展 示给用户,同时提供 Wi-Fi 和蜂窝移动网络的控制选项,防止恶意应 智能终端产业个人信息保护白皮书 (2018 年) 中国泰尔实验室 14������ 用后台上传个人敏感数据。 (六)(六)加强基础保障能力
34、建设加强基础保障能力建设 终端设备应提供基础安全能力和信任凭证, 保障个人信息的机密 性、完整性和可用性。 具备安全启动机制。 终端设备应采用验证数字签名等安全启动机 制,确保系统代码的可靠性和完整性,防止恶意代码的加载运行。 实施强制访问控制。使用 SELinux 对所有的进程、文件和操作等 实施强制访问控制,阻止进程读写受保护数据和绕过内核的安全机 制。 内核地址空间布局随机化(KASLR)。采用地址随机化技术,使 内存地址空间随机化,防止攻击代码对内存中的地址进行硬编码,提 升系统内核的安全性。 定期进行系统安全更新。系统升级可及时修复存在的漏洞。系统 镜像更新�����时,应对升级包进行签名校验
35、,并在用户同意后进行系统更 新。 具备系统版本防回退手段。相比旧系统版本,新系统版本修补了 部分已知漏洞,在安全机制、个人信息保护能力上有所提升,大幅降 低了个人敏感数据泄露的风险。终端设��������备可通过版本校验等方式,防 止系统回退到旧版本。 建立漏洞响应机制。终端厂商应建立健全漏洞响应机制,持续加 固系统,保障系统安全;并提供反馈渠道,及时响应官方发布的漏洞 中国泰尔实验室 智能终端产业个人信息保护白皮书 (2018 年) 15 信息。定期更新安全补丁,提示用户进行安全更新,以便快速修复漏 洞。 四、应用开发个人信息保护的分析与建议四、应用开发个人信息保护的分析与建议 开发者对应用权限申请和个������人信
36、息的收集、使用负有主体责任, 应在应用的需求分析、设计、开发、上架、运营、维护和更新的全生 命周期中,高度重视用户个人信息保护工作,全面维护用户的合法权 益。 (一)(一)采用高采用高 API 等级开发应用等级开发应用 Android 6.0 引入了运行时权限机制, 打破了权限的一揽子授权模 式,用户可在运行时进行应用权限授予,可更好的了解和控制权限。 Android 8.0 增强了用户数据保护能力, 提出了后台位置限制、 后台行 为限制和广播限������制等要求,对用户数据保护有积极的作用。Android 9.0 新增了多种数据加密机制,引入了对安全硬�����件、生物特征解锁的 支持。 响应自律公约倡议,采用
37、高等级 API 开发应用。开������发者基于 Android 6.0(API 23)及以下版本开发应用时,系统默认授予应用申 请的所有权限,若拒绝授予或者关闭某些权限,应用可能出现崩溃闪 退等问题。基于此,电信终端产业协会发起移动应用软件高 API 等级预置和分发服务自律公约 , 倡议开发者使用 Android 8.0 (API 26) 及以上的版本进行应用开发,以保护用户权益。随着 Android 系统版 本的更新,开发者应及时采用相对较高等级 API 开发应用。 智能终端产业个人信息保护白皮书 (2018 年) 中国泰尔实验室 16 (二)������(二)适配最新适配最新操作系统及外部代码库操作系统及外部代
38、码库 智能操作系统会定期更新版本,并升级开发 SDK。以 Android 为例,谷歌每年会推出 Android 新版本,提升应用安全性并全面改善 用户体验。 及时适配操作系统最新稳定版本。应用开发者进行软件开发时, 应及时适配操作系统最新稳定版本, 给用户带来较好的使用体验和较 强的个人信息保护机制,避免旧版本的遗留问题影响应用使用,侵犯 用户权益。对于集成第三方代码的移动应用,在采用新版本操作系统 后, 需适配相应第三方代码库, 避免旧版本代码的兼容性引入新问题。 充分利用终端和操作系统新特性。在应用开发时,开发者应充分 利用终端和操作系����统新特性�������,例如可信执行环境(TEE),可信单元 芯片(
39、SE)和生物识别认证方式等。 (三)(三)遵循合遵循合法法正当必要原则申请权限正�������当必要原则申请权限 开发者在应用设计和开发时,重点关���注应用权限的申请和使用, 应遵循合法正当必要原则,将最小够用理念贯穿整个开发周期。 保证用户可知可控。开发者应以用户便于理解的方式,充分告知 用户申请和使用权限的必要性, 不应在用户不知情或者未获得用户许 可的情况下,使用权限和收集用户数据。在描述相关权限、行为使用 场景和使用目的时,开发者可使用图标、文字以及其他创新形式明确 告知用户。在集成第三方 SDK 时,开发者应充分了解其申请权限的 目的,对引发的后果承担相应责任。 中国泰尔实验室 智能终端产业个人信息保
40、护白皮书 (2018 年) 17 申请权限最小化。业务无关权限的授予会导致权限的滥用,增大 应用攻击面,引入用户敏感数据泄露风险。应用应遵循合法正当必要 原则,只申请业务必要的权限。对于 SDK 等外部代码的引用,开发 者应保证其相关权限的申请同样满足最小化原则,限制 SDK 过度申 请权限。在实践方面,开发者在开发应用������时,不应在启动时申请所有 权限;不应申请与业务功能无关的权限,不使用的权限要及时清理; 在存在替代功能实现方式的情况下,不应以提升用户体验为由,强迫 用户授予权限;不应在业务功能不必要的情况下,滥用自启动权限。 按业务功能分项动态申请权限。开发者应遵循最小化原则,按业 务功能分
41、项动态申请权限,仅在使用相关功能时合理申请相应权限。 应用应明确告知拒绝授权的后果,用户拒绝授权的,不应影响其他业 务功能的使用。 优先采用系统自身功能,代替调用相关敏感权限。例如,�����应用实 现拨打电话功能时,建议采用 Intent 消息调用电话拨号盘界面,无需 额外申请权限;在数据使用方面,Android 系统为每个应用程序分配 了私有的文件目录和数据存储空间,无需额外申请存储权限;对于获 取设备标识的诉求, 开发者应采用与业务相符的其他替代方式标识用 户终端,无需申请读取手机状态和身份(READ_PHONE_STATE)等 权限, 避免直接获取硬件标识符; 涉及资金或财产安全的支付类业务,
42、如收集设备标识码,须向用户提供具有法律效力的用户隐私协议,明 确设备标识码的使用范围和保护责任。 智能终端产业个人信息保护白皮书 (2018 年) 中国泰尔实验室 18 (四)采用单项同意获取敏感信息收集使用授权(四)采用单项同意获取敏感信息收集使用授权 未经用户同意,应用不得收集使用用户个人信息。征得用户同意 应采用概括同意和单独同意相结合的方式, 选择适当的同意时机和同 意形式,以清晰易懂的方式告知并征求��������用户同意。 告知同意应遵循的基本原则。 合法原则。应用应遵循法律法规要求收集使用个人信息,不得通 过告知或�������声明以外的方式收集使用个人信息; 不将收集的个人信息用 于未经告知的目的;不以欺骗
43、、误导、强迫等非法手段收集使用个人 信息;不得违反双方约定收集使用个人信息。 正当原则。不采用一揽子同意的方式征得用户同意,不应存在不 同意不让用的问题。 当用户拒绝收集使用某项敏感信息或不授予某敏 感权限时,不影响提供其他业务功能服务。 必要原则。遵循最少够用原则收集使用用户个人信息,收集的信 息为提供业务功能服务所必须。 不收集其提供服务所必需以外的用户 个人信息。 告知方式可采用概括同意和单项同意相结合的方式。 概括同意。应用首次使用时,可通过隐私声明等形式获取用户对 一般个人信息收集使用的同意授权。隐私声明应明确告知用户收集、 使用信息的目的、方式和范围,查询、更正信息的渠道以������及拒绝提供 信息的后果。 单项同意。收集使用用户个人敏感信息的应用,应在收集敏感信 息或调用敏感权限时,通过弹窗或界面等形式进行即时性告知,分别 中国泰尔实验室 智能终端产业个人信息保护白皮书 (2018 年) 19 征
sgpjbg002
工作日 8:30 - 17:30
报告分类
