《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 其他 > AET原創(chuàng) > 首個(gè)小程序個(gè)人信息保護(hù)研究報(bào)告發(fā)布,個(gè)人信息保護(hù)迫在眉睫!

首個(gè)小程序個(gè)人信息保護(hù)研究報(bào)告發(fā)布,,個(gè)人信息保護(hù)迫在眉睫!

2020-07-10
作者:牟艷霞
來(lái)源:AET

  2020年6月11日,,中國(guó)信息通信研究院安全研究所聯(lián)合南都個(gè)人信息保護(hù)研究中心編寫(xiě)的《小程序個(gè)人信息保護(hù)研究報(bào)告》正式發(fā)布。該報(bào)告聚焦信息服務(wù)新興業(yè)態(tài),,重點(diǎn)研究小程序最新發(fā)展趨勢(shì)與個(gè)人信息保護(hù)風(fēng)險(xiǎn)隱患,,旨在加強(qiáng)小程序個(gè)人信息保護(hù),推動(dòng)小程序規(guī)范健康發(fā)展,。

  報(bào)告指出,,隨著移動(dòng)互聯(lián)網(wǎng)的進(jìn)一步發(fā)展,“超級(jí)App+小程序”成為開(kāi)發(fā)者探索的新模式,。以微信,、支付寶等移動(dòng)應(yīng)用程序?yàn)榇淼钠脚_(tái)在其應(yīng)用中搭載第三方小程序,豐富向用戶提供服務(wù)的形式和內(nèi)容,。2020年新冠肺炎疫情以來(lái),,小程序也成為政府機(jī)關(guān)、醫(yī)療機(jī)構(gòu),、企事業(yè)單位、社區(qū)學(xué)校疫情防控的重要工具,,進(jìn)一步助推了其快速發(fā)展,。小程序在匯聚大量用戶個(gè)人信息的同時(shí)也暴露了一些在用戶個(gè)人信息收集與使用方面的風(fēng)險(xiǎn)隱患,需進(jìn)一步加強(qiáng)政府,、企業(yè),、用戶的多方協(xié)同,形成小程序個(gè)人信息保護(hù)體系,。

  提供獨(dú)立隱私政策的小程序不足四成

  報(bào)告對(duì)微信,、支付寶、百度,、今日頭條四大主流小程序平臺(tái)的52款常用小程序進(jìn)行了測(cè)評(píng),,結(jié)果顯示,,只有38.5%被測(cè)小程序提供了獨(dú)立的隱私政策,而且94%未向用戶告知如何關(guān)閉已授權(quán)權(quán)限路徑,。報(bào)告指出,,即使提供了隱私政策,少數(shù)小程序也存在鏈接無(wú)效的情況,,用戶同樣無(wú)法得知個(gè)人信息收集使用規(guī)則,。在21個(gè)提供了隱私政策的小程序中,絕大多數(shù)采用的都是“登錄即同意”的方式征得用戶同意,,只有極少數(shù)需要用戶主動(dòng)勾選同意,。其中政務(wù)公益、日常工具,、體育健身,、醫(yī)療健康類(lèi)小程序的問(wèn)題較為嚴(yán)重。

  數(shù)據(jù)收集,、傳輸,、授權(quán)、刪除各環(huán)節(jié)均存安全風(fēng)險(xiǎn)

  報(bào)告指出,,在數(shù)據(jù)安全檢測(cè)方面,,每款小程序平均約存在3個(gè)問(wèn)題,其中教育文化,、旅游交通,、新聞資訊、生活服務(wù)類(lèi)小程序個(gè)人信息保護(hù)問(wèn)題較為突出,,主要問(wèn)題集中在收集,、刪除、傳輸?shù)拳h(huán)節(jié),。

  在信息收集方面,,報(bào)告指出,某些小程序存在超范圍收集個(gè)人信息,,帶來(lái)數(shù)據(jù)違規(guī)收集風(fēng)險(xiǎn),。例如,某防疫類(lèi)小程序除獲取個(gè)人姓名,、身份證號(hào)等敏感信息外,,還需進(jìn)行人臉識(shí)別,獲取大量人臉信息,。而在實(shí)際線下防疫工作中通過(guò)姓名,、身份證號(hào)再配合真人及身份證查驗(yàn),在不獲取人臉信息的情況下可保證信息的準(zhǔn)確性。

  而在數(shù)據(jù)傳輸過(guò)程中,,報(bào)告顯示,,約有四分之一的被測(cè)小程序明文傳輸個(gè)人信息甚至個(gè)人敏感信息。這給網(wǎng)絡(luò)黑客提供了攻擊截獲傳輸數(shù)據(jù)包,,進(jìn)行數(shù)據(jù)竊聽(tīng),、數(shù)據(jù)篡改、身份偽造的可能,。小程序運(yùn)營(yíng)者應(yīng)采取加密等技術(shù)措施,,確保數(shù)據(jù)即使被惡意泄露或截獲也難以被破解。

  在授權(quán)方面,,報(bào)告團(tuán)隊(duì)實(shí)測(cè)發(fā)現(xiàn),,94%被測(cè)小程序未向用戶告知如何關(guān)閉已授權(quán)權(quán)限路徑,這可能導(dǎo)致用戶在使用完小程序后仍然將一些權(quán)限開(kāi)放給小程序,;約25%的小程序在用戶關(guān)閉“用戶信息”授權(quán)后再次進(jìn)入,,仍顯示上次授權(quán)時(shí)的個(gè)人信息,這可能導(dǎo)致小程序在用戶已經(jīng)解除授權(quán)的情況下繼續(xù)收集使用用戶個(gè)人信息,,存在個(gè)人信息濫用風(fēng)險(xiǎn),。

  經(jīng)檢測(cè),超過(guò)一半的小程序未提供刪除個(gè)人信息渠道,,用戶使用小程序填寫(xiě)個(gè)人信息后,,小程序未對(duì)相關(guān)個(gè)人敏感信息的后續(xù)處理提供說(shuō)明,或者為用戶提供刪除或匿名化個(gè)人信息的渠道,。報(bào)告指出,,盡管小程序功能簡(jiǎn)單,絕大多數(shù)基于小程序平臺(tái)賬號(hào)進(jìn)行服務(wù),,可能無(wú)法提供單獨(dú)的注銷(xiāo)賬號(hào)服務(wù),,但也應(yīng)賦予用戶控制個(gè)人信息的權(quán)利,否則可能帶來(lái)個(gè)人信息過(guò)度留存的風(fēng)險(xiǎn),。

  多方協(xié)同,,共建小程序個(gè)人信息保護(hù)管理系統(tǒng)

  針對(duì)上述問(wèn)題,報(bào)告建議,,應(yīng)加強(qiáng)政府,、企業(yè)、用戶的多方協(xié)同,,形成小程序個(gè)人信息保護(hù)管理體系。在政策層面,,應(yīng)明確將小程序納入數(shù)據(jù)安全及個(gè)人信息保護(hù)管理范疇,,研究制定個(gè)人信息安全保護(hù)指南規(guī)范,明確小程序與小程序平臺(tái)之間的主體責(zé)任劃分等,;在企業(yè)層面,,應(yīng)切實(shí)落實(shí)個(gè)人信息保護(hù)主體責(zé)任,,一方面小程序運(yùn)營(yíng)者主動(dòng)開(kāi)展數(shù)據(jù)安全及個(gè)人信息保護(hù)自評(píng)估工作,另一方面小程序平臺(tái)運(yùn)營(yíng)者進(jìn)一步加強(qiáng)對(duì)搭載其上的小程序的管理工作,;在用戶層面,,應(yīng)提升使用小程序的個(gè)人信息保護(hù)意識(shí)和能力,使其明確個(gè)體作為其個(gè)人信息控制者的權(quán)利,。在保護(hù)用戶個(gè)人信息免受侵害的同時(shí),,鼓勵(lì)用戶積極舉報(bào)違規(guī)行為,發(fā)動(dòng)社會(huì)力量,,推動(dòng)小程序規(guī)范健康發(fā)展,。

  近年來(lái),我國(guó)高度重視移動(dòng)應(yīng)用程序(App)數(shù)據(jù)安全和個(gè)人信息安全工作,,從法規(guī)標(biāo)準(zhǔn),、專(zhuān)項(xiàng)治理等多方面開(kāi)展安全治理工作,目前的監(jiān)督管理基本集中于App,,鮮少涉及小程序,。

  在國(guó)家法律層面,《網(wǎng)絡(luò)安全法》明確了我國(guó)個(gè)人信息保護(hù)的基本原則,,規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者的保護(hù)義務(wù)和責(zé)任,。在政策法規(guī)層面,相關(guān)部門(mén)針對(duì)App業(yè)務(wù)特點(diǎn)制定細(xì)化規(guī)章落實(shí)國(guó)家法律,。小程序的業(yè)務(wù)形態(tài)和用戶數(shù)量迅速發(fā)展,,其個(gè)人信息收集使用愈加頻繁,對(duì)其開(kāi)展安全管理的必要性急劇上升,。小程序和App在前端的表現(xiàn)形式不同,,但后臺(tái)的服務(wù)器、數(shù)據(jù)庫(kù)通常是共用的,,且小程序的功能往往不會(huì)超出App,。因此,兩者收集和使用用戶個(gè)人信息也應(yīng)該適用同一套規(guī)則,。

 ?。ㄐ畔⒎?wù)部 牟艷霞)


此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載,。