安全内容信息包括/二、 移动互联网应用个人信息保护安全挑战_零开始信息安全自学

安全内容信息包括/二、 移动互联网应用个人信息保护安全挑战_零开始信息安全自学

二、 移动互联网应用个人信息保护安全挑战

移动互联网应用作为用户数据收集的主要入口，近年来其个人信息保护问题引发社会的广泛关注。用户个人信息泄漏、信息过度收集使用、权限滥用等问题严重威胁了广大APP用户的切身利益。收集使用规则不清、收集行为不合理、数据随意共享等现象的存在，将用户推入隐私与便利的两难选择。移动互联网产业用户个人信息保护工作面临严峻的挑战。

1. 数据价值上升吸引力增大，网络攻击形势严峻

随着大数据、人工智能等技术的应用推广，用户数据价值提升，黑产吸引力剧增。内鬼、黑客、爬虫以及手握数据的公司与个人之间的数据互换，是构成地下数据交易的主要成分，这些数据再经过清洗、分类，可以从不同的渠道销售出去，为暗扣费、恶意移动广告、App推广刷量等黑产相关方提供大量原始资源，给用户带来了巨大的安全威胁和经济损失。

2. 应用安全防护能力不足，用户个人数据泄露风险较高

移动互联网APP的应用安全防护能力和个人信息保护能力不足，行业重视度不高，安全防护和个人信息保护能力只停留在基础要求。开发者隐私保护意识相对淡薄，工程开发过程中，大多过分注重业务和性能，忽略安全和个人信息保护。个人信息不安全存储、未加密传输、个人信息未脱敏展示等问题导致用户个人数据泄露风险较高。

3. 企业内部管理不完善，防护能力不足易导致数据泄露

企业内部管理不善，主要表现两个方面，一是企业人员管理机制不完善，不重视应用安全，缺少对管理人员和开发人员的安全防护培训，管理人员和开发人员在应用安全防护上缺少应有的安全意识；二是系统防护机制不完善，易遭受恶意攻击，易导致用户敏感信息大规模泄露。

4. 分发渠道审核明示力度参差不齐，应用安全水平堪忧

分发渠道安全审核机制不完善，应用和用户个人信息安全无法保障。主要表现在三个方面，一是部分分发平台缺少必要的应用管理机制，未对应用进行审核及安全、服务等相关检测和跟踪监测；二是分发平台虽有应用管理机制，但粒度和范围参差不齐，特别是缺少对老旧应用的审核；三是一些应用通过广告商或信息流分发，缺乏安全检查，无用户信息明示环节，存在静默下载和诱导安装现象。

5. 隐私保护与应用便利选择两难，产业链协作能力不足

面对隐私保护与应用便利，用户很难抉择，主要表现在两方面，一是应用存在一揽子授权、不授权就不给用的现象，使得大部分用户别无选择，不得不拿个人隐私换取便利。二是在用户权益保护共识广泛达成、公众个人敏感信息保护意识普遍提升的情况下，终端、应用、分发等产业链环节协作不足，权限管控、信息收集使用、设备识别码防护等方面行动不统一，未形成有效合力。

6. 法律法规急需完善，协作治理能力有待提升

现行的《网络安全法》、《民法总则》和即将出台的《个人信息保护法》等相关法律作为国家法律，构成我国个人信息保护的制度基础，但政府行政、立法司法、市场企业及个人等相关主体间协作治理体系尚未形成，个人信息采集、使用和管理存在采集主体资格无法界定、数据权利无法律依据、权利人被动接受、数据使用和退出边界不清晰、相关法律责任不明确，以及监管和执法难以到位等问题。

三、 移动互联网应用个人信息安全常见问题分析

随着行业发展及用户意识的提高，用户对移动互联网应用违规收集使用个人信息、过度索权、频繁骚扰等侵害用户权益的问题感受强烈。

（一）个人信息收集使用规则效果不佳

收集使用规则通常以隐私政策形式呈现，是应用运营者明示用户收集使用信息行为的主要途径之一。隐私政策缺乏，隐私政策内容不清晰、用词含糊、语义不清、冗长难懂、用户难理解，“霸王条款”限制用户权利，默认、强制用户同意隐私政策，侵犯用户选择权等都是常见问题。

（二）强制、频繁、过度索权成为普遍现象

不给权限不让用、不给权限不让登录、不给权限不让使用某项业务，变相强制用户授权是用户最为反对的行为。提前申请权限或无业务功能申请权限；权限无关场景或服务下频繁申请权限，变相诱导用户授权等现象也逐渐成为新的关注点。

（三）私自收集频发，超范围收集问题突出

未明确告知收集使用个人信息的目的、方式和范围并在获得用户同意前，收集用户个人信息。在非服务所必需或无合理应用场景情况下，超范围或超频次收集个人信息。在应用登录时，将收集银行卡号、身份证号、人脸、指纹等敏感信息作为应用开启使用的前提条件或通过积分、奖励等方式诱导用户输入相关敏感信息等超范围收集问题突出。

（四）数据共享行为不规范，缺乏约束措施

应用未向用户明示第三方共享信息的收集使用规则，目的、方式、范围不明确；未经用户同意转移用户信息。应用后端在用户拒绝同意的情况下，依然转移用户数据至第三方；应用提供商未对第三方数据共享行为进行安全评估，无法保障所共享用户数据在第三方处的安全性。

（五）无开启或关闭个性化服务选项

应用在未向用户告知的情况下，收集用户搜索、浏览记录和使用习惯，并将其用于个性化服务或精准营销等。用户通常无法选择是否使用或接受个性化服务及定向推送。84.42%的应用存在未经用户同意，强制接受个性化服务或精准营销的现象。

（六）设置不合理障碍，账号注销难

应用不提供账号注销服务，或应用声明提供账号注销服务，但注销入口难以寻找、注销功能无效或跳转到无关页面。有的在用户使用注销功能时，注销失败、无响应或超出注销承诺时限。或者设置指定方式、指定地点等作为注销必要前提等。

四、 移动互联网应用个人信息保护重点及实践案例

报告针对社会热点聚焦、用户投诉严重的六类问题，在收集使用个人信息规则明示、权限申请、收集个人信息、使用个人信息、个性化推送、账号注销等六个方面，提出了保护要求，给出了保护要点，以及实践案例分析，供行业各方参考使用。

（一）个人信息收集使用规则

应用应具备收集使用个人信息规则，向用户告知其收集使用行为，规则应清晰明了，便于用户阅读，以达到规则的实际目的和效果。收集使用个人信息规则关注要点如下：

1.个人信息收集使用规则单独成文，易于访问、阅读

个人信息收集使用规则应单独成文如《隐私政策》，在APP首次运行时弹出隐私政策弹窗，简述《隐私政策》内容、提供详细《隐私政策》链接、明示《隐私政策》的访问路径，且《隐私政策》字体大小适中，无模糊不清，易于用户阅读，如图4-6所示。

图4 单独成隐私政策 图5 隐私政策路径

图6 字体清晰、大小适中

2. 规则中应明示收集个人信息的目的、方式、范围

个人信息收集使用规则应清晰明示会通过哪些渠道获取个人信息，如“您直接提供的信息”、“我们主动收集的信息”和“我们从其他来源取得的信息”等，且应清晰显著的明示各业务场景或功能下需求的个人信息类型、个人信息字段以及收集使用信息目的说明、场景描述，如图7-9所示。

图7 收集个人信息渠道 图8 收集个人信息业务功能

图9 收集个人信息类型、频率、目的及场景描述

3. 规则应清晰明示申请权限的目的、方式、范围

个人信息收集使用规则中应清晰明示申请的设备权限、对应的业务功能、调用权限的目的、询问时机以及用户可否关闭权限等内容，如图10所示。或在应用开启时以弹窗形式对需要申请的核心权限、目的加以明示，如图11所示。

图10申请权限情况说明 图11弹窗权限说明

4. 规则应清晰明示第三方SDK收集使用个人信息的目的、方式、范围

个人信息收集使用规则应添加关于第三方服务的描述，按照业务功能清晰明示提供服务的第三方SDK名称和收集使用的个人信息类型、字段，如图12所示。或按照第三方SDK服务明示其收集使用的个人信息类型、字段和目的等，如图13所示。

图12 按业务功能分类说明SDK收集使用情况 图13 按第三方SDK服务说明收集使用情况

5. 收集使用个人信息规则应经用户主动选择同意，不应默认或缺省设置为同意

个人信息收集使用规则不应存在默认勾选或默认同意（如“点击登录/注册即同意”）等情况，如图14所示。应提示用户阅读由用户主动选择同意，如图15所示。可在首次打开时提供“不同意，仅浏览”、“同意并进入”及“不同意，退出并关闭APP”等多种选项供用户进行自主选择，如图16所示。

图14 默认同意隐私政策 图15 用户主动同意隐私政策 图16 多种方式自主选择

（二）权限申请

应用权限申请应与功能相关，不应因用户拒绝授权而限制其他功能使用。权限申请关注要点如下：

1. 不应不给权限不让用，不给权限不让登录

应用启动时，弹窗向用户申请可收集用户个人信息的权限，用户拒绝授权后，应用不会退出或关闭，仍能正常使用。

2. 应用应高于23

受系统特性的限制，当应用的版本低于23时，应用在安装时一次性获取全部申请权限。若用户不同意，则无法正常安装，如图17所示。

图17 安装时一次性授权

3. 不应过度索取权限，权限应与当前应用业务功能或场景有关

权限申请应与当前应用业务功能或场景有关，不应过度索取权限。如应用申请可收集个人信息的权限，但无与所申请权限相关的业务功能；或应用申请可收集个人信息的权限，但申请时不存在相关的业务功能或场景。例如，用户点击应用在线客服功能入口中，向用户弹窗申请开启相机、麦克风权限，此时并未实际使用麦克风、相机，如图18所示。

图18 提前申请麦克风、相机权限

4. 用户拒绝权限申请后，不应频繁申请权限

应用在运行时，弹窗向用户申请当前场景非必需权限如麦克风、相机、位置等，用户拒绝权限申请后，仍频繁弹窗申请，滋扰用户。

（三）个人信息收集

应用收集个人信息应向用户告知并经用户同意，收集行为应满足合理正当必要原则，收集个人信息行为关注要点如下：

1. 征得用户同意后再收集个人信息

收集个人信息的行为应发生在应用向用户告知并经用户同意后。用户未明确点击隐私政策弹窗或注册/登录页面的“同意”选项前，浏览滑动当前页面，点击隐私政策链接阅读，返回上一页或退出应用等操作，均不表示用户同意个人信息收集使用规则。

2. 不应超范围收集用户信息

应用收集用户个人信息时，在非服务所必需或无合理应用场景下，超出其所向用户明示的收集范围。其中超范围收集通讯录、短信、通话记录比较普遍。例如：应用通过界面展示向用户明示收集1-2条通讯录联系人信息，用户同意后读取全部通讯录联系人信息，如图19-21所示。

图19明示用户收集联系人信息 图20明示用户收集两条联系人信息

图21明示用户收集两条联系人信息，实际收集全部联系人信息。

3. 不应频繁收集用户信息

应用在无合理服务场景或静置状态下，频繁读取应用定位、通讯录、短信、图片。例如，应用静置状态下，每30S读取上传一次定位。应用后台监听并读取图片/短信/通讯录等数据库变更。

4. 不应强制、诱导索取生物特征数据等敏感信息

非服务所必需或无合理应用场景，不应强制，或以积分奖励等方式诱导收集身份证号、人脸、指纹等个人信息。如“完成实名认证，享受更多优惠”、“输入面部密码，保证账户安全”、“完成实名认证，获取更多积分”等，以积分奖励、享受优惠、保证账户安全变相诱导用户输入身份证号、人脸、指纹等个人信息，如图22-23所示。

图22 特权诱导实名认证

图23 超值大礼包诱导实名认证

（四）个人信息使用

应用应向用户告知个人信息的使用目的、方式和范围，用户同意后才可将个人信息共享到第三方。应用使用个人信息，在相关界面展示时，应采取去标识化的方法展示个人敏感信息如身份证，以保证个人敏感信息的安全。使用个人信息关注要点如下：

1. 未经用户同意，不应将个人信息私自共享给第三方

应用应在隐私政策中告知收集的个人信息会与第三方共享。在用户同意隐私政策前，不得将个人信息发送给第三方。用户阅读隐私政策的操作不代表其同意隐私政策，不应在用户读取隐私政策时，将阅读操作视为用户同意，私自将个人信息发送给第三方。

2. 敏感信息应采用去标识化展示方式

应用在相关功能界面展示用户个人信息如身份证号、手机号等，应采用去标识化展示方式，以保证其安全，常见方式如图24所示。

图24 界面个人信息去标识化展示

（五）个性化服务

应用应向用户告知收集用户信息用于个性化服务或精准营销，给用户提供是否使用或接受个性化服务及精准营销的选择，关注要点如下：

1. 个性化内容及广告告知简单易懂、清晰明了

隐私政策中应清晰告知使用用户信息进行用户个性化内容及广告的推送。如图25所示，明确区分个性化展示、推送信息和商业广告，便于用户更好地理解。

图25 区分个性化内容及广告

2. 提供易访问、易操作的个性化广告推送关闭选项

APP应提供易访问、易操作的个性化内容或广告的关闭选项，通常可在设置中提供个性化选项，如图26-27所示。

图26 个性化设置关闭选项易于发现 图27 广告及内容个性化展示关闭选项

（六）账户注销

应用应为用户提供账号注销功能，不得为注销服务设置不合理障碍。注销方式可以依据功能特性设计，但应便于用户操作，注销功能真实有效，关注要点如下：

1. 清晰告知账号注销途径，便于用户操作

个人信息收集使用规则中清晰告知账号注销方式和途径，如图28所示。应用内“设置”功能中提供账号注销服务，便于用户操作，如图29所示。

图28 清晰告知账号注销方式和途径

图29 应用提供账号注销功能便于操作

2. 账号注销功能真实有效

账号注销功能应真实有效，不应存在功能无效、死链、跳转到其他未知页面等现象，如图30-31所示。电话、邮箱等注销方式不应无响应。

图30 提供账号注销服务 图31 账号注销服务不可用

3. 不应设置过多不合理障碍

应用提供注销功能，不应设置不合理的注销条件。注销时不应索要之前未曾提供过的个人信息。如要求提供上传手持身份证全身照才可完成注销，或需要前往指定地点才可完成注销等。

4. 统一账号注销，可分别提供统一账号下特定服务注销和统一账号注销的功能

统一账号虽然关联多个应用或服务，但不应因此拒绝为用户提供账号注销服务。可同时对用户提供注销统一账号下特定服务及永久注销统一账号的服务，供用户灵活选择。例如，使用统一账号登录的应用提供某一特定服务注销功能，同时提供统一账号注销功能，如图32-33所示。

图32 统一账号下特定服务注销 图33 统一账号注销

五、 移动互联网应用个人信息保护十大倡议

在个人信息价值不断提升、数据应用不断创新、安全威胁不断演变的大背景下，移动互联网应用用户个人信息保护工作道路还很长，移动应用用户个人信息保护治理体系有待进一步深化。提升移动互联网应用个人信息保护能力，加强用户权益保护，离不开全产业链的共同努力。中国信息通信研究院秉持“国家高端专业智库，产业创新发展平台”的发展定位，持续开展技术检测和检查工作，并联合行业协会、互联网企业在制定规范、签署行业自律公约等方面进行了有益的探索，在加强用户个人信息保护、维护人民群众的切身利益方面取得了积极成效。我们特此倡议：

（一）加强行业自律，明确企业主体责任

严格遵守法律法规，全面加强行业自律。行业自律是用户个人信息保护的关键，也是企业可持续发展的内在基础。企业应在行业协会的组织下，严格遵守法律法规，积极开展自律工作。应用服务和应用分发厂商应积极落实主体责任，主动适应个人信息保护和数据管理新形势新要求，严格遵守法律法规，贯彻落实个人信息收集使用规定，不断完善企业内部的个人信息保护和数据管理制度，持续优化用户隐私政策，并将个人信息保护的要求贯彻执行到规划、开发、运营等各个环节，积极配合主管部门的监管要求，切实有效维护好用户合法权益。

（二）依托公众监督，及时响应用户关切

高度重视用户权益保障，为用户举报监督创造便利条件。公众监督是保障用户权益的重要渠道，也是约束企业行为的有效方式。应用服务、应用分发平台应以用户为中心，为用户举报投诉设置便捷的方式和渠道，健全公众参与监督的机制，时刻关注用户感受和体验，尊重并保障用户的投诉权，积极向行业主管部门移交公众举报信息。

（三）规范收集使用规则，落实告知同意

规范告知明示内容，确保用户知情权、选择权。收集使用规则是用户了解移动互联网应用用户个人信息收集使用的主要渠道，收集使用规则应满足清晰、明确、完整、易懂等要求，确保用户充分理解。收集使用规则应包含收集使用信息的内容、目的、方式、范围、频次、保护措施以及公开、转移、共享等相关信息。移动应用服务商应严格依照收集使用规则进行用户个人信息收集处理，遵循告知同意原则，在收集用户个人信息前，以易于感知的方式，明示告知用户收集使用规则，待用户同意后，方可执行。

（四）规范信息共享规则，明确责任归属

根据信息共享和责任归属原则，增加信息可追溯性。移动应用服务商应制定清晰、明确的信息共享规则，在转移、共享用户个人信息前，应先明示用户共享的内容、共享对象、共享用途等相关信息，征得用户同意后，方可转移或共享信息。移动应用服务商应与信息接收方订立安全协议，明确各方信息保护责任，并要求信息接收方依规执行。

（五）规范推送及权限调用，加强用户可知可控

加强应用推送及权限调用管理，净化应用环境。完善的应用推送及权限调用管理机制可以有效约束应用服务在未向用户告知或未以显著方式标示情况下，将收集到的用户搜索、浏览记录、使用习惯等个人信息用于定向推送或精准营销的行为。构建应用服务合规合理定向推送，净化移动互联网应用环境，以期提高公众对应用服务的使用信心。

（六）提高应用防护能力，保障用户合法权益

提高安全专业能力，高度重视个人信息保护。安全防护能力是移动应用保护用户个人信息的基础保障。移动应用开发者应采取必要的手段保障应用的安全性和用户数据的机密性、完整性和可用性。应用服务开发者应将安全编码原则贯穿整个软件开发周期，采用高等级API和安全SDK、适配最新操作系统及外部代码库,并对应用进行必要的安全加固,采用安全存储和传输技术保障用户敏感信息安全，通过完善的身份认证机制保障通信过程安全。

（七）规范平台信息声明，保证下载用户知情

为用户提供应用详情，增加应用环境透明度。应用平台信息声明是用户了解应用基本信息的重要途径。平台应明示用户，应用名称、功能描述、卸载方法、开发者信息、应用安装及运行所需权限列表等，明确告知用户应用收集使用用户个人信息的内容、目的、方式和范围等。在用户下载应用时，平台应明示应用名称、功能描述、卸载方法、开发者信息、应用安装及运行所需权限列表等，且应明示用户收集使用个人信息的内容、目的、方式和范围。

（八）完善安全审核职责，落实分发上架机制

通过应用检查审核机制，为用户提供合规应用。应用分发平台审核机制是保证用户个人信息的基础保障。平台应审核开发者资质和应用相关信息。平台应制定明确的上架要求并建立完备的检测机制，通过自动化检测和人工审核手段，对应用收集使用用户个人信息的行为进行规范。应用分发平台应对应用进行跟踪监测和管控，包括定期复查，定期对已上架的应用进行复查，发现问题立即下架。

~

网络安全学习，我们一起交流

~