當(dāng)前,,在疫情防控形勢出現(xiàn)積極轉(zhuǎn)變的情況下,,面對疫情防控和經(jīng)濟(jì)社會發(fā)展工作的緊迫任務(wù),中央和地方陸續(xù)出臺政策穩(wěn)步推進(jìn)復(fù)工復(fù)產(chǎn),。同時(shí),,移動應(yīng)用市場上協(xié)同辦公、在線教育,、便民服務(wù)等領(lǐng)域不少App也不失時(shí)機(jī)地展開了助力疫情防控,、復(fù)工復(fù)產(chǎn)的宣傳。
復(fù)工復(fù)產(chǎn)App基本情況
通過某主流應(yīng)用市場進(jìn)行初步統(tǒng)計(jì),,目前已上線的復(fù)工復(fù)產(chǎn)相關(guān)App約500款,,類型可分為防疫服務(wù)、遠(yuǎn)程辦公,、在線教育等,。其中防疫服務(wù)類App多為醫(yī)藥產(chǎn)品網(wǎng)購平臺,支持在線購買防疫物資,。遠(yuǎn)程辦公類App普遍以在線協(xié)同辦公,、即時(shí)通信傳輸、網(wǎng)絡(luò)視頻會議等作為核心業(yè)務(wù)功能,。在線教育類App則通過網(wǎng)課直播,、作業(yè)批改、遠(yuǎn)程輔導(dǎo)等功能,,協(xié)助教育群體在疫情期間實(shí)現(xiàn)停課
停學(xué),。
復(fù)工復(fù)產(chǎn)App數(shù)據(jù)安全隱患及合規(guī)性問題分析
本次評測選取國內(nèi)主流應(yīng)用商店下載量較大、業(yè)務(wù)功能較為貼合疫情防控時(shí)期社會大眾需求的典型App進(jìn)行數(shù)據(jù)安全合規(guī)性測試分析,發(fā)現(xiàn)其中多款A(yù)pp在注冊,、使用過程中涉及個(gè)人敏感信息以及企業(yè)數(shù)據(jù)的在線傳輸,、存儲、處理,,且存在相應(yīng)的安全隱患,。
評測結(jié)果顯示,復(fù)工復(fù)產(chǎn)相關(guān)App在是否明示收集使用個(gè)人信息的目的,、方式,、范圍及公開收集使用個(gè)人信息規(guī)則等方面問題比較突出。除此之外,,防疫服務(wù)類App在遵循最小必要原則方面存在不足,;在線教育類App存在收集使用個(gè)人信息規(guī)則不完善、未明確有效的隱私政策更新機(jī)制等問題,;遠(yuǎn)程辦公類App則存在默認(rèn)選擇同意隱私政策,、無法確保個(gè)人信息有效刪除等情況。
1.醫(yī)藥平臺涉及用戶醫(yī)療和健康隱私數(shù)據(jù),,如何保護(hù)患者隱私是焦點(diǎn)問題
使用醫(yī)藥平臺購買部分藥品時(shí),,用戶需要提供處方單和醫(yī)生咨詢信息、郵寄地址等個(gè)人敏感信息,,除此之外部分App具有在線問診功能,,更進(jìn)一步獲取了患者電子病歷、健康檔案,、會診信息,、影像數(shù)據(jù)等。一旦發(fā)生數(shù)據(jù)泄露將對患者群體,、醫(yī)療產(chǎn)業(yè)造成嚴(yán)重影響,。
本次評測中,此類App除未明示個(gè)人信息收集使用規(guī)則,、未經(jīng)用戶同意收集使用個(gè)人信息情況,、未遵循最小必要原則等問題以外,還存在強(qiáng)制索取非必要權(quán)限的情況,。
案例1:某醫(yī)藥平臺App在啟動,、登錄、注冊界面未以顯著方式提示用戶閱讀隱私政策,。
案例2:某醫(yī)藥平臺App申請可收集個(gè)人信息權(quán)限時(shí)未同步說明使用目的。
2.在線教育相關(guān)數(shù)據(jù)涉及用戶身份信息,、教育信息,,需額外關(guān)注未成年人信息保護(hù)
教育平臺存儲了大量的學(xué)生在線注冊信息,使用過程中為了課堂秩序和教育質(zhì)量,通常需要開啟麥克風(fēng),、攝像頭等敏感權(quán)限,,未成年人信息一旦泄露或被違法商用,對他們的人身安全,、學(xué)習(xí)和成長都將產(chǎn)生極大危害,,企業(yè)自身及其他教育用戶也面臨同樣的安全風(fēng)險(xiǎn)。
本次評測發(fā)現(xiàn)在線教育類App在公開收集使用規(guī)則,,明示收集使用個(gè)人信息的目的,、方式、范圍方面存在欠缺,,部分App申請權(quán)限時(shí)彈出的說明文字語焉不詳,,不能明示其索要權(quán)限的動機(jī),或未明確隱私政策更新機(jī)制,。
案例3:某在線教育App在收集個(gè)人信息方面未能明確規(guī)范其收集使用規(guī)則,,隱私政策中提及的收集使用個(gè)人信息類型和其業(yè)務(wù)功能對應(yīng)關(guān)系不清。
案例4:某作業(yè)輔導(dǎo)App在申請可收集個(gè)人信息的定位,、存儲權(quán)限時(shí),,未同步說明目的。
案例5:某在線教育App未明確有效的隱私政策更新機(jī)制及通知用戶的方式,。
3.協(xié)同辦公各項(xiàng)功能的實(shí)現(xiàn)涉及員工信息及企業(yè)核心數(shù)據(jù),,管理不當(dāng)容易造成數(shù)據(jù)泄露、丟失,、被竊取等安全事件
協(xié)同辦公主要支持在線考勤,、文檔分享、辦公協(xié)作,、流程審批等功能,,抗疫期間各平臺競相提供免費(fèi)資源吸引用戶,信息交互涉及大量企業(yè)內(nèi)部,、甚至核心數(shù)據(jù),,對App本身的數(shù)據(jù)安全保障能力提出了極高要求。
受測的協(xié)同辦公,、視頻會議類App多暴露出未明示收集使用個(gè)人信息的目的,、方式、范圍,,及未遵循必要原則收集使用個(gè)人信息問題,,尤其在App索權(quán)方面規(guī)范性不足。
案例6:某視頻會議App在注冊賬號時(shí),,未經(jīng)用戶自主操作,,默認(rèn)勾選“閱讀并同意”選項(xiàng)。
案例7:某協(xié)同辦公App將隱私政策夾雜在服務(wù)條款中,且未在隱私政策中逐一描述收集使用個(gè)人信息的類型,、目的等規(guī)則,。
案例8:某協(xié)同辦公App功能界面、客服電話,、電子郵箱等各渠道均無法要求刪除文檔,、個(gè)人信息等數(shù)據(jù)。
案例9:某網(wǎng)絡(luò)會議App啟動,、登錄,、注冊界面均未提示用戶閱讀其隱私政策。
數(shù)據(jù)安全及個(gè)人信息保護(hù)相關(guān)建議
1.建議App相關(guān)企業(yè)嚴(yán)格落實(shí)法律法規(guī)要求,,消除數(shù)據(jù)安全隱患
App運(yùn)營公司及相關(guān)企業(yè)應(yīng)嚴(yán)格落實(shí)《網(wǎng)絡(luò)安全法》,、《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》(工信部24號令)等有關(guān)法律法規(guī)要求,參照《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》進(jìn)行自查自糾,,及時(shí)消除安全隱患,,避免違法違規(guī)收集使用個(gè)人信息或發(fā)生數(shù)據(jù)安全事件。
移動App使用過程可能涉及個(gè)人敏感信息,、企業(yè)核心數(shù)據(jù)的,,運(yùn)營公司應(yīng)實(shí)現(xiàn)產(chǎn)品的快速迭代,完善產(chǎn)品防護(hù)機(jī)制,。應(yīng)用分發(fā)平臺應(yīng)加強(qiáng)App數(shù)據(jù)安全監(jiān)測能力,,提升數(shù)據(jù)安全保障能力。
2.建議作為用戶的企業(yè)或個(gè)人重視數(shù)據(jù)安全,,增強(qiáng)個(gè)人信息保護(hù)意識
企業(yè)一方面應(yīng)結(jié)合自身管理制度,,規(guī)范各項(xiàng)工作的開展,梳理數(shù)據(jù)資產(chǎn)實(shí)施分類分級管理,,提升企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)管控能力,;另一方面需加強(qiáng)員工數(shù)據(jù)安全教育培訓(xùn),確保員工使用過程的數(shù)據(jù)安全,,防止由于意識不到位導(dǎo)致的安全事件,。
此外,用戶應(yīng)選擇正規(guī),、可靠的渠道下載App,,關(guān)注App是否提供了完善的個(gè)人信息保護(hù)機(jī)制,謹(jǐn)慎提交個(gè)人信息,,合理合法保障自身權(quán)益,。
3.建議行業(yè)協(xié)會、聯(lián)盟加強(qiáng)宣傳引導(dǎo),,助力安全有序復(fù)工復(fù)產(chǎn)
相關(guān)行業(yè)協(xié)會,、產(chǎn)業(yè)聯(lián)盟應(yīng)積極配合相關(guān)部門推動復(fù)工復(fù)產(chǎn),,在助力防控工作的前提下充分發(fā)揮聯(lián)盟優(yōu)勢,凝聚各方力量,,互助協(xié)作、資源共享,,共同形成行之有效的解決方案并宣傳推廣,。充分利用安全、高效的互聯(lián)網(wǎng)平臺,,通過舉辦在線論壇,、講座,在媒體,、公眾號等渠道適時(shí)發(fā)聲,,加大數(shù)據(jù)安全和個(gè)人信息保護(hù)的宣傳力度,增強(qiáng)企業(yè)和社會公眾的數(shù)據(jù)安全意識,。
