當前,，在疫情防控形勢出現(xiàn)積極轉變的情況下，面對疫情防控和經濟社會發(fā)展工作的緊迫任務,，中央和地方陸續(xù)出臺政策穩(wěn)步推進復工復產,。同時，移動應用市場上協(xié)同辦公,、在線教育,、便民服務等領域不少App也不失時機地展開了助力疫情防控、復工復產的宣傳,。

復工復產App基本情況

通過某主流應用市場進行初步統(tǒng)計,，目前已上線的復工復產相關App約500款，類型可分為防疫服務,、遠程辦公,、在線教育等,。其中防疫服務類App多為醫(yī)藥產品網購平臺，支持在線購買防疫物資,。遠程辦公類App普遍以在線協(xié)同辦公,、即時通信傳輸,、網絡視頻會議等作為核心業(yè)務功能,。在線教育類App則通過網課直播、作業(yè)批改,、遠程輔導等功能,，協(xié)助教育群體在疫情期間實現(xiàn)停課

停學。

復工復產App數(shù)據(jù)安全隱患及合規(guī)性問題分析

本次評測選取國內主流應用商店下載量較大,、業(yè)務功能較為貼合疫情防控時期社會大眾需求的典型App進行數(shù)據(jù)安全合規(guī)性測試分析,，發(fā)現(xiàn)其中多款App在注冊、使用過程中涉及個人敏感信息以及企業(yè)數(shù)據(jù)的在線傳輸,、存儲,、處理，且存在相應的安全隱患,。

評測結果顯示,，復工復產相關App在是否明示收集使用個人信息的目的、方式,、范圍及公開收集使用個人信息規(guī)則等方面問題比較突出,。除此之外，防疫服務類App在遵循最小必要原則方面存在不足,；在線教育類App存在收集使用個人信息規(guī)則不完善,、未明確有效的隱私政策更新機制等問題；遠程辦公類App則存在默認選擇同意隱私政策,、無法確保個人信息有效刪除等情況,。

1.醫(yī)藥平臺涉及用戶醫(yī)療和健康隱私數(shù)據(jù)，如何保護患者隱私是焦點問題

使用醫(yī)藥平臺購買部分藥品時,，用戶需要提供處方單和醫(yī)生咨詢信息,、郵寄地址等個人敏感信息，除此之外部分App具有在線問診功能,，更進一步獲取了患者電子病歷,、健康檔案、會診信息,、影像數(shù)據(jù)等,。一旦發(fā)生數(shù)據(jù)泄露將對患者群體、醫(yī)療產業(yè)造成嚴重影響,。

本次評測中,，此類App除未明示個人信息收集使用規(guī)則,、未經用戶同意收集使用個人信息情況、未遵循最小必要原則等問題以外,，還存在強制索取非必要權限的情況,。

案例1：某醫(yī)藥平臺App在啟動、登錄,、注冊界面未以顯著方式提示用戶閱讀隱私政策,。

案例2：某醫(yī)藥平臺App申請可收集個人信息權限時未同步說明使用目的。

2.在線教育相關數(shù)據(jù)涉及用戶身份信息,、教育信息,，需額外關注未成年人信息保護

教育平臺存儲了大量的學生在線注冊信息，使用過程中為了課堂秩序和教育質量,，通常需要開啟麥克風,、攝像頭等敏感權限，未成年人信息一旦泄露或被違法商用,，對他們的人身安全,、學習和成長都將產生極大危害，企業(yè)自身及其他教育用戶也面臨同樣的安全風險,。

本次評測發(fā)現(xiàn)在線教育類App在公開收集使用規(guī)則,，明示收集使用個人信息的目的、方式,、范圍方面存在欠缺,，部分App申請權限時彈出的說明文字語焉不詳，不能明示其索要權限的動機,，或未明確隱私政策更新機制,。

案例3：某在線教育App在收集個人信息方面未能明確規(guī)范其收集使用規(guī)則，隱私政策中提及的收集使用個人信息類型和其業(yè)務功能對應關系不清,。

案例4：某作業(yè)輔導App在申請可收集個人信息的定位,、存儲權限時，未同步說明目的,。

案例5：某在線教育App未明確有效的隱私政策更新機制及通知用戶的方式,。

3.協(xié)同辦公各項功能的實現(xiàn)涉及員工信息及企業(yè)核心數(shù)據(jù)，管理不當容易造成數(shù)據(jù)泄露,、丟失,、被竊取等安全事件

協(xié)同辦公主要支持在線考勤、文檔分享,、辦公協(xié)作,、流程審批等功能，抗疫期間各平臺競相提供免費資源吸引用戶,，信息交互涉及大量企業(yè)內部,、甚至核心數(shù)據(jù),，對App本身的數(shù)據(jù)安全保障能力提出了極高要求。

受測的協(xié)同辦公,、視頻會議類App多暴露出未明示收集使用個人信息的目的,、方式、范圍,，及未遵循必要原則收集使用個人信息問題,，尤其在App索權方面規(guī)范性不足。

案例6：某視頻會議App在注冊賬號時,，未經用戶自主操作,，默認勾選“閱讀并同意”選項,。

案例7：某協(xié)同辦公App將隱私政策夾雜在服務條款中,，且未在隱私政策中逐一描述收集使用個人信息的類型、目的等規(guī)則,。

案例8：某協(xié)同辦公App功能界面,、客服電話、電子郵箱等各渠道均無法要求刪除文檔,、個人信息等數(shù)據(jù),。

案例9：某網絡會議App啟動、登錄,、注冊界面均未提示用戶閱讀其隱私政策,。

數(shù)據(jù)安全及個人信息保護相關建議

1.建議App相關企業(yè)嚴格落實法律法規(guī)要求，消除數(shù)據(jù)安全隱患

App運營公司及相關企業(yè)應嚴格落實《網絡安全法》,、《電信和互聯(lián)網用戶個人信息保護規(guī)定》（工信部24號令）等有關法律法規(guī)要求,，參照《App違法違規(guī)收集使用個人信息行為認定方法》進行自查自糾，及時消除安全隱患,，避免違法違規(guī)收集使用個人信息或發(fā)生數(shù)據(jù)安全事件,。

移動App使用過程可能涉及個人敏感信息、企業(yè)核心數(shù)據(jù)的,，運營公司應實現(xiàn)產品的快速迭代,，完善產品防護機制。應用分發(fā)平臺應加強App數(shù)據(jù)安全監(jiān)測能力,，提升數(shù)據(jù)安全保障能力,。

2.建議作為用戶的企業(yè)或個人重視數(shù)據(jù)安全，增強個人信息保護意識

企業(yè)一方面應結合自身管理制度,，規(guī)范各項工作的開展,，梳理數(shù)據(jù)資產實施分類分級管理，提升企業(yè)數(shù)據(jù)安全風險管控能力,；另一方面需加強員工數(shù)據(jù)安全教育培訓,，確保員工使用過程的數(shù)據(jù)安全,，防止由于意識不到位導致的安全事件。

此外,，用戶應選擇正規(guī),、可靠的渠道下載App，關注App是否提供了完善的個人信息保護機制,，謹慎提交個人信息,，合理合法保障自身權益。

3.建議行業(yè)協(xié)會,、聯(lián)盟加強宣傳引導,，助力安全有序復工復產

相關行業(yè)協(xié)會、產業(yè)聯(lián)盟應積極配合相關部門推動復工復產,，在助力防控工作的前提下充分發(fā)揮聯(lián)盟優(yōu)勢,，凝聚各方力量，互助協(xié)作,、資源共享,，共同形成行之有效的解決方案并宣傳推廣。充分利用安全,、高效的互聯(lián)網平臺,，通過舉辦在線論壇、講座,，在媒體,、公眾號等渠道適時發(fā)聲，加大數(shù)據(jù)安全和個人信息保護的宣傳力度,，增強企業(yè)和社會公眾的數(shù)據(jù)安全意識,。