手机网站
手机网站
9年17日,2019年全国网络安全宣传周“个人信息保护高峰论坛”在天津举行论坛吸引了来自行业相关组织、知名应用和SDK企业以及应用商店和设备制造商的嘉宾,他们共同讨论了与应用收集和使用个人信息相关的问题。来自杜南的
记者了解到,应用特别治理工作组已收到近9000份报告,涉及2000多个应用项目,已整改800多个问题。一些专家指出,应用治理需要设备制造商、SDK和应用商店的多方治理。在下一阶段,应用如何在日益严格的监管下找到自己的发展道路将非常重要。
现状
收到近9000条举报信息,纠正了800多个问题
长期以来,强制、过度收集和使用个人信息似乎已成为应用程序开发的常态,而用户往往被迫接受。
为了改变这种“野蛮增长”的局面,今年1月,中央互联网信息办公室、工业和信息化部、公安部、市场监管总局联合发布公告,宣布启动为期一年的违法违规收集和使用应用个人信息专项行动,并委托成立应用专项行动工作组。洪延庆,北京大学法治与发展研究所
工作组副组长、高级研究员冯群星摄
据工作组副组长、北京大学法治与发展研究所高级研究员洪延庆介绍,截至9月12日,工作组搭建的举报平台共收到举报信息8992条。他强调,这是工作组核实和初步核实的有效数量的报告。
收到报告后,工作组选择下载量大、用户常用的应用纳入评估范围。何艳哲,
工作组成员,中国电子技术标准化研究院主中心评审部主任朱领导的
199工作组成员、中国电子技术标准化研究院主中心评审部主任何艳哲在会上透露,上报的信息涉及2000多个应用。目前,近600个项目已纳入评估范围,800多个问题已得到纠正。在评估过程中,工作组总结了App在收集和使用个人信息方面的十个典型问题。其中,没有隐私政策,要求用户同意同时打开多个可以收集个人信息的权限,迫使用户要求不相关的权限,如地址簿和位置等。未经用户同意收集个人信息的问题已得到显著改善。
例如,没有隐私政策的高下载量应用的头数已经很少,而在头两年,有隐私政策的头数很少。也有这样的情况,用户需要同意打开多个权限,可以一次收集个人信息,并强制访问地址簿和位置权限,这已经有了很大的改进。
何艳哲特别指出,第五个典型问题“申请许可时不同步向用户说明目的”,在已报道的问题中相对较新。许多用户不明白为什么应用程序需要获得存储许可,认为应用程序在获得电话许可时想偷听他的电话。
"在过去几天的展览中,我们还发现我们告诉了用户如何关闭权限。因此,他们问,什么是权限?”他说,“我们都说产品应该人性化,但是什么时候安全才能真正人性化呢?像产品经理一样思考可以使人们对安全问题有更深的理解。
应用程序应该收集哪些个人信息?
那么,应用程序应该收集哪些个人信息?
8年,国家信息安全标准化技术委员会公开征求公众对《信息安全技术移动互联网应用个人信息收集基本标准》的意见该规范规定了21种常用应用程序类型可以收集的最少信息。
在何艳哲看来,《标准》要解决的是上述企业最关心的问题《守则》是对“最低限度充分”原则的改进,是对“无关个人信息”的负面解释。”他强调,定义最低权限范围是应用的一个特点。
《规范》分为两部分,第一部分是管理要求其中一人提到,除了用于确保网络安全或操作安全的设备外,应用程序不应收集不可更改设备的唯一标识。
何艳哲解释说,工作组统计了100个常用应用,发现收集IMEI号码的概率是100%“不是说它没用,而是它确实引起了很多问题我们希望IMEI将被安全地使用,使其发挥良好的作用,而不是扩大其在骚扰中的不良作用。“
第二部分是技术要求其中一个要求是,应用程序应以实现服务所需的最低合理频率向后台服务器发送个人信息。
“我们发现一个应用程序每天24小时每5秒收集一次IMEI号码,”何艳哲指出,在这种情况下,应用程序的开放许可是合理的,但这样频繁的收集过程可能不合理
何强调,希望通过严格控制收款端,推动企业尽可能地进行业务转型,以适应日益严峻的监管环境。“我认为在下一阶段,如何在如此严格的监督下找到自己合适的发展道路非常重要“
治理
需要设备制造商、SDK和应用商店的共同治理。在论坛上,许多嘉宾指出,由于应用生态的复杂性,其治理不能仅仅依赖于应用制造商,而是需要多方共同治理。
唐鑫中央网络信息办公室网络安全协调局局长朱方圆拍摄了
“应用收集和使用个人信息涉及很多环节,如手机应用厂商、应用商店和SDK”。例如,中央网络信息办公室网络安全协调局局长唐鑫表示,应用程序制造商抱怨说,他无法控制应用程序中嵌入的SDK收集了哪些个人信息。
中国信息通信研究院安全研究所所长魏亮朱方圆给
中国信息通信研究院安全研究所所长魏亮拍照时进一步指出,在App的个人信息生态安全中,除了App,还有用户、设备制造商、SDK和应用商店,而App和用户的关系是最直观、最重要的。
"应用为个人提供服务,在提供服务的过程中需要一些个人信息。此时,两者之间存在一定的矛盾”,他说,这种矛盾自然存在:APP收集的个人信息越多,它就能为个人提供越有价值的服务;虽然用户想要便捷的服务,但他们不想过多地交出个人信息。
应用和设备制造商在数据权利方面有更多争议。例如,为了提供更好的服务,设备制造商还想从应用程序获取一些数据,包括这些数据是属于个人还是应用程序,应用程序和设备如何共享数据,以及个人授权后如何确认权限。
。对于软件开发工具包和应用程序商店来说,如何用应用程序划分数据管理职责是首要问题。“应用商店是应用发布的重要渠道,对应用负有管理责任,”魏亮说,但也有一些应用可以绕过应用商店来更新应用。此时,如何界定管理责任的范围和界限需要研究。
在唐鑫看来,应用治理应该实现行业协同,每个环节不应该“为自己而战”,而应该坐在一起研究和讨论,打通各环节,形成综合治理的生态这样,网民在使用应用程序时会有更多的体验。
