诱骗用户上传整个通讯录 网安周论坛点名App十大常见问题

南方都市报APP • 隐私护卫队课题组
原创2020-09-20 22:54

9月20日,2020国家网络安全宣传周“App个人信息保护”主题发布活动在北京举行。活动上发布了《网络安全标准实践指南——移动互联网应用程序(App)个人信息保护常见问题及处置指南》(下称《指南》),中国电子技术标准化研究院信息安全研究中心数据安全部主任胡影进行了解读。

据介绍,《指南》基于对App存在的相关问题出现频率的统计,给出了当前App在个人信息保护方面存在的十大常见问题,包括未经同意向第三方提供个人信息,未说明收集使用个人信息的目的、类型、方式,如未列出嵌入的第三方代码、插件(如SDK)收集使用个人信息的目的等内容。

值得注意的是,无论是今年央视的3·15晚会还是被称为网络安全界“3·15晚会”的“网络安全 e同守护”网安周特别节目,都揭露了App中第三方代码存在的个人信息安全问题。今年7月,中央网信办、工信部等四部门启动2020年App违法违规收集使用个人信息治理工作,将SDK纳入评估。

今年6月,某App频繁读取剪切板内容的新闻受到关注,引发公众对隐私泄露的担忧。《指南》强调,App未征得用户同意读取剪切板或公共存储区的个人信息,属于未经用户同意收集个人信息。这也是App存在的十大常见问题之一。

《指南》还显示,App实际收集使用个人信息行为与声明不一致也是十大常见问题之一。具体包括但不限于故意欺瞒、掩饰收集使用个人信息的真实目的,诱骗用户同意收集个人信息或申请打开权限等情形。比如以添加联系人为由申请通讯录权限,用户打开权限后上传整个通讯录,并将该信息用于发送商业广告或其它目的。

此外,App还普遍存在申请权限或收集个人敏感信息未同步目的,超范围收集,未提供有效的注销用户账号途径,强制捆绑授权,未提供删除、更正或投诉举报的功能或渠道,隐私政策未征得用户明示同意的问题。

针对上述每一种问题,《指南》给出具体建议。比如《指南》建议,如果第三方代码、插件收集个人信息,App应说明它们的类型或名称,以及收集个人信息的目的、方式等。

就实际收集使用个人信息行为与声明不一致问题,《指南》建议App实际收集的个人信息类型、申请打开的权限、提供的业务功能等,与隐私政策等规则中相关内容一致,不超出所述范围;不故意欺瞒、掩饰收集使用个人信息的真实目的,不诱骗用户同意收集个人信息或打开可收集个人信息权限等。


附《指南》链接:

https://www.tc260.org.cn/upload/2020-09-20/1600568319330039082.pdf


文/南都个人信息保护研究中心研究员 尤一炜

编辑:蒋琳

2
对这篇文章有想法?跟我聊聊吧
南都新闻,未经授权不得转载。授权联系方式:
banquan@nandu.cc,020-87006626。