新一轮App治理启动!SDK小程序纳入评估,关注人脸收集问题
南都讯 记者李慧琪 蒋琳 新一轮App违法违规收集使用个人信息治理工作正式启动。7月25日,据国家互联网信息办公室官微“网信中国”消息,中央网信办、工业和信息化部、公安部、国家市场监管总局四部门7月22日在京召开会议,启动2020年App违法违规收集使用个人信息治理工作。
会议指出,App治理工作组将对App、SDK、小程序等进行深度评估,对生物特征信息收集使用不规范、App滥用敏感权限等问题进行专题研究和深度检测,并制定出台App收集使用个人信息行为应用商店审核管理指南。
SDK、小程序首次被纳入评估范围
去年1月25日,四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,决定自2019年1月至12月,在全国范围内组织开展App违法违规收集使用个人信息专项治理行动。
会议提到,受四部门委托成立的App违法违规收集使用个人信息专项治理工作组(下称“工作组”)共受理网民有效举报信息12000余条,针对2300余款App开展深度评估、问题核查,对用户规模大、问题突出的260款App,有关部门采取了公开曝光、约谈、下架等处罚措施。
然而,会议也指出,当前App数量已超500万款,违法违规收集使用个人信息问题还未根本解决。因此,2020年治理工作将在去年基础上,进一步加大整治工作力度,突出问题导向、强化标准规范支撑、加强责任追究。
值得注意的是,在App的基础上,工作组的深度评估对象进一步拓展至SDK(软件开发工具包)和小程序,工作组还将制定发布SDK、手机操作系统个人信息安全评估要点。
事实上,SDK和小程序的确存在不少超范围收集个人信息的现象。
根据南都个人信息保护研究中心联合中国信息通信研究院安全研究所发布的《小程序个人信息保护研究报告》,只有38.5%被测小程序提供了独立的隐私政策,而且94%未向用户告知如何关闭已授权权限路径。此外,小程序超范围收集个人信息、默认共享用户个人信息等问题也较为严重。
另一方面,SDK违规收集使用个人信息保护的问题也不容小觑。
南都个人信息保护研究中心与中国金融认证中心(CFCA)去年联合发布的《常用第三方SDK收集使用个人信息测评报告》对60款常用App及主流SDK进行测评发现,有的SDK会在未告知用户的情况下对环境或通话录音,以及获取用户的地理位置;还有SDK能够通过代码收集超出其声明权限范围的个人信息。
今年的央视315晚会上就曝光了SDK擅自获取用户隐私的乱象。据报道,它们会在用户不知情的情况下,读取电话号码、短信、通讯录、地理位置等信息,并上传到自己的服务器。
针对上述问题,工信部已立即对曝光使用涉事SDK的50余款App进行技术检测,对存在问题的App第一时间下架。同时责成阿里、腾讯、百度、华为、小米、OPPO、vivo、360等国内主要应用商店对类似问题进行排查,要求App开发者自查自纠。
此次的会议也提出,新一轮治理的重点工作包括制定出台App收集使用个人信息行为应用商店审核管理指南,指导督促应用商店切实做好App上线前的安全审核,把严入口关。
将深度检测人脸信息收集使用不规范问题
随着疫情防控常态化,越来越多小区开始使用人脸、指纹等生物识别的方式进行出入管控。然而,一旦收集使用不规范造成生物特征信息泄露,后果将不堪设想。
因此,工作组将针对面部特征等生物特征信息收集使用不规范问题开展专题研究和深度检测。此外,App后台自启动、关联启动、私自调用权限上传个人信息,录音、拍照等敏感权限滥用等社会反映强烈的重点问题也将被纳入其中。
今年5月App专项治理工作组发布的《App违法违规收集使用个人信息专项治理报告(2019)》提到,从专项治理举报受理和检测评估工作发现问题规律来看,问题下降趋势有减缓和波动的迹象。一方面是评估对象从头部企业向中小型企业扩展,后者整改力度不足;另一方面是典型问题经过曝光、整改后,剩余问题成为治理工作“深水区”。
针对违法违规收集使用个人信息行为,工作组将进一步加大发现力度、曝光力度、处罚力度。根据情节、后果严重程度,依法依规予以约谈、警告、下架、罚款等处罚,对违法违规行为形成有效震慑。
南都记者了解到,截至去年底,市场监管总局已组织有关认证机构针对15家企业的28款App开展认证试点工作。今年,工作组将继续推进App个人信息安全认证工作,有序开展认证证书和标识发放,建立持续动态的认证跟踪机制。
去年,工作组制定出台了《App违法违规收集使用个人信息行为认定方法》《App违法违规收集使用个人信息自评估指南》等政策规范,为后续的App个人信息保护提供了很好的指导参考作用。
新一轮治理工作中,工作组还将发布免费技术工具,指导中小企业开展个人信息收集使用行为自评估;加强个人信息安全评估培训,推动个人信息安全评估工作的规范化;加大力度开展个人信息保护宣传教育,扩大个人信息保护知识、技能传播的普及面。
“网信中国”微信公众号全文:
https://mp.weixin.qq.com/s/36fYJm8HkAg_noM6CcgFJg
此前报道:
App专项治理报告:去年两千余款被举报 中小企业整改力度不足
App专项治理:督促300款整改 近期计划发布首批安全认证书
四部门界定App违法违规行为:不得以提升用户体验为由强制获权
编辑:尤一炜
banquan@nandu.cc,020-87006626。