工信部日前组织中国信息通信研究院、电信终端产业协会制定发布了《App用户权益保护测评规范》10项标准和《App收集使用个人信息最小必要评估规范》8项系列标准。
针对App侵权中的典型问题,工信部组织相关机构按照收集用户个人信息“最小必要化”等原则有针对性地制定了这一系列标准,涉及图片、通信录、设备信息、人脸、位置、录像、软件列表等信息收集使用规范。
中国信息通信研究院泰尔终端实验室主任 魏然 :按照信息分类明确不同场景下个人信息收集使用的最小必要原则。企业可以对照最小必要这一系列的标准设计开发符合最小必要原则的APP产品,我们测评机构也会依据这份标准开展最小必要的符合性的评估。
据了解,目前我国境内APP上架数量已超过350万款。工信部在连续两年的APP侵害用户权益专项整治过程中,发现很多企业对监管规则理解存在偏差,政策标准认知与APP的技术实现之间没有很好衔接。加快制定出台相关标准,将用户权益保护和收集使用个人信息最小必要等原则转化为APP开发运营者可理解执行的具体要求,成为产业发展的迫切需求。
中国信息通信研究院泰尔终端实验室主任 魏然:比如我们在这个位置信息这份标准中明确电商购物的APP在基于位置展示商品信息时,不需收集(用户)精确的位置信息。在图片信息这份规范中呢我们要求收集图片附加的位置,拍照时间、设备、图片名称等信息时应给用户提示,并且允许用户选择删除。
在手机上安装使用App时,用户常常面临着是否授权允许应用软件访问通讯录、位置、图片等问题,开通权限会担心泄露个人信息,但有时不授权就无法正常使用软件。
手机用户 :可能也会造成信息的泄露,会有这样的风险。
手机用户 :你要是不允许(开通权限)就下载(使用)不成功,你必须要全部允许或者始终允许。
据了解,目前APP侵害用户权益行为主要包括:违规收集个人信息、违规使用个人信息、不合理索取用户权限、为用户注销账号设置障碍等四方面问题。
在中国信息通信研究院的实验室里,工程师向记者展示了部分APP违规侵权行为。通过检测软件可以看到,这个出行软件除了获取普通位置信息以外,还存在读取移动设备识别码(手机序列号)、获取应用列表以及读取小区基站位置等敏感行为。
中国信息通信研究院应用软件安全检测实验室 武林娜: 它是在没有经过用户同意的情况下收集了设备识别码、用户识别码。然后通过这个信息它可以追踪到用户,为用户推荐一些个性化的广告。
这款应用要求开通“读取、写入或删除存储空间”的权限,如果用户禁止就频繁弹窗,不授权就无法使用。而在这款应用的页面上随手点一下广告,手机就直接开始下载一个1.6G的游戏软件。
中国信息通信研究院应用软件安全检测实验室工程师 武林娜:一些开屏广告页面存在一些误导用户下载的这种情况。它没有明确的下载按钮,或者是点击非下载按钮以外的区域也可以下载应用,或者是它设置了一些虚假的关闭广告按钮,但是其实用户点击了这个关闭之后还是会下载应用。
今年7月以来,工信部针对App、软件工具开发包违规处理用户个人信息、设置障碍频繁骚扰用户、欺骗误导用户以及应用分发平台责任落实不到位等四个方面十类问题,开展了App侵害用户权益专项整治行动,明年初将继续开展为期半年的App个人信息保护专项整治。
中国信通院泰尔终端实验室主任 魏然:我们要加快完善App收集使用个人信息最小必要评估规范这个系列标准,争取在年底前发布录音录像、房产信息、通话信息、身份信息、触感信息、日志信息、交易和消费机构、好友列表等一系列的规范。
通过全国App技术检测平台,工信部目前已完成国内用户使用率较高的44万款APP的技术检测,责令1336款违规APP整改,公开通报377款整改不到位的APP,下架94款拒不整改的APP。由于各种应用层出不穷而且更新频繁,工信部还将继续加大监督检查和技术检测力量。
工业和信息化部信息通信管理局副局长 鲁春丛:积极运用人工智能、大数据等新技术新手段,全面提高App自动获取能力和批量处理能力,力争明年具备全年检测180万款的覆盖能力。