315晚會聚焦個人信息安全 APP合規治理勢在必行

2022年3月15日，中央電視臺“315”晚會再次聚焦APP合規話題，晚會以《“免費WiFi”App暗藏陷阱》和《低配兒童智能手表成行走的偷窺器》為題，對打著免費自動連接WiFi名義實際進行“欺騙誤導用戶下載APP”和“欺騙誤導用戶提供個人信息”的違規行為，以及依托穿戴設備進行“APP強制、頻繁、過度索取權限”進行深度報道。

1免費WiFi、低配兒童手表 成為違規“重災區”

“免費WiFi”實際檢測中并未能提供免費的可以連接的WiFi，而是在應用的界面標注顯著的“打開”、“確認”、“連接”內容對用戶進行誘騙點擊，用戶點擊后系統即自動開始其“暗藏”APP的下載，隨著測試的不斷增加，手機內越來越多的APP被自動安裝，手機也開始頻繁彈出各類廣告并變得卡頓難用。

低配兒童智能手表一般使用低版本的安卓系統，惡意程序可以輕而易舉的安裝到兒童表中，同時各類APP無需用戶授權就可以拿走定位、通訊錄、麥克風和攝像頭等多種敏感權限，這也就是意味著能輕松獲取孩子的位置、人臉圖像、錄音等隱私信息。

中國電子技術標準化研究院網安中心測評實驗室何延哲副主任表示：“低版本的操作系統，它其實背后也有一種成本的考慮，但是它忽略了用戶使用的安全性，給消費者帶來了無窮的后患”。

2022年03月14日，國家互聯網信息辦公室發布關于《未成年人網絡保護條例（征求意見稿）》再次公開征求意見的通知，意見稿第四章指出，個人信息保護應重點要求加強未成年人個人信息的保護，個人信息處理者對其工作人員應當以最小授權為原則，嚴格設定信息訪問權限，控制未成年人個人信息知悉范圍。

進入2022年以來，工業和信息化部已經完成兩批次134款APP和SDK的200多個合規問題的通報，通報范圍涉及“APP強制、頻繁、過度索取權限”、“違規收集個人信息”、“強制用戶使用定向推送功能”、“超范圍收集個人信息”、“違規使用個人信息”等10大類違規問題。

2 合規治理進入深水區 移動APP、IoT設備隱私均需重視

縱觀全國APP合規治理近況，治理工作已經進入深水區，也到攻堅階段，從監管側看普遍存在區域資產摸底難、區域違規發現難和區域違規處置難的問題得到緩解，但是大量應用獲取移動APP數據的行為更加隱蔽，必須借助人工進行長時間的詳細跟蹤才能發現導致檢測難度加大，而從企業側看也依然存在著法律意識淡薄、檢測效率低下以及合規工作不徹底的情況。

由于APP違規收集用戶信息且內部管理不規范，部分企業基于APP漏洞或者違規APP收集位置、電話、短信、通信錄、影音以及上網行為等用戶個人信息，利用大數據分析后形成精準的個人畫像,導致嚴重的個人信息泄露事件，甚至為詐騙等犯罪活動提供數據支撐。

過度采集個人信息、違規竊取個人信息、濫用個人信息甚至是倒賣個人信息的行為層出不窮，信息泄露嚴重，致使個人信息安全受到了極大的威脅，導致用戶普遍認為網絡空間不值得信任，更沒有安全感。

針對合規面臨的這些挑戰，奇安盤古隱私安全團隊積極投入到合規研究當中，先后推出了隱私衛士、移動應用監測平臺、移動應用安全產品并配以相應的服務支撐能力，具備了對安卓App、iOS App、小程序、IoT設備進行隱私合規檢測與分析能力，并形成了完善的APP隱私保護機制，可以為各類合規需求方提供共同協作的平臺。通過技術手段輔助發現隱私安全風險，避免由此帶來的數據泄漏、資產損失等風險幫助用戶有效做好APP隱私合規工作。

以隱私衛士為例，它可以對個人信息采集的方式(自身采集/第三方采集)、使用權限(自身使用/第三方使用)、采集頻率、是否出境、是否與隱私政策描述實質符合等進行合規檢測，覆蓋收集規則、使用規則、條款狀態、用戶權益等7個類別，90多個檢測項，并且具備可擴展的檢測能力，保證個人信息收集使用合規。目前已全面支持安卓App、iOS App、小程序、IoT設備等平臺。

歷年的“315”晚會，個人隱私、APP過度索權、數據泄露等都是晚會熱詞，今年的“315”還首次設立了315信息安全實驗室，這標志著合規工作不僅限于手機APP合規，已經從手機端拓展到智能手表、智能家電、IoT設備，未來將逐步延展到智能車載設備。

奇安盤古隱私安全負責人表示，團隊將繼續加強技術開拓，努力踐行網絡安全法、數據安全法和個人信息保護法的要求，為合規業務發展保駕護航。