当前,在疫情防控形势出现积极转变的情况下,面对疫情防控和经济社会发展工作的紧迫任务,中央和地方陆续出台政策稳步推进复工复产。同时,移动应用市场上协同办公、在线教育、便民服务等领域不少App也不失时机地展开了助力疫情防控、复工复产的宣传。
复工复产App基本情况
通过某主流应用市场进行初步统计,目前已上线的复工复产相关App约500款,类型可分为防疫服务、远程办公、在线教育等。其中防疫服务类App多为医药产品网购平台,支持在线购买防疫物资。远程办公类App普遍以在线协同办公、即时通信传输、网络视频会议等作为核心业务功能。在线教育类App则通过网课直播、作业批改、远程辅导等功能,协助教育群体在疫情期间实现停课不停学。
复工复产App数据安全隐患及合规性问题分析
本次评测选取国内主流应用商店下载量较大、业务功能较为贴合疫情防控时期社会大众需求的典型App进行数据安全合规性测试分析,发现其中多款App在注册、使用过程中涉及个人敏感信息以及企业数据的在线传输、存储、处理,且存在相应的安全隐患。
评测结果显示,复工复产相关App在是否明示收集使用个人信息的目的、方式、范围及公开收集使用个人信息规则等方面问题比较突出。除此之外,防疫服务类App在遵循最小必要原则方面存在不足;在线教育类App存在收集使用个人信息规则不完善、未明确有效的隐私政策更新机制等问题;远程办公类App则存在默认选择同意隐私政策、无法确保个人信息有效删除等情况。
1.医药平台涉及用户医疗和健康隐私数据,如何保护患者隐私是焦点问题
使用医药平台购买部分药品时,用户需要提供处方单和医生咨询信息、邮寄地址等个人敏感信息,除此之外部分App具有在线问诊功能,更进一步获取了患者电子病历、健康档案、会诊信息、影像数据等。一旦发生数据泄露将对患者群体、医疗产业造成严重影响。
本次评测中,此类App除未明示个人信息收集使用规则、未经用户同意收集使用个人信息情况、未遵循最小必要原则等问题以外,还存在强制索取非必要权限的情况。
案例1:某医药平台App在启动、登录、注册界面未以显著方式提示用户阅读隐私政策。
案例2:某医药平台App申请可收集个人信息权限时未同步说明使用目的。
2.在线教育相关数据涉及用户身份信息、教育信息,需额外关注未成年人信息保护
教育平台存储了大量的学生在线注册信息,使用过程中为了课堂秩序和教育质量,通常需要开启麦克风、摄像头等敏感权限,未成年人信息一旦泄露或被违法商用,对他们的人身安全、学习和成长都将产生极大危害,企业自身及其他教育用户也面临同样的安全风险。
本次评测发现在线教育类App在公开收集使用规则,明示收集使用个人信息的目的、方式、范围方面存在欠缺,部分App申请权限时弹出的说明文字语焉不详,不能明示其索要权限的动机,或未明确隐私政策更新机制。
案例3:某在线教育App在收集个人信息方面未能明确规范其收集使用规则,隐私政策中提及的收集使用个人信息类型和其业务功能对应关系不清。
案例4:某作业辅导App在申请可收集个人信息的定位、存储权限时,未同步说明目的。
案例5:某在线教育App未明确有效的隐私政策更新机制及通知用户的方式。
3.协同办公各项功能的实现涉及员工信息及企业核心数据,管理不当容易造成数据泄露、丢失、被窃取等安全事件
协同办公主要支持在线考勤、文档分享、办公协作、流程审批等功能,抗疫期间各平台竞相提供免费资源吸引用户,信息交互涉及大量企业内部、甚至核心数据,对App本身的数据安全保障能力提出了极高要求。
受测的协同办公、视频会议类App多暴露出未明示收集使用个人信息的目的、方式、范围,及未遵循必要原则收集使用个人信息问题,尤其在App索权方面规范性不足。
案例6:某视频会议App在注册账号时,未经用户自主操作,默认勾选“阅读并同意”选项。
案例7:某协同办公App将隐私政策夹杂在服务条款中,且未在隐私政策中逐一描述收集使用个人信息的类型、目的等规则。
案例8:某协同办公App功能界面、客服电话、电子邮箱等各渠道均无法要求删除文档、个人信息等数据。
案例9:某网络会议App启动、登录、注册界面均未提示用户阅读其隐私政策。
数据安全及个人信息保护相关建议
1.建议App相关企业严格落实法律法规要求,消除数据安全隐患
App运营公司及相关企业应严格落实《网络安全法》、《电信和互联网用户个人信息保护规定》(工信部24号令)等有关法律法规要求,参照《App违法违规收集使用个人信息行为认定方法》进行自查自纠,及时消除安全隐患,避免违法违规收集使用个人信息或发生数据安全事件。
移动App使用过程可能涉及个人敏感信息、企业核心数据的,运营公司应实现产品的快速迭代,完善产品防护机制。应用分发平台应加强App数据安全监测能力,提升数据安全保障能力。
2.建议作为用户的企业或个人重视数据安全,增强个人信息保护意识
企业一方面应结合自身管理制度,规范各项工作的开展,梳理数据资产实施分类分级管理,提升企业数据安全风险管控能力;另一方面需加强员工数据安全教育培训,确保员工使用过程的数据安全,防止由于意识不到位导致的安全事件。
此外,用户应选择正规、可靠的渠道下载App,关注App是否提供了完善的个人信息保护机制,谨慎提交个人信息,合理合法保障自身权益。
3.建议行业协会、联盟加强宣传引导,助力安全有序复工复产
相关行业协会、产业联盟应积极配合相关部门推动复工复产,在助力防控工作的前提下充分发挥联盟优势,凝聚各方力量,互助协作、资源共享,共同形成行之有效的解决方案并宣传推广。充分利用安全、高效的互联网平台,通过举办在线论坛、讲座,在媒体、公众号等渠道适时发声,加大数据安全和个人信息保护的宣传力度,增强企业和社会公众的数据安全意识。