近日,在首屆移動網際網路應用安全發展峰會上,中國信息通信研究院發布了《移動網際網路應用個人信息安全報告》。根據該報告顯示,84.42%的APP存在強制用戶使用定向推送的問題;83.13%的APP存在私自收集用戶信息的問題;70.13%的APP存在帳戶註銷難問題;12.99%的APP存在超範圍收集個人信息問題占比;32.47%的APP存在未徵得用戶同意、私自共享信息給第三方的問題;50.65%的APP存在不給權限不讓用、強制申請權限的問題;6.41%的APP存在頻繁申請權限、騷擾用戶的問題;57.14%的APP存在過度索取權限、欺瞞用戶的問題。
針對上述問題,信通院也在報告中分別對規則明示、權限申請、收集個人信息、使用個人信息、個性化推送和帳號註銷六個關鍵環節提出了APP開發和應用中應遵循的個人信息保護要點。
規則明示
個人信息收集使用規則應該清晰明示會通過哪些渠道獲取個人信息,如用戶直接提供的信息、APP主動收集的信息和APP從其他來源取得的信息,且應清晰顯著的明示各業務場景或功能下需求的個人信息類型、個人信息欄位以及收集使用信息目的說明、場景描述。
應遵守要點如下:
1.對於使用規則應該是單獨成文,對用戶來說要易於閱讀,便於訪問;
2.在規則中要明示收集使用個人信息、申請權限、第三方SDK的目的、方式和範圍;
3.要經用戶主動選擇同意,不應默認或者是設置為同意。
權限申請
應用權限申請應與功能相關,不應因用戶拒絕授權而限制其他功能使用。應遵循要點如下:
1. 不應不給權限不讓用,不給權限不讓登錄
2. 應用targetSDKVersion應高於23
3. 不應過度索取權限,權限應與當前應用業務功能或場景有關
4. 用戶拒絕權限申請後,不應頻繁申請權限
個人信息收集
應用收集個人信息應向用戶告知並經用戶同意,收集行為應滿足合理正當必要原則,收集個人信息行為應遵循要點如下:
1. 徵得用戶同意後再收集個人信息
2. 不應超範圍收集用戶信息
應用收集用戶個人信息時,在非服務所必需或無合理應用場景下,不應超出其所向用戶明示的收集範圍。超範圍收集通訊錄、簡訊、通話記錄比較普遍。例如:應用通過介面展示向用戶明示收集1-2條通訊錄聯繫人信息,用戶同意後卻讀取全部通訊錄聯繫人信息,
3. 不應頻繁收集用戶信息
4. 不應強制、誘導索取生物特徵數據等敏感信息
非服務所必需或無合理應用場景,不應強制,或以積分獎勵等方式誘導收集身份證號、人臉、指紋等個人信息。如「完成實名認證,享受更多優惠」、「輸入面部密碼,保證帳戶安全」、「完成實名認證,獲取更多積分」等,以積分獎勵、享受優惠、保證帳戶安全變相誘導用戶輸入身份證號、人臉、指紋等個人信息。
個人信息使用
應用應向用戶告知個人信息的使用目的、方式和範圍,用戶同意後才可將個人信息共享到第三方。應用使用個人信息,在相關介面展示時,應採取去標識化的方法展示個人敏感信息如身份證,以保證個人敏感信息的安全。使用個人信息應遵循要點如下:
1. 未經用戶同意,不應將個人信息私自共享給第三方
2. 敏感信息應採用去標識化展示方式
個性化服務
應用應向用戶告知收集用戶信息用於個性化服務或精準營銷,給用戶提供是否使用或接受個性化服務及精準營銷的選擇,應遵循要點如下:
1. 個性化內容及廣告告知簡單易懂、清晰明了
隱私政策中應清晰告知使用用戶信息進行用戶個性化內容及廣告的推送。
2. 提供易訪問、易操作的個性化廣告推送關閉選項
帳戶註銷
應用應為用戶提供帳號註銷功能,不得為註銷服務設置不合理障礙。註銷方式可以依據功能特性設計,但應便於用戶操作,註銷功能真實有效,應遵循要點如下:
1. 清晰告知帳號註銷途徑,便於用戶操作
2. 帳號註銷功能真實有效
3. 不應設置過多不合理障礙
註銷時不應索要之前未曾提供過的個人信息。如要求提供上傳手持身份證全身照才可完成註銷,或需要前往指定地點才可完成註銷等。
4. 統一帳號註銷,可分別提供統一帳號下特定服務註銷和統一帳號註銷的功能
統一帳號雖然關聯多個應用或服務,但不應因此拒絕為用戶提供帳號註銷服務。可同時對用戶提供註銷統一帳號下特定服務及永久註銷統一帳號的服務,供用戶靈活選擇。
在該報告中,信通院還給出了相關要點的實踐案例,為企業規範移動網際網路應用用戶個人信息收集使用行為提供參考;同時還提出了移動網際網路應用用戶個人信息保護十大倡議。