共建個(gè)人信息保護(hù)“雙清單”，助推個(gè)人信息安全

2021年11月1日，我國首部個(gè)人信息保護(hù)法經(jīng)十三屆全國人大常委會(huì)第三十次會(huì)議表決獲得通過。2021年11月1日起，《中華人民共和國個(gè)人信息保護(hù)法》正式實(shí)施。同日，工信部在其官網(wǎng)對(duì)外發(fā)布《工業(yè)和信息化部關(guān)于開展信息通信服務(wù)感知提升行動(dòng)的通知》，要求建立個(gè)人信息保護(hù)“雙清單”。

圖1：《工業(yè)和信息化部關(guān)于開展信息通信服務(wù)感知提升行動(dòng)的通知》

個(gè)人信息保護(hù)現(xiàn)狀

以移動(dòng)互聯(lián)網(wǎng)為代表的現(xiàn)代信息技術(shù)日新月異，不斷推動(dòng)移動(dòng)應(yīng)用APP蓬勃發(fā)展，據(jù)統(tǒng)計(jì)，截至2021年6月底我國國內(nèi)市場APP應(yīng)用數(shù)量為302萬。在移動(dòng)應(yīng)用為企業(yè)和個(gè)人帶來巨大經(jīng)濟(jì)利益與生活便利的同時(shí)，各類安全問題也不斷被曝出，隱形相機(jī)、麥克風(fēng)竊聽、大數(shù)據(jù)殺熟……個(gè)人信息安全遭受威脅，引發(fā)社會(huì)各界關(guān)注與重視。

自2017年以來國家各部門相繼出臺(tái)了一系列政策法規(guī)，并開展多次APP專項(xiàng)整治工作，大量違規(guī)應(yīng)用得到處理。近期出臺(tái)的《個(gè)人信息保護(hù)法》對(duì)過度收集個(gè)人信息、濫用人臉識(shí)別、大數(shù)據(jù)“殺熟”、個(gè)人敏感信息收集等，從法律層面做了明文保護(hù)與制約。但是有了法，個(gè)人信息保護(hù)是否就能從此走上安全大路？有了法，該如何讓它更好落地，真正為人民服務(wù)？

為此，工信部提出建立APP個(gè)人信息保護(hù)雙清單專項(xiàng)整治行動(dòng)，要求建立已收集個(gè)人信息清單，以及建立與第三方共享個(gè)人信息清單。

“雙清單”要點(diǎn)一覽

1、什么是“雙清單”？

各相關(guān)企業(yè)應(yīng)建立已收集個(gè)人信息清單和與第三方共享個(gè)人信息清單，并在APP二級(jí)菜單中展示，方便用戶查詢。

已收集個(gè)人信息清單應(yīng)簡潔、清晰列出APP（包括內(nèi)嵌第三方軟件工具開發(fā)包SDK）已經(jīng)收集到的用戶個(gè)人信息基本情況，包括信息種類、使用目的、使用場景等。

與第三方共享個(gè)人信息清單應(yīng)簡潔、清晰列出APP與第三方共享的用戶個(gè)人信息基本情況，包括與第三方共享的個(gè)人信息種類、使用目的、使用場景和共享方式等。

2、解決的問題

泛濫的短信營銷早已打擾到消費(fèi)者日常生活，這一現(xiàn)象透視著“個(gè)人信息泄露”的隱憂。智能機(jī)在為我們連接世界打開了獲取信息的大門，但它私下的信息采集行為也造成了安全隱患。例如，我們的位置信息、在線瀏覽數(shù)據(jù)、消費(fèi)記錄等，這類數(shù)據(jù)采集可以為用戶提供更多便利優(yōu)質(zhì)的服務(wù)。但是，一旦遭到泄漏與濫用，不法分子可以根據(jù)這些數(shù)據(jù)分析目標(biāo)行為畫像，騷擾電話等便可從過去的“誤打誤撞”變成“準(zhǔn)確定位”。

作為前沿科技，人臉識(shí)別技術(shù)近年來被廣泛應(yīng)用于城市安防、支付轉(zhuǎn)賬等領(lǐng)域，呈現(xiàn)加速落地趨勢。是什么讓人臉識(shí)別技術(shù)遭到“全球抵制”，在今年的“3·15”晚會(huì)也曝光了多家門店利用攝像頭獲取人臉信息的案例。究其原因，其存在信息泄露風(fēng)險(xiǎn)大、安全漏洞難消除等問題，嚴(yán)重威脅用戶的信息安全。

圖2：個(gè)人信息安全現(xiàn)狀

建立個(gè)人信息保護(hù)“雙清單”，是對(duì)“誰在動(dòng)我的信息”困惑的解答。讓“誰”明明白白站出來。將選擇權(quán)歸還到用戶，將所有的信息與規(guī)則都一一列明，讓用戶真正對(duì)自己的信息了如指掌，保證用戶的知情權(quán)。同時(shí)，APP只應(yīng)采集經(jīng)過用戶同意的且提供服務(wù)所必需的信息，從側(cè)面保護(hù)用戶的信息安全。

同時(shí)，建立個(gè)人信息保護(hù)“雙清單”，協(xié)助用戶做好“我的信息我該如何做主”。以《個(gè)人信息保護(hù)法》為依據(jù)，幫助用戶管理個(gè)人信息，保護(hù)個(gè)人信息。

建立個(gè)人信息保護(hù)“雙清單”，是基于《個(gè)人信息保護(hù)法》，讓APP與用戶置于信息對(duì)等地位，從而提升用戶的安全感、幸福感。

3、具體的措施

1）優(yōu)化APP開屏彈窗信息展示方式。

互聯(lián)網(wǎng)企業(yè)應(yīng)在其APP開屏信息和彈窗信息窗口設(shè)置明顯、有效的關(guān)閉按鈕，按鈕大小、位置、顏色應(yīng)易于操作辨認(rèn)，讓用戶“找得到，關(guān)得了”。

2）優(yōu)化隱私政策和權(quán)限調(diào)用展示方式。

互聯(lián)網(wǎng)企業(yè)應(yīng)以簡潔、清晰、易懂的方式，向用戶提供APP產(chǎn)品隱私政策摘要；涉及調(diào)用用戶終端中相冊、通訊錄、位置等敏感權(quán)限的，應(yīng)當(dāng)以適當(dāng)方式告知用戶調(diào)用該權(quán)限的目的，充分保障用戶知情權(quán)。

3）提升APP關(guān)鍵責(zé)任鏈個(gè)人信息保護(hù)能力。

鼓勵(lì)應(yīng)用商店為本平臺(tái)APP提供檢測服務(wù)，及時(shí)向APP開發(fā)者反饋相關(guān)問題并督促改正，防止違規(guī)APP上架。內(nèi)嵌SDK在非服務(wù)所必須或無合理應(yīng)用場景下，不得自啟動(dòng)或關(guān)聯(lián)啟動(dòng)，由用戶自主選擇是否開啟關(guān)聯(lián)啟動(dòng)。

4）明確告知用戶所有相關(guān)第三方信息。

簡潔、清晰列出APP與第三方共享的用戶個(gè)人信息基本情況，包括與第三方共享的個(gè)人信息種類、使用目的、使用場景和共享方式等。

第三方SDK面面觀

1、什么是SDK？

SDK（Software Development Kit）為協(xié)助軟件開發(fā)的軟件庫，通常包括相關(guān)二進(jìn)制文件、文檔、范例和工具的集合。APP嵌入SDK后，能夠通過SDK提供的接口使用其封裝特定功能，從而降低APP的開發(fā)成本。通常將常用的SDK分為16大類：

圖3：常見SDK類型

2、SDK存在的安全問題

SDK本身不具備運(yùn)行能力，必須等待宿主APP調(diào)用才能被執(zhí)行，完成特定功能。APP在提供各類便捷服務(wù)的同時(shí)，也在不斷地收集、使用用戶個(gè)人信息，與APP密切相關(guān)的SDK收集個(gè)人信息和安全問題也已得到了各方的關(guān)注。2019年以來各監(jiān)管部門均將SDK違法違規(guī)收集個(gè)人信息作為重點(diǎn)審查對(duì)象之一。

SDK經(jīng)常在APP背后收集用戶個(gè)人信息，這一類行為難以被發(fā)現(xiàn)，需要依托自動(dòng)化的檢測引擎幫助識(shí)別。針對(duì)APP使用全過程進(jìn)行監(jiān)測，依據(jù)權(quán)限檢測標(biāo)準(zhǔn)，主動(dòng)發(fā)現(xiàn)APP及SDK存在的未經(jīng)授權(quán)擅自收集、過度和非必要收集、頻繁索權(quán)和強(qiáng)制收集、隱瞞第三方SDK收集行為、私自共享給第三方等問題，從而幫助用戶和開發(fā)者快速、準(zhǔn)確地檢測SDK中存在的敏感權(quán)限調(diào)用及過度個(gè)人信息收集。

3、SDK合規(guī)自查三步走

1）確認(rèn)SDK安全

開發(fā)者基本信息是否完整、是否存在風(fēng)險(xiǎn)漏洞、惡意行為、數(shù)據(jù)共享等問題

2）收集共享行為明確告知用戶

在《隱私政策》中明確告知用戶所有使用的SDK，是否存在數(shù)據(jù)共享行為，必要時(shí)該如何撤回個(gè)人信息收集等

3）收集共享行為確實(shí)已獲用戶同意

在用戶同意《隱私政策》后，再開始SDK初始化、用戶信息收集行為

結(jié)語

落實(shí)“雙清單”，需要強(qiáng)化企業(yè)及各組織的工作落實(shí)，加強(qiáng)國家及政府各部門的監(jiān)督指導(dǎo)，各相關(guān)企業(yè)要建立健全內(nèi)部管理長效機(jī)制，更需要推進(jìn)政府監(jiān)管、社會(huì)監(jiān)督、企業(yè)自律、用戶參與的協(xié)同共治，形成服務(wù)提質(zhì)與感知提升良性互動(dòng)。

在這一基礎(chǔ)上，我們提出技術(shù)治理，科技向善這一理念。通付盾移動(dòng)安全產(chǎn)品提供集APP和SDK檢測加固、APP合規(guī)檢測、渠道檢測、滲透測試于一體的安全服務(wù)，同時(shí)應(yīng)用商店安純應(yīng)用市場已投入使用，為APP提供檢測服務(wù)，及時(shí)向APP開發(fā)者反饋相關(guān)問題并督促改正，防止違規(guī)APP上架。通付盾致力于用新一代數(shù)字化技術(shù)，讓數(shù)據(jù)生活更安全更美好。