中国消费者协会近日发布
APP个人信息收集与隐私政策测评报告
APP普遍存在涉嫌过度收集个人信息
无隐私条款、条款不完整
以及不合理格式条款等问题
泰尔终端实验室、互联网协会、电信终端产业协会近日也联合发布了《智能终端产业个人信息保护白皮书》(以下简称《白皮书》)。《白皮书》道出了那些问题,一起来了解一下。
翟桂溪/图
智能终端安全状况不乐观
用户使用最广泛的应用中
存在很多个人信息保护的风险问题
泰尔终端实验室副主任马鑫说,终端产业发展非常快,中国信息通信研究院发布的数据显示,今年1-9月份,智能终端出货量达到2.87亿部,其中安卓操作系统占89.8%,IOS系统占10%左右。
据悉,泰尔终端实验室监控的应用中,有敏感隐私窃取、资费损耗、远程控制、妨碍滋扰等行为的达299万款。其中最多的是敏感隐私窃取,高达11.86%。从高风险应用所占比例来看,游戏、娱乐类应用有40%属于有高风险情况,其中21%是系统工具类、17%是生活服务类。也就是说,用户使用最广泛的应用中,存在很多个人信息保护的风险问题。
过度读取个人信息现象严重
权限申请过度现象非常严重
《白皮书》显示现在个人信息保护面临的挑战主要有以下五个方面:
一是用户信息过度搜集和难以识别、难以举证;
二是权限申请过度,规范难,判别难;
三是低API等级应用,规避安卓的安全机制的问题;
四是设备物理识别码的防护意识不足;
五是隐私与便利选择两难,产业协作能力不足。
主要是权限申请过度现象非常严重。《白皮书》显示,有97.37%的应用要申请读取电话权限,有84.15%要申请位置权限。马鑫指出,过度权限一方面让使用者产生很多疑虑,另一方面造成很大的攻击面,对个人信息保护非常不利。
做好智能终端设备的个人信息保护
必须加大权限调用可知可控力度
马鑫指出,要想做好智能终端设备的个人信息保护,就必须加大权限调用的可知可控力度,提高设备号码的识别防护能力,完善应用管控保障机制,落实信息收集使用告知同意规定,重点加强生物特征数据保护,加强基础保障能力建设。
如何让用户对
终端设备的权限调用可知呢?
马鑫说:“应该是以明确的方式告诉用户这个应用要调用哪些权限,无论用户选择同意或者拒绝应用都能正常运行。”
泰尔终端实验室的专家建议,要从告知时机、告知方式和告知内容等方面落实信息收集、使用告知同意规定,要清晰、易于操作。告知的方式要易于用户去感知,内容要清晰、明确,不能用很多专业术语或模棱两可的用语,以免用户无法选择。
提高设备识别码的防护能力
识别码匿名化
并建立设备识别码替代机制
以前,个人设备识别码只是一个与用户关系不大的东西,现在,智能移动设备识别码与应用结合后,就能进行用户画像。因此,现在个人设备识别码的问题越来越重要,而且成为非常敏感的个人信息。泰尔终端实验室建议应将识别码匿名化,并建立设备识别码替代机制。此外,还要严格限制企业获取设备识别码。
马鑫认为,开发者对应用权限申请和个人信息收集、使用负有主体责任,应该高度重视个人信息保护工作,维护用户合法权益。
对于比较敏感的信息,建议采取单项同意的方式。如果要对一般个人信息进行使用收集的话,只要明确告知用户应用的范围、查询的方式、更正的信息和渠道,以及拒绝提供有哪些后果就可以了。但在收集和调用敏感信息的时候,则要用弹窗或界面等形式告知。
用户应充分了解隐私政策
增强安全意识
马鑫建议消费者选择信息明示比较清晰的手机,使用前要充分了解权限管理机制和隐私政策。特别是隐私政策比较多、比较细,很多东西藏在里面或者不明确,产业链应该把隐私政策表述得清晰明确,让消费者能够非常清楚地知道,包括概括同意和单项同意的问题。
消费者要善于使用手机的设置功能,增强安全意识,不要root(获得手机应用的最高权限)手机。
另外,要促进公众监督,及时响应用户关切的问题。用户投诉渠道一定要畅通、明确、简捷。加强行业自律,强化产业协作体系建设,也是保护用户个人信息安全不可或缺的手段。
你愿意用隐私换便利吗
欢迎留言
阅读
推荐
中国消费者报新媒体编辑部出品
来源/中国消费者报·中国消费网
记者/武晓莉
编辑/李晓雨
