信息化觀察網(wǎng)

當(dāng)前，在疫情防控形勢(shì)出現(xiàn)積極轉(zhuǎn)變的情況下，面對(duì)疫情防控和經(jīng)濟(jì)社會(huì)發(fā)展工作的緊迫任務(wù)，中央和地方陸續(xù)出臺(tái)政策穩(wěn)步推進(jìn)復(fù)工復(fù)產(chǎn)。同時(shí)，移動(dòng)應(yīng)用市場(chǎng)上協(xié)同辦公、在線教育、便民服務(wù)等領(lǐng)域不少App也不失時(shí)機(jī)地展開(kāi)了助力疫情防控、復(fù)工復(fù)產(chǎn)的宣傳。

復(fù)工復(fù)產(chǎn)App基本情況

通過(guò)某主流應(yīng)用市場(chǎng)進(jìn)行初步統(tǒng)計(jì)，目前已上線的復(fù)工復(fù)產(chǎn)相關(guān)App約500款，類(lèi)型可分為防疫服務(wù)、遠(yuǎn)程辦公、在線教育等。其中防疫服務(wù)類(lèi)App多為醫(yī)藥產(chǎn)品網(wǎng)購(gòu)平臺(tái)，支持在線購(gòu)買(mǎi)防疫物資。遠(yuǎn)程辦公類(lèi)App普遍以在線協(xié)同辦公、即時(shí)通信傳輸、網(wǎng)絡(luò)視頻會(huì)議等作為核心業(yè)務(wù)功能。在線教育類(lèi)App則通過(guò)網(wǎng)課直播、作業(yè)批改、遠(yuǎn)程輔導(dǎo)等功能，協(xié)助教育群體在疫情期間實(shí)現(xiàn)停課不停學(xué)。

復(fù)工復(fù)產(chǎn)App數(shù)據(jù)安全隱患及合規(guī)性問(wèn)題分析

本次評(píng)測(cè)選取國(guó)內(nèi)主流應(yīng)用商店下載量較大、業(yè)務(wù)功能較為貼合疫情防控時(shí)期社會(huì)大眾需求的典型App進(jìn)行數(shù)據(jù)安全合規(guī)性測(cè)試分析，發(fā)現(xiàn)其中多款A(yù)pp在注冊(cè)、使用過(guò)程中涉及個(gè)人敏感信息以及企業(yè)數(shù)據(jù)的在線傳輸、存儲(chǔ)、處理，且存在相應(yīng)的安全隱患。

評(píng)測(cè)結(jié)果顯示，復(fù)工復(fù)產(chǎn)相關(guān)App在是否明示收集使用個(gè)人信息的目的、方式、范圍及公開(kāi)收集使用個(gè)人信息規(guī)則等方面問(wèn)題比較突出。除此之外，防疫服務(wù)類(lèi)App在遵循最小必要原則方面存在不足；在線教育類(lèi)App存在收集使用個(gè)人信息規(guī)則不完善、未明確有效的隱私政策更新機(jī)制等問(wèn)題；遠(yuǎn)程辦公類(lèi)App則存在默認(rèn)選擇同意隱私政策、無(wú)法確保個(gè)人信息有效刪除等情況。

1.醫(yī)藥平臺(tái)涉及用戶醫(yī)療和健康隱私數(shù)據(jù)，如何保護(hù)患者隱私是焦點(diǎn)問(wèn)題

使用醫(yī)藥平臺(tái)購(gòu)買(mǎi)部分藥品時(shí)，用戶需要提供處方單和醫(yī)生咨詢信息、郵寄地址等個(gè)人敏感信息，除此之外部分App具有在線問(wèn)診功能，更進(jìn)一步獲取了患者電子病歷、健康檔案、會(huì)診信息、影像數(shù)據(jù)等。一旦發(fā)生數(shù)據(jù)泄露將對(duì)患者群體、醫(yī)療產(chǎn)業(yè)造成嚴(yán)重影響。

本次評(píng)測(cè)中，此類(lèi)App除未明示個(gè)人信息收集使用規(guī)則、未經(jīng)用戶同意收集使用個(gè)人信息情況、未遵循最小必要原則等問(wèn)題以外，還存在強(qiáng)制索取非必要權(quán)限的情況。

案例1：某醫(yī)藥平臺(tái)App在啟動(dòng)、登錄、注冊(cè)界面未以顯著方式提示用戶閱讀隱私政策。

案例2：某醫(yī)藥平臺(tái)App申請(qǐng)可收集個(gè)人信息權(quán)限時(shí)未同步說(shuō)明使用目的。

2.在線教育相關(guān)數(shù)據(jù)涉及用戶身份信息、教育信息，需額外關(guān)注未成年人信息保護(hù)

教育平臺(tái)存儲(chǔ)了大量的學(xué)生在線注冊(cè)信息，使用過(guò)程中為了課堂秩序和教育質(zhì)量，通常需要開(kāi)啟麥克風(fēng)、攝像頭等敏感權(quán)限，未成年人信息一旦泄露或被違法商用，對(duì)他們的人身安全、學(xué)習(xí)和成長(zhǎng)都將產(chǎn)生極大危害，企業(yè)自身及其他教育用戶也面臨同樣的安全風(fēng)險(xiǎn)。

本次評(píng)測(cè)發(fā)現(xiàn)在線教育類(lèi)App在公開(kāi)收集使用規(guī)則，明示收集使用個(gè)人信息的目的、方式、范圍方面存在欠缺，部分App申請(qǐng)權(quán)限時(shí)彈出的說(shuō)明文字語(yǔ)焉不詳，不能明示其索要權(quán)限的動(dòng)機(jī)，或未明確隱私政策更新機(jī)制。

案例3：某在線教育App在收集個(gè)人信息方面未能明確規(guī)范其收集使用規(guī)則，隱私政策中提及的收集使用個(gè)人信息類(lèi)型和其業(yè)務(wù)功能對(duì)應(yīng)關(guān)系不清。

案例4：某作業(yè)輔導(dǎo)App在申請(qǐng)可收集個(gè)人信息的定位、存儲(chǔ)權(quán)限時(shí)，未同步說(shuō)明目的。

案例5：某在線教育App未明確有效的隱私政策更新機(jī)制及通知用戶的方式。

3.協(xié)同辦公各項(xiàng)功能的實(shí)現(xiàn)涉及員工信息及企業(yè)核心數(shù)據(jù)，管理不當(dāng)容易造成數(shù)據(jù)泄露、丟失、被竊取等安全事件

協(xié)同辦公主要支持在線考勤、文檔分享、辦公協(xié)作、流程審批等功能，抗疫期間各平臺(tái)競(jìng)相提供免費(fèi)資源吸引用戶，信息交互涉及大量企業(yè)內(nèi)部、甚至核心數(shù)據(jù)，對(duì)App本身的數(shù)據(jù)安全保障能力提出了極高要求。

受測(cè)的協(xié)同辦公、視頻會(huì)議類(lèi)App多暴露出未明示收集使用個(gè)人信息的目的、方式、范圍，及未遵循必要原則收集使用個(gè)人信息問(wèn)題，尤其在App索權(quán)方面規(guī)范性不足。

案例6：某視頻會(huì)議App在注冊(cè)賬號(hào)時(shí)，未經(jīng)用戶自主操作，默認(rèn)勾選“閱讀并同意”選項(xiàng)。

案例7：某協(xié)同辦公App將隱私政策夾雜在服務(wù)條款中，且未在隱私政策中逐一描述收集使用個(gè)人信息的類(lèi)型、目的等規(guī)則。

案例8：某協(xié)同辦公App功能界面、客服電話、電子郵箱等各渠道均無(wú)法要求刪除文檔、個(gè)人信息等數(shù)據(jù)。

案例9：某網(wǎng)絡(luò)會(huì)議App啟動(dòng)、登錄、注冊(cè)界面均未提示用戶閱讀其隱私政策。

數(shù)據(jù)安全及個(gè)人信息保護(hù)相關(guān)建議

1.建議App相關(guān)企業(yè)嚴(yán)格落實(shí)法律法規(guī)要求，消除數(shù)據(jù)安全隱患

App運(yùn)營(yíng)公司及相關(guān)企業(yè)應(yīng)嚴(yán)格落實(shí)《網(wǎng)絡(luò)安全法》、《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》（工信部24號(hào)令）等有關(guān)法律法規(guī)要求，參照《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》進(jìn)行自查自糾，及時(shí)消除安全隱患，避免違法違規(guī)收集使用個(gè)人信息或發(fā)生數(shù)據(jù)安全事件。

移動(dòng)App使用過(guò)程可能涉及個(gè)人敏感信息、企業(yè)核心數(shù)據(jù)的，運(yùn)營(yíng)公司應(yīng)實(shí)現(xiàn)產(chǎn)品的快速迭代，完善產(chǎn)品防護(hù)機(jī)制。應(yīng)用分發(fā)平臺(tái)應(yīng)加強(qiáng)App數(shù)據(jù)安全監(jiān)測(cè)能力，提升數(shù)據(jù)安全保障能力。

2.建議作為用戶的企業(yè)或個(gè)人重視數(shù)據(jù)安全，增強(qiáng)個(gè)人信息保護(hù)意識(shí)

企業(yè)一方面應(yīng)結(jié)合自身管理制度，規(guī)范各項(xiàng)工作的開(kāi)展，梳理數(shù)據(jù)資產(chǎn)實(shí)施分類(lèi)分級(jí)管理，提升企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)管控能力；另一方面需加強(qiáng)員工數(shù)據(jù)安全教育培訓(xùn)，確保員工使用過(guò)程的數(shù)據(jù)安全，防止由于意識(shí)不到位導(dǎo)致的安全事件。

此外，用戶應(yīng)選擇正規(guī)、可靠的渠道下載App，關(guān)注App是否提供了完善的個(gè)人信息保護(hù)機(jī)制，謹(jǐn)慎提交個(gè)人信息，合理合法保障自身權(quán)益。

3.建議行業(yè)協(xié)會(huì)、聯(lián)盟加強(qiáng)宣傳引導(dǎo)，助力安全有序復(fù)工復(fù)產(chǎn)

相關(guān)行業(yè)協(xié)會(huì)、產(chǎn)業(yè)聯(lián)盟應(yīng)積極配合相關(guān)部門(mén)推動(dòng)復(fù)工復(fù)產(chǎn)，在助力防控工作的前提下充分發(fā)揮聯(lián)盟優(yōu)勢(shì)，凝聚各方力量，互助協(xié)作、資源共享，共同形成行之有效的解決方案并宣傳推廣。充分利用安全、高效的互聯(lián)網(wǎng)平臺(tái)，通過(guò)舉辦在線論壇、講座，在媒體、公眾號(hào)等渠道適時(shí)發(fā)聲，加大數(shù)據(jù)安全和個(gè)人信息保護(hù)的宣傳力度，增強(qiáng)企業(yè)和社會(huì)公眾的數(shù)據(jù)安全意識(shí)。