从移动应用运营商的合规压力看APP突出的数据安全问题

专业著作 / 2021-06-20 10:11:29 数据安全 移动应用运营

移动应用运营商面对的合规压力

国家互联网信息办公室于2021年6月11日针对部分被指存在非法获取、超范围收集、过度索权等侵害个人信息的移动应用APP进行了检测,检测范围涵盖运动健身、新闻资讯、网络直播、应用商店等公众常用各类型移动应用。

检测依据《APP违法违规收集使用个人信息行为认定方法》、《常见类型移动互联网应用程序必要个人信息范围规定》等法律规定,对于检测所发现的问题,国家互联网信息办公室要求相关移动应用运营商在通报发布后十五个工作日内完成整改,并提交整改报告。整改活动同时被要求由各地方网信办指导督办。

通报所涉移动应用及其凸显安全问题

上述通报中涉及的移动应用被检测出来的问题集中表现在:

  1. 未经用户同意收集使用个人信息等;
  2. 违反必要原则,收集与其提供的服务无关的个人信息等;
  3. 违反必要原则和《常见类型移动互联网应用程序必要个人信息范围规定》;
  4. 未按法律规定提供删除或更正个人信息和投诉举报渠道功能等。

通报中涉及的APP包括:

运动健康类的:“KEEP”、“小米运动”、“运动健康”、“Wake瑜伽”等。

新闻资讯类的:“今日头条”、“腾讯新闻”、“趣头条”、“新浪新闻”、“搜狐新闻”等。

网络直播类的:“虎牙直播”、“水多直播”、“蜜桃直播”、“熊客直播”等。

应用商店类的:“应用中心”、“应用商店”、“手机助手”、“太平洋下载”等。

其他包括网上购物类的“Nike”、学习教育类的“伴鱼绘本”、婚恋交友类的“珍爱网”。

移动应用的商业业态和数据安全风险

目前我国可监测到的移动应用APP已超350万个,移动应用的主流商业模式是前端免费、后端获利,这种获利往往通过基于大数据的定向推送广告实现,这也加剧了移动应用用户权益被侵害的风险。上述通报所集中出现的问题也反映了这个现象,而且,问题主要在移动应用数据的采集、使用和销毁三个环节。

用户信息收集环节

移动应用运营商对用户个人信息收集时,一般通过隐私政策来告知收集规则。对于首次注册使用的用户,隐私政策应当是以用户登陆时的弹窗或超链接等明显的方式进行,以便引起用户的足够注意。隐私政策中也应当明确对用户个人信息的收集和使用的目的、范围和方式以及用户信息从收集传输、到存储使用、直至销毁的整个过程。隐私政策不可默认用户勾选同意,也不能以注册登录即视为自动同意遵守隐私政策而剥夺用户的选择权,或者只展示隐私政策而不征询用户同意或者甚至根本不提供用户拒绝选项。

通报中所体现的另一个最为集中的问题就是过度索权。当移动应用运营商对于用户所索取的权限明显超出其服务范围,甚至申请“拍摄”、“访问定位”、“读取储存卡”、“录音”等权限时,可能早已超出《数据安全实践指南-移动互联网应用基本业务功能必要信息范围》所规定的必要信息范围。正确的是,移动应用因其业务功能所需而向移动终端操作系统申请用户权限收集用户个人信息应当遵循必要原则,即最少够用原则。

用户信息使用环节

在用户信息使用方面,移动应用运营商应做好分类分级保护,尽管尚未有统一的数据分类分级方法指引,但是不同行业以及不用应用场景的差异正是移动应用运营商自主进行对自身企业数据分类分级和安全防护的现实需要以及可行性的保障。在使用海量用户数据实现业务支撑而获利的同时,对于用户身份、资金账号、医疗等敏感信息应当做好脱敏保护,减少敏感用户信息被非法使用和获得的可能性,消除不必要的访问和复制。

用户信息销毁环节

移动应用运营商同样应当重视用户数据的末端销毁环节。移动应用账号常与用户身份与银行账号相关联,若账号无法注销将必然引起用户敏感信息的长期滞留,增大运营商数据泄露风险。所以,移动应用应当设置账号注销功能,而且这个注销过程应当保持简约快捷。如果注销程序繁琐冗长,甚至要求用户提交真实姓名、住址邮箱等比注册时更多的个人信息,而且对于这些用户数据在账号注销后是否一并销毁也讳莫如深,则用户个人信息外泄的风险反将进一步扩大,弄巧成拙。

部分移动应用运营商为了降低成本、优化管理,或使用云服务实现定期备份。由此,云服务供应商便将接触用户数据,甚至用户数据可能在各个数据中心之间共享。这样也给数据安全带来隐患,用户数据在云端的移动是否存在数据残留,以及残留数据的可访问性都会陡增移动应用运营商的法律风险和责任。

综上,通过国家互联网信息办公室针对部分移动应用的检测通报,用户个人信息数据被违规采集、过度索权以及使用销毁的安全风险被集中揭露。严格的整改要求也足以让更多的移动应用运营商对数据安全合规引起足够重视。我们将持续关注并分享更多有关移动应用数据安全与合规的信息,帮助更多移动应用的用户与运营商提高防范意识,优化移动应用。

***

【免责声明: 本文内容仅为学习交流目的发表作者个人观点,不应被视为广告、法律意见,阅读和传播本文内容不构成建立律师与委托人关系。作者不对本文内容做日常性维护、更新,本文内容可能未反映最新的法律、政策环境变化。读者在就自身案件获得执业律师专业意见之前,勿以任何目的依赖本文信息, 作者亦不承担因有关本文内容任何形式的使用而产生的一切责任、损失和损害。如需进一步咨询请联系我们。】


Contact Partner

        孙 仁杰     合伙人

        专业领域:公司合规与并购、民事信托、环保与科技合规、房地产与建工

        E:sunrenjie@hunslaw.com

        靳 琳    合伙人

        专业领域:业内部经营管理、非洲国家课题研究、数据合规、公司法

        E:jinlin@hunslaw.com


孙仁杰

最新动态

点击阅读更多内容
沪ICP备2021014738号-1 沪ICP备2021014738号-1