着眼于应用程序隐私混乱,侵犯和纠正的过程-Security-cnBeta.COM

着眼于应用程序隐私混乱,侵犯和纠正的过程-Security-cnBeta.COM

作者

我在最后一分钟与朋友讨论要买什么,第二分钟我打开了购物软件并收到了相关物品的推送; 我本来想下载所需的软件,但是却被动地下载了一些其他不相关的应用程序。 我打开了一个软件,但被要求收集诸如地理位置之类的个人信息。 您是否经历过类似的场景?

访问:

阿里云“暖云”主题活动3000万补贴助中小企业突破寒冬

但是,这些违反个人隐私并违反法规收集个人信息的应用正在被逐一纠正。

关于保护应用程序的个人隐私,无论是在纠正措施还是在法律法规级别,都越来越受到关注。

违反APP的行为正在纠正中

2021年第二个月,工业和信息化部已通知第二批有问题的应用软件清单。 问题是存在侵犯用户权限的行为,例如未经授权访问麦克风,地址簿和相册。

值得注意的是,这也是工业和信息技术部首次通知侵犯用户权限的应用程序,例如麦克风,地址簿和相册。

工业和信息化部指出在督促整改过程中,仍有26个未整改的应用程序,其中列出了QQ输入法,UC浏览器和MojiWeather等应用程序。

其中,QQ输入法(8.2.2),快速输入法(1.5.6),掌上输入法(3.1.0)和微商输入法(2.4.2)四个输入法应用程序涉及“违反个人信息收集” ”。 另外,后三个还涉及“违反个人信息的使用”。

值得一提的是,第二批问题清单的发布时间与2021年第一批问题清单的发布仅相隔13天; 不难看出监管行动的强度。

1月23日通知的第一批2021个应用侵犯了用户的权益,其中有157个未得到纠正。

不仅如此,工业和信息化部的公告还指出,该测试还涉及平台管理主要职责实施不充分的问题。其中,腾讯App Store,小米App Store,豌豆荚,OPPO App Store和华为App Market分别占22.3%,12.0%,10.3%,9.9%和8.8%。

事实上,自工业和信息化部于2019年11月启动针对应用程序侵犯用户权益的专项整治工作以来,工业和信息化部已进行了11批专项整改,检查了手机应用,并督促有问题的公司进行整改。

此外,从工业和信息化部最近的整改通知来看,其整改范围已逐渐成为重点-2月5日的整改通知集中于侵犯麦克风,地址簿和相册的权利,侵犯了用户权限。

不仅如此,这些应用程序的混乱还受到工业和信息技术部副部长​​的直接批评。

专注于应用程序混乱

在2月5日由工业和信息化部举办的App个人信息保护和监督研讨会上,工业和信息化部副部长刘烈红在对话中列举了各种app混乱的情况,包括:

  • 应用滥用麦克风权限:使用麦克风许可并读取文本输入后,某些应用程序(例如即时消息工具,输入法和地图导航)以超出用户许可范围的其他方式使用,这带来了隐患。

  • 应用程序读写相册:在当前的操作系统授权管理机制下,用户无法单独授权应用程序的读写功能,只能授权或禁止一次。 从用户获得一次性授权后,某些应用程序会滥用甚至滥用存储权限。

  • 应用程序要求用户通信权限:某些应用程序未经用户许可就上载并保存了用户的通讯录,并且没有完全通知用户,即使用户明确拒绝授权访问通讯录后,仍然会推荐手机通讯录给用户的联系人。

  • 应用程序很难关闭广告弹出窗口:打开或使用某些应用程序时,会弹出各种广告,并且人为地设置了多个障碍,因此很难关闭广告弹出窗口。

应该指出的是,应用程序中的混乱远远不止于此。 上面列出的只是用户最近更关注的一些问题。

无论是滥用麦克风权限,还是在不知不觉中读写专辑,请求用户通信权限等,所有这些背后都表明了相同的不可侵犯的区域用户隐私。

刘烈红以请求用户交流许可为例,指出对于用户来说,通讯录存储着用户的主要社交关系,是隐私的重要组成部分。 对于公司而言,通讯录是重要的信息来源,可帮助他们丰富准确的用户画像。 它可以分析用户的社会关系,这是扩大客户范围的重要途径。

因此,在没有合理的方案的情况下,许多应用程序仍会经常请求用户的通讯簿权限。 目的不仅是为用户提供有意义的服务,而且还针对用户背后的社会关系。

资料来源:论文

关于这些应用混乱,刘烈红表示,工业和信息化部将分阶段和分批组织中国信息通信技术研究院和网络安全厂商,以应对热点问题,重点是对非法访问权等问题的技术研究。 ,并深入研究根本原因。

此外,为加强对App混乱的管理,刘烈红建议公开征求公众意见,完善App的管理规定,并在法规正式颁布后全面推动实施和实施。

加强法律法规

目前,工业和信息化部正在根据知情同意和最低限度必要个人信息这两项基本原则,起草《关于移动互联网应用程序的个人信息保护管理的暂行规定》,共22条。保护。

其中,最低限度的法规要求该应用程序的个人信息处理活动应有清晰合理的控制,并遵循最低限度的原则。 不允许超出用户同意范围或与服务方案无关的个人信息处理活动。

值得一提的是,该规定类似于在电信终端官方网站上发布的“关于APP收集和使用个人信息的最低必要评估标准的一般规则”(以下简称“一般规则”)。工业协会于2020年11月26日发布。

《一般规定》指出,APP收集和使用个人信息的最低必要评估是:在移动互联网行业中,标准化收集和使用敏感的个人信息,例如用户的脸部,通讯录,短消息,位置和图片,并实施最低限度的原则。

此外,《暂行条例》还重点关注应用开发运营商,应用分发平台,应用第三方服务提供商,移动终端电信设备制造商和网络技术服务提供商,将其作为重点监管服务的对象,并规定了五类实体应遵循个人信息保护的总体要求和义务。

从治理的角度来看,App混乱的治理不仅限于App本身,而且还扩展到渠道中的各种对象。 除了深度之外,它还具有广度。

目前,除了即将颁布的“移动互联网应用程序个人信息保护管理暂行规定”和最近颁布的“应用程序收集和使用个人信息的最低必要评估标准的一般规则”外,还有以及针对违反用户的应用程序治理的《网络安全法》,《电信法规》,《电信和互联网用户个人信息保护规定》等法律法规。

随着越来越有针对性和更全面的法律文件陆续发行,可以想象,App混乱的治理在未来将更加严格和全面。

此外,从工业和信息化部的频繁治理措施以及法律水平的加强和提升中不难看出-应用侵犯用户隐私的时代即将结束。

Source