当前位置:首页 > 芯闻号 > 新闻速递
[导读]近期出台的《个人信息保护法》对过度收集个人信息、滥用人脸识别、大数据“杀熟”、个人敏感信息收集等,从法律层面做了明文保护与制约。但是有了法,个人信息保护是否就能从此走上安全大路?有了法,该如何让它更好落地,真正为人民服务?

2021年11月1日,我国首部个人信息保护法经十三届全国人大常委会第三十次会议表决获得通过。2021年11月1日起,《中华人民共和国个人信息保护法》正式实施。同日,工信部在其官网对外发布《工业和信息化部关于开展信息通信服务感知提升行动的通知》,要求建立个人信息保护“双清单”。

图1:《工业和信息化部关于开展信息通信服务感知提升行动的通知》

个人信息保护现状

以移动互联网为代表的现代信息技术日新月异,不断推动移动应用APP蓬勃发展,据统计,截至2021年6月底我国国内市场APP应用数量为302万。在移动应用为企业和个人带来巨大经济利益与生活便利的同时,各类安全问题也不断被曝出,隐形相机、麦克风窃听、大数据杀熟……个人信息安全遭受威胁,引发社会各界关注与重视。

自2017年以来国家各部门相继出台了一系列政策法规,并开展多次APP专项整治工作,大量违规应用得到处理。近期出台的《个人信息保护法》对过度收集个人信息、滥用人脸识别、大数据“杀熟”、个人敏感信息收集等,从法律层面做了明文保护与制约。但是有了法,个人信息保护是否就能从此走上安全大路?有了法,该如何让它更好落地,真正为人民服务?

为此,工信部提出建立APP个人信息保护双清单专项整治行动,要求建立已收集个人信息清单,以及建立与第三方共享个人信息清单。

“双清单”要点一览

1、什么是“双清单”?

各相关企业应建立已收集个人信息清单和与第三方共享个人信息清单,并在APP二级菜单中展示,方便用户查询。

已收集个人信息清单应简洁、清晰列出APP(包括内嵌第三方软件工具开发包SDK)已经收集到的用户个人信息基本情况,包括信息种类、使用目的、使用场景等。

与第三方共享个人信息清单应简洁、清晰列出APP与第三方共享的用户个人信息基本情况,包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。

2、解决的问题

泛滥的短信营销早已打扰到消费者日常生活,这一现象透视着“个人信息泄露”的隐忧。智能机在为我们连接世界打开了获取信息的大门,但它私下的信息采集行为也造成了安全隐患。例如,我们的位置信息、在线浏览数据、消费记录等,这类数据采集可以为用户提供更多便利优质的服务。但是,一旦遭到泄漏与滥用,不法分子可以根据这些数据分析目标行为画像,骚扰电话等便可从过去的“误打误撞”变成“准确定位”。

作为前沿科技,人脸识别技术近年来被广泛应用于城市安防、支付转账等领域,呈现加速落地趋势。是什么让人脸识别技术遭到“全球抵制”,在今年的“3·15”晚会也曝光了多家门店利用摄像头获取人脸信息的案例。究其原因,其存在信息泄露风险大、安全漏洞难消除等问题,严重威胁用户的信息安全。

图2:个人信息安全现状

建立个人信息保护“双清单”,是对“谁在动我的信息”困惑的解答。让“谁”明明白白站出来。将选择权归还到用户,将所有的信息与规则都一一列明,让用户真正对自己的信息了如指掌,保证用户的知情权。同时,APP只应采集经过用户同意的且提供服务所必需的信息,从侧面保护用户的信息安全

同时,建立个人信息保护“双清单”,协助用户做好“我的信息我该如何做主”。以《个人信息保护法》为依据,帮助用户管理个人信息,保护个人信息。

建立个人信息保护“双清单”,是基于《个人信息保护法》,让APP与用户置于信息对等地位,从而提升用户的安全感、幸福感。

3、具体的措施

1)优化APP开屏弹窗信息展示方式。

互联网企业应在其APP开屏信息和弹窗信息窗口设置明显、有效的关闭按钮,按钮大小、位置、颜色应易于操作辨认,让用户“找得到,关得了”。

2)优化隐私政策和权限调用展示方式。

互联网企业应以简洁、清晰、易懂的方式,向用户提供APP产品隐私政策摘要;涉及调用用户终端中相册、通讯录、位置等敏感权限的,应当以适当方式告知用户调用该权限的目的,充分保障用户知情权。

3)提升APP关键责任链个人信息保护能力。

鼓励应用商店为本平台APP提供检测服务,及时向APP开发者反馈相关问题并督促改正,防止违规APP上架。内嵌SDK在非服务所必须或无合理应用场景下,不得自启动或关联启动,由用户自主选择是否开启关联启动。

4)明确告知用户所有相关第三方信息。

简洁、清晰列出APP与第三方共享的用户个人信息基本情况,包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。

第三方SDK面面观

1、什么是SDK?

SDK(Software Development Kit)为协助软件开发的软件库,通常包括相关二进制文件、文档、范例和工具的集合。APP嵌入SDK后,能够通过SDK提供的接口使用其封装特定功能,从而降低APP的开发成本。通常将常用的SDK分为16大类:

图3:常见SDK类型

2、SDK存在的安全问题

SDK本身不具备运行能力,必须等待宿主APP调用才能被执行,完成特定功能。APP在提供各类便捷服务的同时,也在不断地收集、使用用户个人信息,与APP密切相关的SDK收集个人信息和安全问题也已得到了各方的关注。2019年以来各监管部门均将SDK违法违规收集个人信息作为重点审查对象之一。

SDK经常在APP背后收集用户个人信息,这一类行为难以被发现,需要依托自动化的检测引擎帮助识别。针对APP使用全过程进行监测,依据权限检测标准,主动发现APP及SDK存在的未经授权擅自收集、过度和非必要收集、频繁索权和强制收集、隐瞒第三方SDK收集行为、私自共享给第三方等问题,从而帮助用户和开发者快速、准确地检测SDK中存在的敏感权限调用及过度个人信息收集。

3、SDK合自查三步走

1)确认SDK安全

开发者基本信息是否完整、是否存在风险漏洞、恶意行为、数据共享等问题

2)收集共享行为明确告知用户

在《隐私政策》中明确告知用户所有使用的SDK,是否存在数据共享行为,必要时该如何撤回个人信息收集等

3)收集共享行为确实已获用户同意

在用户同意《隐私政策》后,再开始SDK初始化、用户信息收集行为

结语

落实“双清单”,需要强化企业及各组织的工作落实,加强国家及政府各部门的监督指导,各相关企业要建立健全内部管理长效机制,更需要推进政府监管、社会监督、企业自律、用户参与的协同共治,形成服务提质与感知提升良性互动。

在这一基础上,我们提出技术治理,科技向善这一理念。通付盾移动安全产品提供集APP和SDK检测加固、APP合规检测、渠道检测、渗透测试于一体的安全服务,同时应用商店安纯应用市场已投入使用,为APP提供检测服务,及时向APP开发者反馈相关问题并督促改正,防止违规APP上架。通付盾致力于用新一代数字化技术,让数据生活更安全更美好。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

自主新势力品牌客户体验价值领跑中国汽车市场 理想排名中国品牌榜首;宝马获国际品牌第一 上海2022年10月20日 /美通社/ -- 全球领先的消费者洞察与市场研究机构J.D. Power | 君迪 今日正式...

关键字: POWER 新能源汽车 VI APP

北京2022年10月14日 /美通社/ -- 近日,ISC互联网安全大会(以下简称"ISC")联合数说安全共同发布《ISC 2022十年网安行业代表性案例》(以下简称"报告")。报...

关键字: 防护 网络安全 工控系统 信息安全

(全球TMT2022年10月18日讯)近日,SGS为至像科技有限公司(以下简称"联想至像")颁发ISO/IEC 27001信息安全管理体系及ISO/IEC 27701隐私信息管理体系证书并举行颁证仪式。 SGS知...

关键字: 信息安全 安全管理 联想 ISO

未来车路协同建设,应以场景应用为驱动。张杰认为,智慧交通已进入场景应用驱动的阶段,应从多维度对交通应用进行划分,精细化定义问题,针对性设计解决方案,面向场景提供精准服务。未来交通可分为智慧出行、智慧物流两大场景,还可进一...

关键字: 智慧交通 车路协同 APP

近日,一个存在于Windows Mark of the Web (MotW)中的零日漏洞被发现,并正在被攻击者积极利用。但有趣的是,在微软官方还没有对该漏洞做出修复之前,第三方平台0patch就提供了该漏洞的修复补丁。据...

关键字: PATCH Windows 微软 APP

北京2022年10月17日 /美通社/ -- 近日,SGS为至像科技有限公司(以下简称"联想至像")颁发ISO/IEC 27001信息安全管理体系及ISO/IEC 27701隐私信息管理体系证书并举行...

关键字: 联想 信息安全 ISO 安全管理

最近看到APP上,给我推送了很多类似的回答,借此机会,也想着重新审视一下自己的学习历程,以及结合自身和大牛,分享一些学习经验,希望对大家有所启发和帮助。

关键字: APP 嵌入式 C语言

济南2022年10月14日 /美通社/ -- 近日,国务院办公厅印发《关于加快推进"一件事一次办"打造政务服务升级版的指导意见》,提出加快推进"一件事一次办",打造政务服务升级版,...

关键字: 新基建 电子 APP 数据共享

(全球TMT2022年10月13日讯)全球营销衡量与体验管理平台 AppsFlyer 发布《广告平台综合表现报告》第 15 版,对移动广告行业各家媒体渠道进行排名。2022 年上半年,受隐...

关键字: APP ADS GOOGLE BSP

上海2022年10月10日 /美通社/ -- 近日,国际领先标准、测试及认证机构BSI正式授予威马汽车ISO/IEC 27001信息安全管理体系和ISO/IEC 27701隐私信息管理体系认证证书,这标志着威马...

关键字: ISO 威马汽车 信息安全 安全管理

动态速递

1298 篇文章

关注

发布文章

编辑精选

技术子站

关闭