315晚会曝光免费WiFi等违规严重 APP合规治理迫在眉睫

2022年3月15日,中央电视台“315”晚会再次聚焦APP合规话题,晚会以《“免费WiFi”App暗藏陷阱》和《低配儿童智能手表成行走的偷窥器》为题,对打着免费自动连接WiFi名义实际进行“欺骗误导用户下载APP”和“欺骗误导用户提供个人信息”的违规行为,以及依托穿戴设备进行“APP强制、频繁、过度索取权限”进行深度报道。

免费WiFi、低配儿童手表成为违规“重灾区”

“免费WiFi”实际检测中并未能提供免费的可以连接的WiFi,而是在应用的界面标注显著的“打开”、“确认”、“连接”内容对用户进行诱骗点击,用户点击后系统即自动开始其“暗藏”APP的下载,随着测试的不断增加,手机内越来越多的APP被自动安装,手机也开始频繁弹出各类广告并变的卡顿难用。

图片1.jpg

低配儿童智能手表一般使用低版本的安卓系统,恶意程序可以轻而易举的安装到儿童表中,同时各类APP无需用户授权就可以拿走定位、通讯录、麦克风和摄像头等多种敏感权限,这也就是意味着能轻松获取孩子的位置、人脸图像、录音等隐私信息。

图片2.jpg

中国电子技术标准化研究院网安中心测评实验室何延哲副主任表示:“低版本的操作系统,它其实背后也有一种成本的考虑,但是它忽略了用户使用的安全性,给消费者带来了无穷的后患”。

2022年03月14日,国家互联网信息办公室发布关于《未成年人网络保护条例(征求意见稿)》再次公开征求意见的通知,意见稿第四章指出,个人信息保护应重点要求加强未成年人个人信息的保护,个人信息处理者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制未成年人个人信息知悉范围。

图片3.jpg

进入2022年以来,工业和信息化部已经完成两批次134款APP和SDK的200多个合规问题的通报,通报范围涉及“APP强制、频繁、过度索取权限”、“违规收集个人信息”、“强制用户使用定向推送功能”、“超范围收集个人信息”、“违规使用个人信息”等10大类违规问题。

图片4.jpg

合规治理进入深水区移动APP、IoT设备隐私均需重视

纵观全国APP合规治理近况,治理工作已经进入深水区,也到攻坚阶段,从监管侧看普遍存在区域资产摸底难、区域违规发现难和区域违规处置难的问题得到缓解,但是大量应用获取移动APP数据的行为更加隐蔽,必须借助人工进行长时间的详细跟踪才能发现导致检测难度加大,而从企业侧看也依然存在着法律意识淡薄、检测效率低下以及合规工作不彻底的情况。由于APP违规收集用户信息且内部管理不规范,部分企业基于APP漏洞或者违规APP收集位置、电话、短信、通信录、影音以及上网行为等用户个人信息,利用大数据分析后形成精准的个人画像,导致严重的个人信息泄露事件,甚至为诈骗等犯罪活动提供数据支撑。过度采集个人信息、违规窃取个人信息、滥用个人信息甚至是倒卖个人信息的行为层出不穷,信息泄露严重,致使个人信息安全受到了极大的威胁,导致用户普遍认为网络空间不值得信任,更没有安全感。

图片5.jpg
图片6.jpg

针对合规面临的这些挑战,奇安盘古隐私安全团队积极投入到合规研究当中,先后推出了隐私卫士、移动应用监测平台、移动应用安全产品并配以相应的服务支撑能力,具备了对安卓App、iOS App、小程序、IoT设备进行隐私合规检测与分析能力,并形成了完善的APP隐私保护机制,可以为各类合规需求方提供共同协作的平台。通过技术手段辅助发现隐私安全风险,避免由此带来的数据泄漏、资产损失等风险帮助用户有效做好APP隐私合规工作。

以隐私卫士为例,它可以对个人信息采集的方式(自身采集/第三方采集)、使用权限(自身使用/第三方使用)、采集频率、是否出境、是否与隐私政策描述实质符合等进行合规检测,覆盖收集规则、使用规则、条款状态、用户权益等7个类别,90多个检测项,并且具备可扩展的检测能力,保证个人信息收集使用合规。目前已全面支持安卓App、iOS App、小程序、IoT设备等平台。

历年的“315”晚会,个人隐私、APP过度索权、数据泄露等都是晚会热词,今年的“315”还首次设立了315信息安全实验室,这标志着合规工作不仅限于手机APP合规,已经从手机端拓展到智能手表、智能家电、IoT设备,未来将逐步延展到智能车载设备。奇安盘古隐私安全负责人表示,团队将继续加强技术开拓,努力践行网络安全法、数据安全法和个人信息保护法的要求,为合规业务发展保驾护航。