2019年12月19日,工信部发布了《第一批关于侵害用户权益行为的APP通报》, 41款APP存在违规收集、使用用户个人信息等侵犯用户合法权益的行为。其中三款APP未能如期按照要求完成整改,已于2020年1月3日被依法下架。
时隔仅5日,工信部又通报了第二批侵害用户权益行为的APP名单,包括15款APP。根据《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》要求,应在1月17日前完成整改工作,逾期不整改或者整改未达标的,也不得不承受因下架而带来的各种损失。
2020年1月13日,国家计算机病毒应急处理中心在“净网2020”专项行动中再次通报了24款违法APP存在隐私不合规行为,涉嫌超范围采集个人隐私信息。
实际上,APP因非法侵犯消费者合法权益而遭下架已绝非个例,在此之前,工信部也多批次地公布了侵害用户行为的APP,并对相关APP进行下架处理;在公安部组织的“净网2019”专项行动中,依法查处了违法违规采集个人信息的APP共683款,2019年12月4日,公安部发布了《公安机关开展APP违法采集个人信息集中整治》,并对100款应用做了下架处理。
移动互联网时代,在享受移动设备、移动应用带给我们方便、快捷的同时,过度采集个人信息、违规窃取个人信息、滥用个人信息甚至是倒卖个人信息的行为层出不穷,信息泄露严重,致使个人信息安全受到了极大的威胁。
针对隐私保护这一普遍问题,从国际上看,号称史上最严数据保护法GDPR(欧盟《通用数据保护条例》)于2018年5月25 日生效,这项条例规定了企业如何收集,使用和处理欧盟公民的个人数据。GDPR对违规行为的处罚非常严厉,任何导致数据泄露的不合规行为都会遭到重罚,罚金可高至总营业额的4%。2020年1月1日,美国《加州消费者隐私法》CCPA生效,CCPA预计会影响到在美运营的500,000家企业,新的消费者数据访问权也对许多机构提出了运营挑战。
在国内,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局等四部委联合印发了《APP违法违规收集使用个人信息行为认定方法》,明确规定:在征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限;或频繁征求用户同意、干扰用户正常使用等行为,将被认定为“未经用户同意收集使用个人信息”。
2020年1月10日,全国政协召开了“加强大数据时代个人信息保护”的网络议政远程协商会,提出要加快出台专门的个人信息保护法律,明确个人信息概念、适用对象和权属,明确采集、处理、使用个人信息的程序、规则和相关责任。要加大专项治理力度,重拳打击非法收集、交易、使用个人信息的违法犯罪活动,提高违法违规成本,尽可能挤压网络黑灰产业生存空间。要实施分级分类保护,建立个人信息利用清单,强化对人脸识别、数据爬取等技术应用和“人肉搜索”等行为的监管。要压实企业主体责任,引导企业建立健全内部管控机制,克服重发展轻安全的倾向。
随着国内外监管机构对个人信息安全的监管日渐加强,未来几年内,隐私合规将成为整个产业都关注的焦点。企业用户在个人隐私合规方面挑战重重,首先,对APP隐私保护相关的合规性要求理解不深、把握不好尺度;其次,缺乏评估APP个人信息安全的专业能力,对第三方外包的开发情况了解不清晰,APP被通报后可能存在整改不到位的情况,一旦被下架则损失惨重。
针对企业面临的这些挑战,奇安信集团安全专家认为:随着国内隐私保护相关立法越来越完善,APP隐私合规已成为企业必须重点关注的问题。很多企业由于业务需要,APP需收集用户的一些隐私信息,企业往往由于对合规要求理解的欠缺而出现越权行为;而有些企业的APP采用第三方外包开发,APP具备很多越权超采行为,企业对APP的违规情况并不知晓。因此,这就需要专业的安全公司提供合规咨询及技术支撑,确保APP隐私合规。
企业要做好APP隐私保护,需做好几件事:首先要及时深入的了解监管机构发布的新隐私保护政策法规,搞清与企业自身相关的监管合规条例;其次,对企业所拥有的APP资产进行梳理,对自研或第三方外包等APP资产情况做到心中有数;第三,还要做好APP的安全性测试和隐私合规评估,加强APP的个人信息安全防护,避免APP发布后因合规问题受到监管机构的处罚;企业还可以选择第三方安全公司进行合作,借助安全公司的专业能力,帮助企业做好APP隐私合规工作。