315晚会聚焦个人信息安全 APP合规治理势在必行

2022年3月15日，中央电视台“315”晚会再次聚焦APP合规话题，晚会以《“免费WiFi”App暗藏陷阱》和《低配儿童智能手表成行走的偷窥器》为题，对打着免费自动连接WiFi名义实际进行“欺骗误导用户下载APP”和“欺骗误导用户提供个人信息”的违规行为，以及依托穿戴设备进行“APP强制、频繁、过度索取权限”进行深度报道。

1免费WiFi、低配儿童手表 成为违规“重灾区”

“免费WiFi”实际检测中并未能提供免费的可以连接的WiFi，而是在应用的界面标注显著的“打开”、“确认”、“连接”内容对用户进行诱骗点击，用户点击后系统即自动开始其“暗藏”APP的下载，随着测试的不断增加，手机内越来越多的APP被自动安装，手机也开始频繁弹出各类广告并变得卡顿难用。

低配儿童智能手表一般使用低版本的安卓系统，恶意程序可以轻而易举的安装到儿童表中，同时各类APP无需用户授权就可以拿走定位、通讯录、麦克风和摄像头等多种敏感权限，这也就是意味着能轻松获取孩子的位置、人脸图像、录音等隐私信息。

中国电子技术标准化研究院网安中心测评实验室何延哲副主任表示：“低版本的操作系统，它其实背后也有一种成本的考虑，但是它忽略了用户使用的安全性，给消费者带来了无穷的后患”。

2022年03月14日，国家互联网信息办公室发布关于《未成年人网络保护条例（征求意见稿）》再次公开征求意见的通知，意见稿第四章指出，个人信息保护应重点要求加强未成年人个人信息的保护，个人信息处理者对其工作人员应当以最小授权为原则，严格设定信息访问权限，控制未成年人个人信息知悉范围。

进入2022年以来，工业和信息化部已经完成两批次134款APP和SDK的200多个合规问题的通报，通报范围涉及“APP强制、频繁、过度索取权限”、“违规收集个人信息”、“强制用户使用定向推送功能”、“超范围收集个人信息”、“违规使用个人信息”等10大类违规问题。

2 合规治理进入深水区 移动APP、IoT设备隐私均需重视

纵观全国APP合规治理近况，治理工作已经进入深水区，也到攻坚阶段，从监管侧看普遍存在区域资产摸底难、区域违规发现难和区域违规处置难的问题得到缓解，但是大量应用获取移动APP数据的行为更加隐蔽，必须借助人工进行长时间的详细跟踪才能发现导致检测难度加大，而从企业侧看也依然存在着法律意识淡薄、检测效率低下以及合规工作不彻底的情况。

由于APP违规收集用户信息且内部管理不规范，部分企业基于APP漏洞或者违规APP收集位置、电话、短信、通信录、影音以及上网行为等用户个人信息，利用大数据分析后形成精准的个人画像,导致严重的个人信息泄露事件，甚至为诈骗等犯罪活动提供数据支撑。

过度采集个人信息、违规窃取个人信息、滥用个人信息甚至是倒卖个人信息的行为层出不穷，信息泄露严重，致使个人信息安全受到了极大的威胁，导致用户普遍认为网络空间不值得信任，更没有安全感。

针对合规面临的这些挑战，奇安盘古隐私安全团队积极投入到合规研究当中，先后推出了隐私卫士、移动应用监测平台、移动应用安全产品并配以相应的服务支撑能力，具备了对安卓App、iOS App、小程序、IoT设备进行隐私合规检测与分析能力，并形成了完善的APP隐私保护机制，可以为各类合规需求方提供共同协作的平台。通过技术手段辅助发现隐私安全风险，避免由此带来的数据泄漏、资产损失等风险帮助用户有效做好APP隐私合规工作。

以隐私卫士为例，它可以对个人信息采集的方式(自身采集/第三方采集)、使用权限(自身使用/第三方使用)、采集频率、是否出境、是否与隐私政策描述实质符合等进行合规检测，覆盖收集规则、使用规则、条款状态、用户权益等7个类别，90多个检测项，并且具备可扩展的检测能力，保证个人信息收集使用合规。目前已全面支持安卓App、iOS App、小程序、IoT设备等平台。

历年的“315”晚会，个人隐私、APP过度索权、数据泄露等都是晚会热词，今年的“315”还首次设立了315信息安全实验室，这标志着合规工作不仅限于手机APP合规，已经从手机端拓展到智能手表、智能家电、IoT设备，未来将逐步延展到智能车载设备。

奇安盘古隐私安全负责人表示，团队将继续加强技术开拓，努力践行网络安全法、数据安全法和个人信息保护法的要求，为合规业务发展保驾护航。