App收集个人信息基本规范:网络支付类最小权限范围无存储权限
近日,全国信息安全标准化技术委员会对外发布新一版国家标准《信息安全技术 移动互联网应用(App)收集个人信息基本规范》征求意见稿。相较于早前的草案版,隐私护卫队发现,新版征求意见稿增加九种常用服务类型App最小必要信息及最小必要权限范围作出规定,涉及网络游戏、在线影音、网络直播等。
·· 1 ··
如今,App涉及人们生活的方方面面,它们在服务民生、方便用户的同时,App过度索权、超范围收集个人信息的现象大量存在。比如,有手电筒、天气预报等功能单一的App要求访问用户的通讯录。
为规范App收集个人信息的行为,2019年8月,全国信安标委对外发布《信息安全技术 移动互联网(App)收集个人信息基本规范(草案)》征求意见稿,对21种常用服务类型App的“最少信息”收集范围进行规定,涉及地图导航、网络约车、即时通讯、网络支付、金融借贷等。
近日,全国信安标委发布新版征求意见稿,在旧版基础上,增加九种常用服务类型App,包括网络游戏、在线影音、网络直播、儿童教育等,对总计30种类型App的最小必要信息(同旧版中的“最少信息”)范围及最小必要权限范围作出规定。
比如,实现网络游戏类App正常运行所需要的最小必要信息包括网络访问日志、(用户)身份证件信息、账号信息、第三方支付信息;收集上述信息时,用户并不需要主动授予任何权限。
此外,新版征求意见稿规定,App应在首次运行时,通过弹窗等明显方式告知用户收集最小必要信息规则;超出服务类型的最小必要信息时,对于超出部分,App应征得用户的授权同意,涉及敏感信息的,应逐项征得用户的明示同意;在征得用户同意前,App不得产生个人信息收集行为。
·· 2 ··
地图导航等10类App的最小必要权限中删去存储权限
2019年5月,App治理工作组发布文章《存储权限,到底是不是必须的?》。
文章指出,用户在微博和朋友圈上传图片、视频应用缓存视频时,App需要获取存储权限。
可见,实现某些功能,App确实需要获取存储权限。但令人担忧的是,一旦授权App存储权限,用户可能面临个人信息泄露。
文章表示,手机拍摄的照片、视频、蓝牙分享接收的文件、各种下载的文件等默认存储在公共区域。当用户同意App获取存储权限时,App则具备了读写公共存储区的能力。理论上,获取App可读写上述所有内容。
隐私护卫队发现,文章表示,受测的近百款App都获取了存储权限。
难道说App必须获取存储权限吗?文章强调,获取存储权限确实支撑了App的很多功能,但App真正意义上是否需要该权限,需根据实际情况分析。
隐私护卫队注意到,在新版征求意见稿中,地图导航、金融借贷、婚恋相亲等10种类型App的最小必要权限中删除了存储权限,这意味着,上述10种类型App为获取最小必要信息时,并不需要获取存储权限。
·· 3 ··
为提升开发效率,绝大多数App在开发时,会嵌入第三方集成的SDK等代码。值得注意的是,除App本身收集个人信息外,嵌入在App里面的SDK等第三方代码,也会收集个人信息。
2019年9月,南都个人信息保护研究中心发布的《常用第三方SDK收集使用个人信息测评报告》指出,平均每款App使用19.3个SDK,并且,有的SDK涉嫌隐瞒收集用户个人信息,不仅用户不知情,连App也被蒙在鼓里。
新版征求意见稿增加规定,App在引入第三方代码或插件时,若该第三方代码或插件具备个人信息收集功能且用户无法拒绝的,App应确保第三方代码或插件履行个人信息安全保护义务,并防止第三方代码或插件收集无关的个人信息。
当App通过间接方式收集个人信息的,其应向用户提供查询数据提供方身份的途径,并开设独立界面显示查询结果。
文/南都个人信息保护研究中心研究员 尤一炜
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]