2019-10-30 19:23:3316634人阅读
当你用手机里各种App拍出美美的自拍照片的同时,它们能守护好你的个人隐私信息吗?目前来看,这个问题在很大几率上是需要存疑的。
日前,基于国家相关要求与规范,依托为监管平台国家移动互联网应用安全管理中心(CNAAC)提供App隐私合规检测技术支撑的百度安全隐私合规助手,复旦大学系统软件与安全实验室隐私安全小组对当前热门的8款拍照类App的隐私安全情况进行了全面的调研。而调研结果显示,上述拍照类App在个人信息收集和隐私政策等方面,均存在不同程度的违规情况,“没有任何一个App做到完全合乎规范。”
根据调研结果,复旦大学系统软件与安全实验室隐私安全小组将被检测的有独立隐私政策的拍照类App所存在的隐私违规问题主要分为6类:
1. 个人信息相关权限申请违背最少信息原则
部分App强制获取非核心权限的位置权限,违反了国家《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》中对于“最少信息”和“最小权限范围”的规定。
2. 权限弹窗反复申请干扰正常使用
部分App在用户拒绝通话权限后仍会在使用中多次弹出弹窗申请此权限,干扰用户的正常使用,违反《App违法违规收集使用个人信息自评估指南》(以下简称《指南》)和《App违法违规收集个人信息行为认定方法》(以下简称《方法》)对于权限弹窗反复弹出的相关规定。
3. 权限申请弹窗先于隐私政策
部分App出现了初次使用时权限申请弹窗先于隐私政策的情况,即在获取权限时未向用户说明收集信息的原因,属于未经同意收集使用个人信息的情形,违反了《方法》中的相关规定。
4. 超半数的App隐私政策未获得明示同意
根据《指南》要求,App在初次使用和登录注册页面均应提示用户阅读隐私政策,以此获取用户的明示同意。而个别App不会主动弹出隐私政策,同时部分App在注册页面对于隐私政策采用了默认同意的方式,违反了《指南》的相关要求。
5. 超半数的App隐私政策内容不合规
调研指出,这一问题主要体现在4个方面:未说明或未详细说明“用户权利保障机制”、未说明“App运营者的基本情况”、未说明“隐私政策时效”以及未说明“个人信息存储和超期处理方式”。
6. 隐私政策或存在抄袭
调研认为,部分App出现了隐私政策内容与App实际功能不完全相符的现象。如某App并未提供注册登录功能,但其隐私政策中却包含账号注册、注销等相关内容。
基于以上一系列问题,复旦大学系统软件与安全实验室隐私安全小组在调研中认为,就被检测的8款拍照类App而言,“隐私情况不容乐观,”其问题不仅出现在隐私政策无法满足相关规范性文件的要求层面,在体现在权限申请和使用方面的违背最小权限、最少信息原则。
关于复旦大学系统软件与安全实验室隐私安全小组的调研结果全文,进入以下内容详细了解:
事实上,随着国家对于App个人隐私保护力度的不断加强和法律法规的不断健全,当下大多数App开发者和运营者都高度重视隐私合规问题。但从此次复旦大学系统软件与安全实验室隐私安全小组的调研结果中也可以看到,国内众多App的个人隐私保护之路仍然任重道远。而在这堪忧的现状背后,是行业所面临的检测标准难对齐、成本难控制、维度不全面、结果不准确的困境。
也正是在这一背景下,百度安全隐私合规助手应运而生。而为了更好地对齐国家一系列监管新规,就在本月,隐私合规助手(监管版)上线。基于静态代码检测、动态场景检测能力,结合隐私政策文本自动化分析技术,隐私合规助手(监管版)在实现对“指南”中的9大评估项、32个评估点全面覆盖和规则对齐的基础上,增加了合规性检测能力及多项安全服务支撑。助力App开发者和运营者高效且低成本地完成App隐私合规检测,提前预警隐私违规风险。
百度安全隐私合规助手(监管版)的主要升级:
·全面对齐《指南》与《方法》两项规范性文件,实现个人信息合规性检测。
·在动态场景检测方面,新增对于应用敏感行为分析和数据传输识别的支持。
·在安全服务方面,新增多引擎病毒误报检测和移动端安全漏洞自动化扫描功能。
秉承“有AI,更安全”的使命,百度安全始终致力于在全面覆盖百度各种复杂业务场景的同时,为生态合作伙伴提供技术支点及完善的产品解决方案。历经多次升级,隐私合规助手已实现了对当前监管要求的全面对齐,在至关重要的个人信息保护领域,为监管部门和产业界提供行之有效的检测工具。
点击了解史宾格隐私合规助手:https://anquan.baidu.com/page/39