2021年11月1日，我國首部個人信息保護法經(jīng)十三屆全國人大常委會第三十次會議表決獲得通過。2021年11月1日起，《中華人民共和國個人信息保護法》正式實施。同日，工信部在其官網(wǎng)對外發(fā)布《工業(yè)和信息化部關于開展信息通信服務感知提升行動的通知》，要求建立個人信息保護“雙清單”。

圖1：《工業(yè)和信息化部關于開展信息通信服務感知提升行動的通知》

個人信息保護現(xiàn)狀

以移動互聯(lián)網(wǎng)為代表的現(xiàn)代信息技術日新月異，不斷推動移動應用APP蓬勃發(fā)展，據(jù)統(tǒng)計，截至2021年6月底我國國內(nèi)市場APP應用數(shù)量為302萬。在移動應用為企業(yè)和個人帶來巨大經(jīng)濟利益與生活便利的同時，各類安全問題也不斷被曝出，隱形相機、麥克風竊聽、大數(shù)據(jù)殺熟……個人信息安全遭受威脅，引發(fā)社會各界關注與重視。

自2017年以來國家各部門相繼出臺了一系列政策法規(guī)，并開展多次APP專項整治工作，大量違規(guī)應用得到處理。近期出臺的《個人信息保護法》對過度收集個人信息、濫用人臉識別、大數(shù)據(jù)“殺熟”、個人敏感信息收集等，從法律層面做了明文保護與制約。但是有了法，個人信息保護是否就能從此走上安全大路？有了法，該如何讓它更好落地，真正為人民服務？

為此，工信部提出建立APP個人信息保護雙清單專項整治行動，要求建立已收集個人信息清單，以及建立與第三方共享個人信息清單。

“雙清單”要點一覽

1、什么是“雙清單”？

各相關企業(yè)應建立已收集個人信息清單和與第三方共享個人信息清單，并在APP二級菜單中展示，方便用戶查詢。

已收集個人信息清單應簡潔、清晰列出APP（包括內(nèi)嵌第三方軟件工具開發(fā)包SDK）已經(jīng)收集到的用戶個人信息基本情況，包括信息種類、使用目的、使用場景等。

與第三方共享個人信息清單應簡潔、清晰列出APP與第三方共享的用戶個人信息基本情況，包括與第三方共享的個人信息種類、使用目的、使用場景和共享方式等。

2、解決的問題

泛濫的短信營銷早已打擾到消費者日常生活，這一現(xiàn)象透視著“個人信息泄露”的隱憂。智能機在為我們連接世界打開了獲取信息的大門，但它私下的信息采集行為也造成了安全隱患。例如，我們的位置信息、在線瀏覽數(shù)據(jù)、消費記錄等，這類數(shù)據(jù)采集可以為用戶提供更多便利優(yōu)質(zhì)的服務。但是，一旦遭到泄漏與濫用，不法分子可以根據(jù)這些數(shù)據(jù)分析目標行為畫像，騷擾電話等便可從過去的“誤打誤撞”變成“準確定位”。

作為前沿科技，人臉識別技術近年來被廣泛應用于城市安防、支付轉賬等領域，呈現(xiàn)加速落地趨勢。是什么讓人臉識別技術遭到“全球抵制”，在今年的“3·15”晚會也曝光了多家門店利用攝像頭獲取人臉信息的案例。究其原因，其存在信息泄露風險大、安全漏洞難消除等問題，嚴重威脅用戶的信息安全。

圖2：個人信息安全現(xiàn)狀

建立個人信息保護“雙清單”，是對“誰在動我的信息”困惑的解答。讓“誰”明明白白站出來。將選擇權歸還到用戶，將所有的信息與規(guī)則都一一列明，讓用戶真正對自己的信息了如指掌，保證用戶的知情權。同時，APP只應采集經(jīng)過用戶同意的且提供服務所必需的信息，從側面保護用戶的信息安全。

同時，建立個人信息保護“雙清單”，協(xié)助用戶做好“我的信息我該如何做主”。以《個人信息保護法》為依據(jù)，幫助用戶管理個人信息，保護個人信息。

建立個人信息保護“雙清單”，是基于《個人信息保護法》，讓APP與用戶置于信息對等地位，從而提升用戶的安全感、幸福感。

3、具體的措施

1）優(yōu)化APP開屏彈窗信息展示方式。

互聯(lián)網(wǎng)企業(yè)應在其APP開屏信息和彈窗信息窗口設置明顯、有效的關閉按鈕，按鈕大小、位置、顏色應易于操作辨認，讓用戶“找得到，關得了”。

2）優(yōu)化隱私政策和權限調(diào)用展示方式。

互聯(lián)網(wǎng)企業(yè)應以簡潔、清晰、易懂的方式，向用戶提供APP產(chǎn)品隱私政策摘要；涉及調(diào)用用戶終端中相冊、通訊錄、位置等敏感權限的，應當以適當方式告知用戶調(diào)用該權限的目的，充分保障用戶知情權。

3）提升APP關鍵責任鏈個人信息保護能力。

鼓勵應用商店為本平臺APP提供檢測服務，及時向APP開發(fā)者反饋相關問題并督促改正，防止違規(guī)APP上架。內(nèi)嵌SDK在非服務所必須或無合理應用場景下，不得自啟動或關聯(lián)啟動，由用戶自主選擇是否開啟關聯(lián)啟動。

4）明確告知用戶所有相關第三方信息。

簡潔、清晰列出APP與第三方共享的用戶個人信息基本情況，包括與第三方共享的個人信息種類、使用目的、使用場景和共享方式等。

第三方SDK面面觀

1、什么是SDK？

SDK（Software Development Kit）為協(xié)助軟件開發(fā)的軟件庫，通常包括相關二進制文件、文檔、范例和工具的集合。APP嵌入SDK后，能夠通過SDK提供的接口使用其封裝特定功能，從而降低APP的開發(fā)成本。通常將常用的SDK分為16大類：

圖3：常見SDK類型

2、SDK存在的安全問題

SDK本身不具備運行能力，必須等待宿主APP調(diào)用才能被執(zhí)行，完成特定功能。APP在提供各類便捷服務的同時，也在不斷地收集、使用用戶個人信息，與APP密切相關的SDK收集個人信息和安全問題也已得到了各方的關注。2019年以來各監(jiān)管部門均將SDK違法違規(guī)收集個人信息作為重點審查對象之一。

SDK經(jīng)常在APP背后收集用戶個人信息，這一類行為難以被發(fā)現(xiàn)，需要依托自動化的檢測引擎幫助識別。針對APP使用全過程進行監(jiān)測，依據(jù)權限檢測標準，主動發(fā)現(xiàn)APP及SDK存在的未經(jīng)授權擅自收集、過度和非必要收集、頻繁索權和強制收集、隱瞞第三方SDK收集行為、私自共享給第三方等問題，從而幫助用戶和開發(fā)者快速、準確地檢測SDK中存在的敏感權限調(diào)用及過度個人信息收集。

3、SDK合規(guī)自查三步走

1）確認SDK安全

開發(fā)者基本信息是否完整、是否存在風險漏洞、惡意行為、數(shù)據(jù)共享等問題

2）收集共享行為明確告知用戶

在《隱私政策》中明確告知用戶所有使用的SDK，是否存在數(shù)據(jù)共享行為，必要時該如何撤回個人信息收集等

3）收集共享行為確實已獲用戶同意

在用戶同意《隱私政策》后，再開始SDK初始化、用戶信息收集行為

結語

落實“雙清單”，需要強化企業(yè)及各組織的工作落實，加強國家及政府各部門的監(jiān)督指導，各相關企業(yè)要建立健全內(nèi)部管理長效機制，更需要推進政府監(jiān)管、社會監(jiān)督、企業(yè)自律、用戶參與的協(xié)同共治，形成服務提質(zhì)與感知提升良性互動。

在這一基礎上，我們提出技術治理，科技向善這一理念。通付盾移動安全產(chǎn)品提供集APP和SDK檢測加固、APP合規(guī)檢測、渠道檢測、滲透測試于一體的安全服務，同時應用商店安純應用市場已投入使用，為APP提供檢測服務，及時向APP開發(fā)者反饋相關問題并督促改正，防止違規(guī)APP上架。通付盾致力于用新一代數(shù)字化技術，讓數(shù)據(jù)生活更安全更美好。