2019-12-26 14:10
非常荣幸今天来参加反诈和网络安全的分论坛,通过这个平台发布我们近期的研究成果。大家都知道近年来移动应用的数据安全问题实际上受到广泛的关注,App在繁荣发展的同时,已经成为了个人信息流失的“重灾区”。在这个大的背景下,我们组织针对App的数据安全相关问题进行了系统性的研究。目前我们形成了《移动应用(App)数据安全与个人信息保护白皮书》,下面我代表白皮书编制工作组正式发布和解读相关内容。
白皮书主要包括五个方面的内容,首先我们对于移动应用的最新发展趋势,以及社会经济的影响进行了相应的研判和分析。其次我们对于当下的一些主流App进行了数据安全和个人信息保护方面的安全检测和评估,用数据说话,最后总结提出当前App存在的主要安全风险和问题。同时,我们系统梳理国内国外移动应用数据安全管理的实践情况。并对下一步移动应用数据安全综合治理和用户热切关注的安全防范技巧两个方面提出建议和想法。
下面我们就开始介绍白皮书的重点内容:
首先来看一下移动应用目前国内最新发展的趋势情况,以及相应的影响。随着移动互联网技术的飞速发展,以及移动智能终端的广泛普及,移动应用的种类和数量持续增长,全面渗透到了我们社会生产生活的方方面面已成为当代社会不可替代的“公共基础软设施”。下面我们看几组数据,从应用的数量来看,2019年10月份,我国App的上架数达到了525万款,首次超越我国网站数。从用户使用的情况来看,我国的网民人均安装移动应用总数增加到了58款,花了移动应用上网时间是4.9个小时,占用户每日上网时长的81.7%。由此可见,移动App已成为用户最为依赖的互联网入口,并承载着海量的网络服务和信息数据。
与此同时,移动应用对经济社会发展的基础性作用日益显著,从社会生活层面看,移动App从泛娱乐类应用拓展到生活服务类应用,已围绕个人需求形成一个完整的服务闭环,为大众创造了美好的数字化生活环境。从经济发展的角度看一下,移动应用作为重要的连接器,带动了线上线下服务的有机融合,同时带动了零售、物流、配送、文化创意等传统服务业的数字化转型。而且,App开始向工业领域快速渗透,过去一年面向工业领域的App数量已经增长了7倍,这个数字是非常惊人的。有效推动了工业以及制造业的信息化升级。
另外一方面,移动应用经济聚集的效应是非常显著的,从信通院安全所移动应用程序监测平台的有关数据来看,移动应用的接入地集中在北上广一线城市,和我国区域经济发展的繁荣程度高度一致,这也说明,移动应用的发展全面渗透到我们国家经济的方方面面,对地方经济的发展和地方就业的带动起到了至关重要的作用。
下面我们来看一下目前App主要存在的一些数据安全问题,大家都清楚我们有一些移动应用运营者为了某些商业目的,实际上是存在着不正当收集和使用数据的情况,这些情况屡见不鲜。我们报告课题组从应用宝、华为的应用市场、小米的应用商店、安卓应用商店选取了地图导航、医疗健康、网约车等20个应用类别,针对下载量大、影响范围广的典型App组织数据安全及个人信息保护安全检测评估。目前移动应用个人信息保护问题比较突出,我们检测发现了1265个安全风险点,其中67%的被检测App存在5项及以上的问题,分布特征比较明显,地图导航、医疗健康、安全管理类的App问题是比较突出的,平均风险应该是多于8个以上。个人信息的存储、收集、共享环节问题是比较突出,安全的问题总量我们说超过了750个。这是整体的情况。
后续的话,我们通过对1200多项问题数据的统计分析和研判,主流App主要存在五大方面的数据安全风险,下面我们给大家进行相应的解读。
第一,默示征询个人情况多,存在数据违规收集风险。大概超过90%的移动应用具备隐私政策。但是有48%App在首次登录时向用户默示隐私政策。默示隐私政策主要有五种典型场景,包括告知登录或注册即代表同意隐私政策、仅展示隐私政策但不征询用户同意等,这种情况很容易导致用户忽略隐私政策,无法了解和个人主体权益相关的信息。
第二个过度索取个人权限多,存在数据恶意滥用的风险。我们检测发现大概有近30%的App都会申请与收集个人相关的一些权限,申请的权限数量多于10个,其中特别是金融类的App,我们可以看到申请权限最多的一个金融类App是高达16个权限,这个数字是非常惊人的。在这种过度索取的权限里面有4类权限是比较突出的,包括访问位置信息,录音、拍照、调取通信录。这是目前存在着比较大的问题过度索取的情况。
第三个是明文存储个人信息多,存在数据非法获取的风险,数据存储的环节是网络黑客攻击获取信息的主要突破口,有25%的App存在着明文存储用户个人信息的问题,敏感信息占了非常大的比重,有个人的身份信息,以及个人的精准定位地理信息。
第四私自共享用户数据多,存在数据恶意散播风险。超过40%App跳转第三方应用时未提醒用户关注第三方收集应用个人信息规则,超过60%的第三方应用是金融类和网上购物类。第三方应用的不当行为,极有可能为个人用户带来经济财产方面的严重损失。
第五,设不合理注销条件多,存在数据过度留存风险。20.5%的App未提供注销功能。其中有26.9%的APP虽然提供了注销功能,但是注销的周期非常长,流程非常繁琐,甚至还有一些APP在注销的时候会要求用户去提交额外的非必要的一些个人敏感信息。那我们说上述不当行为都将导致用户信息长期留在运营者这里,增大数据泄露风险。
以上就是我们发现的移动应用存在的五大方面的问题,在App治理当中,无论是政府监管工作,还是企业自我能力建设,都应该围绕上述的五大问题提升移动安全水平。
我们看一下国际国内的各个举措。欧美等国移动互联网发展较早,故而在移动互联网安全制度构建方面也较为领先。整体来看,欧美等国家除了通过国家立法、强力执法等管理实践以外,还积极利用各种综合性的治理举措加强App的安全规范指引。通过研究我们发现了两个比较有特点的管理情况,一个是典型国家非常重视移动互联网产业链各环节主体的落实和协作。像美国,加拿大等地区纷纷发布了个人隐私保护指导意见,对App开发者、应用商店、终端制造商都提出细化的要求,比如说对于移动应用的开发者,澳大利亚的相关政府就对外发布了面向移动应用开发者的一些实践指南,其中要求App开发公司应该设立隐私专员,同时在应用开发阶段是必须要开展隐私影响评估的。
第二个管理的特点,典型国家也很重视发挥政府引导和行业示范的作用,通过自行评估和自愿认证等方式来激发企业的主观能动性。有四种典型做法,一是通过制定发布移动应用安全审查标准,为企业机构提供审查流程和方法,指导企业开展自评估。第二是进行行业认证,美国建立网络隐私认证计划,其中最有名的加州个人隐私认证机构“TRUSTe”,目前已为雅虎、微软、苹果等3500多家企业网站及App提供认证。三是美国电信和信息管理局和美国联邦贸易委员会都发布了App相关的倡议和指引,引导企业自律。此外,还包括为用户提供个人信息保护软件等引导举措。
我们国家也非常重视移动应用的数据安全管理,从2017年以来,相关政府就以专项治理为牵引,持续强化App数据安全管理的实践,特别是今年,网信办、工信部先后针对App数据安全和个人信息保护工作开展专项行动,强化移动应用关键环节和重点问题的整治工作。与此同时,为了做好专项治理工作,相关部门陆续出台了政策法规,进一步加强制度体系和标准规范的建设。此外我们国家也采取了跟国外类似的方法,正在积极探索App的个人信息保护多方共治的模式。
当前我们说面临着移动应用数据安全治理的严峻形势,用户对个人信息保护的强烈的需求也是不断提升的,下面我们对于App的数据安全综合治理,实际上是提出一些设想和建议的。
首先我们认为应进一步强化移动应用数据安全长效闭环管理,在前期专项治理工作基础上深化“行业分管,协同联动”的管理模式,建立App“检测-认证-通报-下架”长效机制,督促企业落实相关的主体责任。
然后是技术能力方面,鼓励第三方机构开放普惠行业的App数据安全检测能力,帮助企业提升自主发现和防范数据安全风险的能力。联合高校,科研院所和企业多方力量形成App数据安全防范产品的目录,促进先进的技术和产品的应用推广。
第三,强化产业链三个主体责任落实,对于移动App运营者,要依照相关标准,积极开展数据安全与个人信息保护自评估工作,积极防范安全隐患。对于应用商店等平台企业,应依托现有应用上架前审核机制,将移动App数据安全与个人信息保护措施作为重点审核内容,落实平台管理责任。对于移动智能终端企业,应严格落实应用软件预置管理要求。
第四,积极构建移动应用多方治理的生态,制定个人的信息收集和使用的行为准测,推动相关方签订行业的自律公约,推广宣传企业最佳实践,进一步提升行业整体的水平。
在报告的最后,我们更多的关怀了一下用户,大家也知道个人主体,近年来对于自我的个人信息保护的防范意识是在逐渐提升的,但是我们也了解到大部分的用户主体在自我维权的专业能力和知识上是不足的。因此在报告的最后,我们围绕着隐私政策,敏感权限,用户注销等用户热切关注的一些热点,提出了用户在使用App上的一些使用技巧。
第一阅读隐私政策,应该首先阅读正文中有加粗形式,突出显示的内容,同时应该重点关注以第三方进行个人信息共享的情况以及赋予的用户权利,第二下载安装App的时候看权限提醒,使用App特定功能时再打开相关的权限,不使用时应该及时关闭。第三在注销个人账户时,尤其要注意拒绝不合理的注销条件。
对于刚刚提到的用户使用技巧,我们会积极利用网络安全宣传周、安全知识进社区等社会宣传平台和渠道 为广大社会公众普及相关知识,提升用户自我保护和防范意识和能力。
以上就是我们白皮书的主要内容,白皮书的具体内容可以通过我院的官方微信、反诈中心官方微信以及安全评估中心官方微信来下载,未来我们将在移动应用数据安全领域持续开展相关的研究工作,跟各位行业同仁一起探讨开展相关的工作。谢谢。