查看原文
其他

中国信通院宁华等:APP个人信息收集使用最小必要性研究

The following article is from 信息通信技术与政策 Author 宁华,王艳红 等


0  引言
我国境内移动互联网应用(Mobile Application,APP)上架总量已近350 万款,覆盖经济社会生产生活管理各个方面。APP作为用户数据收集的主要入口之一,违规收集个人信息、超范围收集个人信息等问题日益严峻,对国家安全、人民利益、产业健康有序发展形成严重风险挑战[1]。推动APP依据最小必要原则收集使用个人信息已成为当务之急。
1  个人信息保护面临的挑战
随着AI、大数据等技术的广泛应用,用户个人信息的敏感性不断提高、数据范围不断扩大,个人信息的数据价值得到全面提升,海量相互关联的个人数据成为分析个人特征的基础。与此同时,违规收集个人信息、超范围收集个人信息成为普遍现象。然而,普通用户难以察觉个人信息被违规收集,也缺乏控制的技术手段。
1.1  违规收集个人信息APP收集个人信息应向用户明示并征得用户同意后进行[2]。尽管当前普遍采用通过隐私政策或用户协议的方式向用户一揽子告知,但仍存在未告知且未征得用户同意违规收集IMEI、应用软件列表、MAC地址等行为。还有的APP未向用户告知且未经用户同意,利用Cookie等技术手段隐性采集用户数据,生成设备身份标识等。
1.2   过度收集个人信息APP在征得用户同意或获得系统授权后,应遵循合法、正当、必要的基本原则收集使用个人信息。开发者不应利用能力和信息的不对称,违反与用户的约定,或超出业务场景的合理需求,过度收集个人信息。然而,APP开发者通常是根据其市场地位、利润及不良后果来决定收集使用个人信息的边界。在获得用户的形式授权后,APP普遍存在过度收集个人信息的情况。如无合理业务场景时超范围收集语音、图片、通信录信息,超深度收集位置、图片信息,超频次收集设备识别码、应用软件列表信息等。这些收集行为与用户意愿不符,普通用户难以觉察和取证,而开发者也难以主动进行自我约束。
2  问题分析
APP违规收集、过度收集个人信息等问题通常伴随着隐私政策冗长、强制“一揽子同意”、过度索取权限、滥用系统授权等现象。
2.1  告知内容冗长繁琐且晦涩难懂目前,APP提供者通常使用隐私政策或用户协议等方式,告知APP收集使用个人信息的目的、方式和范围。APP隐私政策长的接近2 万字,短的也有六七千字,平均字数在1.3 万字左右,按照300 字/min/人的阅读速度,读完全文平均需要30 min以上。用户反映普遍存在读不完、找不到、看不懂等问题。面对市场化程度和规范程度都较低的APP,上万的文字体量、层层嵌套的文件体系和章节架构、晦涩难懂的文字描述,使得隐私政策和用户协议形同虚设,难以担当告知用户的责任。对于用户来说,勾选接受隐私政策和用户协议以安装使用APP实属无奈之举。
2.2  一揽子征得用户同意APP早期业务功能比较单一,通常在首次安装使用时,一次性告知并征得用户同意,同时索取系统权限。随着互联网业态的不断丰富,APP的业务功能不断增加,APP所收集使用的个人信息边界不断扩大。当前APP首次启动时,普遍采用弹窗方式,一揽子征得用户的同意。用户不同意将无法使用APP,或者仅能使用浏览模式。在一揽子同意的方式下,不区分首屏功能和其他业务功能、不区分必要信息和非必要信息。一方面对于多业务功能APP,用户通常只能接受使用所有的业务功能,APP开发者只需增加告知条款,形式上具备相关的业务功能,就可以无所顾忌地收集各种信息;另一方面对于具备垄断地位的APP,用户别无选择,只能同意所有信息被收集。在这种一揽子同意的模式下,用户除了依靠系统权限给予开关选项的节制外,基本丧失了选择“不”的权利。
2.3  权限滥用现象严重在告知并征得用户同意后,系统权限成为APP收集个人信息的关键管控手段[3]。现有权限管控粒度过粗,权限申请目的告知不同步、权限行为记录不完善等因素导致APP过度申请权限、滥用系统授予的权限。APP过度滥用权限表现在3个方面:一是无合理业务场景时,提前索取权限;二是有合理业务场景时,借机多索取权限;三是索取权限后,超范围使用权限赋予功能。然而,权限过度滥用用户易感知,评测时却存在主观判定难的情况。有必要制定APP权限最小化规范,引导APP开发者遵循合法正当必要原则申请权限,清晰即时告知权限申请目的,运行过程中最小化使用权限,事后自行留存权限行为记录等。
3  APP最小必要收集个人信息方案
APP收集使用个人信息,普遍包含告知、同意、权限索取、权限使用4个环环相扣、互相影响的关键方面[4]。为破解一揽子告知同意、过度滥用权限的难题,有必要拆分首屏和其他业务功能或服务,区分不同业务功能或服务的必要信息和非必要信息,优化告知、同意、权限索取的时机和方式,规范权限使用最小化的操作范围、数据范围、收集频次、收集深度等,进而提出APP最小必要收集个人信息方案。
3.1  最小必要基本原则APP可根据业务功能或服务的不同,按照约定成俗的方式进行功能模块划分,功能模块也可以继续拆解成更小的模块。在功能模块下可进一步划分为收集个人信息的业务场景,在某些业务场景下,信息采集需要得到操作系统的授权。以地图导航类APP为例,典型的功能场景层次架构如图1所示。可见,在首屏地图页面,尽管有当前位置和语音唤醒的场景,但位置和录音信息对用户来说均非必要,相关的权限申请用户也可以拒绝;而在导航功能下,位置信息和位置权限均为必要。
图1  地图导航类APP的功能场景层次架构
通过对APP业务功能或服务,以及业务场景的解析,告知、同意、权限索取、权限使用可遵循以下最小必要基本原则。
(1)按照业务功能或服务进行分项告知。
(2)按照业务功能或服务分项征求用户同意。
(3)用户可拒绝业务功能的非必要信息。
(4)按照业务场景即时向系统索取权限。
(5)用户可拒绝非业务场景所必要的权限。
3.2  告知当APP出于提供产品或服务的目的收集使用个人信息时,应当在功能开启前,告知收集使用个人信息的目的、方式和范围,以及拒绝提供将带来的影响,以便用户进行适当的选择。
3.2.1  告知内容告知内容应包含收集使用个人信息的目的、方式、范围、内容、频次、保护措施、公开、转移、共享等相关内容,同时应明示用户所拥有的各项权利,如查询权、拒绝权、更正权和撤销同意等[5-6]。告知内容应准确、清晰、完整、易懂,符合通用的语言习惯,通过显著方式对重点条款进行突出呈现,同时应避免歧义,不得恐吓威胁诱导用户。当APP收集使用的内容、目的、方式、范围发生变更时,应及时重新告知并显著提示用户。变更包括但不限于收集使用个人信息的内容增加、目的改变、方式变化等。
3.2.2  告知时机告知时机应满足事前就近原则,在用户作出实质性动作前,给予相应的告知。在用户决定选择下载前,在APP下载界面显著位置告知应用的名称、包名、版本号、安装包大小、开发者、发布更新日期、权限列表及用途,收集使用个人信息的内容、目的、方式和范围,以及关键个人信息列表等,以保障用户选择下载前的知情权。在用户初次使用APP或注册使用账号的场景下,向用户提供完整的个人信息收集使用规则链接,前台展示首屏业务功能关键个人信息收集使用列表,保障用户使用APP前的知情权。当启用APP首屏功能外的业务功能或服务场景时,分项告知该功能或服务收集使用个人信息详情。当收集使用个人信息的内容、目的、方式、范围发生变更时,或者用户撤回授权后重新使用前,需重新告知。
3.2.3  告知方式根据APP所提供业务功能和服务的不同,APP可分别制定独立的告知内容,当启用某功能或服务时,分项告知该业务功能或服务所收集使用的个人信息。并区分该功能或服务所收集的必要信息和非必要信息。为易于用户感知与理解,告知方式可多种多样,可采用文字、弹窗、动画、短片、互动等创新的告知形式。同时,APP应提供可供用户随时查看的个人信息收集使用规则入口。
3.3  同意用户应对APP所收集使用的个人信息具有知情权与选择权。APP需征得用户同意后方可收集和使用个人信息。用户是否同意应满足自主性原则,不以欺骗、误导、强迫等非法手段征得用户同意。在用户做出明确的确认行为之前,APP不进行处理个人信息的相关操作。
3.3.1  分项同意APP按照业务功能或服务分项征求用户同意,并明确区分业务功能或服务的必要信息和非必要信息。在首次启用指定业务功能或服务时,可征得用户对收集必要信息和非必要个人信息的授权同意。用户选择不同意收集业务功能或服务的必要信息,APP可以拒绝提供相关业务功能或服务。若用户选择不同意收集业务功能或服务的非必要信息,APP不能拒绝提供相关业务功能或服务。
3.3.2  单项同意APP在调用敏感权限或收集敏感信息时,应通过弹窗或交互界面等方式,单项即时性告知并征得用户的明确同意。一次性收集的,应清晰说明收集敏感信息的目的、范围、深度等;多次收集的,还需说明收集的频次。
3.3.3  撤销同意在征得用户同意时,APP应告知撤销同意的渠道和方式,并且不应为撤销同意设置障碍。用户撤销同意后,APP不应再继续收集和处理个人信息,且应保证撤回某项同意后不影响用户其他业务功能的正常使用[1]
3.3.4  再次同意APP收集使用个人信息超出同意范围的,应再次告知并征求用户的同意。APP收集使用的个人信息范围将用于个性化推荐、精准营销等目的之外的场景,需再次征求用户的单项同意,并应提供随时撤销同意的机制[1]
3.4  权限索取权限是为保护用户的个人信息,终端操作系统对于应用访问敏感用户数据或使用特定系统功能的限制与约束。权限的申请应遵循合法正当必要原则,做到即时索取权限,细粒度索取权限,且优先采用系统自身功能。APP应明确告知拒绝授权的后果,若用户拒绝非必要权限的授权,不应影响业务功能的使用[1]
3.4.1  即时索权APP索取权限要遵循即时原则,仅在发生相关业务场景时即时申请权限。不应申请与业务场景无关的权限,不能过早索权,不能一揽子索权,不使用的权限要及时清理。如在主屏页面,不能索取非主屏功能相关的权限。
3.4.2  细粒度索权与业务无关权限的授予会导致权限的滥用,增大应用攻击面,引入用户敏感数据泄露风险[1]。APP应根据业务场景的需求,最小粒度的索取系统权限。如对于“存储”“通讯录”等权限,按照最小必要原则索取读、写、删等权限;对于“位置”权限,根据业务场景需求,按照最小必要原则索取粗略位置或精准位置。
3.4.3  优先采用系统功能APP应优先采用终端提供的功能实现,避免过度调用敏感权限。例如,Android系统为APP分配私有的文件目录和数据存储空间,在无合理理由下,APP无需额外申请存储权限[1]
3.5  权限使用APP在征得用户同意和获得用户授权后,便获取了访问系统特定功能或用户敏感数据的权利。鉴于终端权限管控的粒度较粗,APP在获得授权后应遵循合理正当必要原则,使用系统赋予的权利,最小化调用系统提供的功能,最小化访问系统提供的用户敏感数据,对于未明确告知操作范围、数据范围、收集频次和收集深度的授权,若无合理业务场景,默认未获得用户授权同意。
3.5.1  最小化操作范围APP应告知敏感权限和敏感数据的操作范围是否包括读、写、删等。若系统未提供较细粒度的读写删等子权限,APP不能超出业务场景的需求,超范围访问数据或者使用系统功能。如使用“短信验证码”功能,APP仅可使用短信读取权限,不得超范围使用短信删除权限,恶意删除、改写短信验证码信息等。
3.5.2  最小化数据范围APP应告知敏感数据的收集范围,对于访问用户敏感数据的权限,若系统未提供数据访问范围限制,APP不能超出业务场景的需求,超范围访问用户数据。如使用选择通讯录指定联系人,APP不能超范围访问通讯录信息,在用户不知情的情况下收集整个通讯录信息。又如客服场景选择上传图片,APP不能超范围访问图片信息、在用户不知情的情况下收集其他图片的信息等。
3.5.3  最小化收集频次APP应告知敏感数据的收集频次,若用户未说明收集频次,且系统未提供访问频次的管控机制,敏感数据的收集和敏感权限的使用不能超出业务场景的合理需求。如“应用软件列表”未声明收集频次,默认在用户同意后一次性收集;外卖类软件获得“位置”授权后,APP只应在用户使用定位功能时读取位置信息。
3.5.4  最小化收集深度对于“位置”“录音”“图片”等敏感数据,APP应告知收集的精度和深度。如天气类业务场景,若APP未声明收集深度,默认索取粗略定位信息;对于语音助手类业务场景,若APP未声明,默认不采集声纹信息;对于图片类业务场景,若APP未声明,默认不收集位置等附加信息。
4  结束语
随着移动互联网的迅猛发展,用户个人信息的敏感性不断提高,APP违法违规收集个人信息成为用户关注的焦点。其中,APP违反最小必要原则收集使用个人信息成为当前个人信息保护工作面临的主要挑战,本文研究分析了违规收集、超范围收集个人信息的原因,列出了APP最小必要基本原则,提出了分项告知和单独同意机制,设计了权限索取、数据收集的最小化规范,给出了APP收集使用个人信息最小必要方案,旨在为深入开展APP治理,推动APP产业健康有序发展提供技术支撑。
参考文献
[1] 中国信息通信研究院. 智能终端产业个人信息保护白皮书[R], 2018.[2] 郑佳宁. 知情同意原则在信息采集中的适用与规则构建[J]. 东方法学, 2020,4(2):198-208.[3] 钟越, 付迪阳. Android应用程序隐私权限安全研究[J]. 信息安全研究, 2021,7(3):287-292.[4] 宁华, 王艳红, 王宇晓. APP个人信息安全现状问题及应对策略[J]. 质量与认证, 2020(4):33-35.[5] 郭清玥, 吴丹. 基于文本分析的APP隐私政策框架优化研究[J]. 信息资源管理学报, 2021,11(1):18-29.[6] 何培育, 王潇睿. 智能手机用户隐私安全保障机制研究——基于第三方应用程序“隐私条款”的分析[J]. 情报理论与实践, 2018,41(10):40-46.



作者简介



 宁 华 

移动应用创新与治理技术工业和信息化部重点实验室副主任,中国信息通信研究院泰尔终端实验室信息安全部主任,主要从事移动终端安全、网络安全、个人信息保护、数据安全研究。



 王艳红 

通信作者。移动应用创新与治理技术工业和信息化部重点实验室、中国信息通信研究院泰尔终端实验室信息安全部工程师,主要从事移动应用安全和个人信息保护的科研及检测工作。



 武林娜 

移动应用创新与治理技术工业和信息化部重点实验室、中国信息通信研究院泰尔终端实验室信息安全部工程师,主要从事移动智能终端及应用软件安全和个人信息保护检测及研究工作。



 杜 云 

移动应用创新与治理技术工业和信息化部重点实验室、中国信息通信研究院泰尔终端实验室信息安全部工程师,主要从事移动应用安全和个人信息保护的科研及检测工作。


论文引用格式:

宁华, 王艳红, 武林娜, 等. APP个人信息收集使用最小必要性研究[J]. 信息通信技术与政策, 2021,47(8):69-73.



本文刊于《信息通信技术与政策》2021年 第8期



主办:中国信息通信研究院


《信息通信技术与政策》是工业和信息化部主管、中国信息通信研究院主办的专业学术期刊。本刊定位于“信息通信技术前沿的风向标,信息社会政策探究的思想库”,聚焦信息通信领域技术趋势、公共政策、国家/产业/企业战略,发布前沿研究成果、焦点问题分析、热点政策解读等,推动5G、工业互联网、数字经济、人工智能、区块链、大数据、云计算等技术产业的创新与发展,引导国家技术战略选择与产业政策制定,搭建产、学、研、用的高端学术交流平台。



《信息通信技术与政策》官网开通啦!


为进一步提高期刊信息化建设水平,为广大学者提供更优质的服务,我刊于2020年11月18日起正式推出官方网站,现已进入网站试运行阶段。我们将以更专业的态度、更丰富的内容、更权威的报道,继续提供有前瞻性、指导性、实用性的优秀文稿,为建设网络强国和制造强国作出更大贡献!


http://ictp.caict.ac.cn/ 

(点击“阅读原文”访问)


《信息通信技术与政策》投稿指南





校  审 | 陈  力、珊  珊

编  辑 | 凌  霄


推荐阅读

中国信通院张丽:中国宽带网络“十三五”发展成效及“十四五”趋势分析
数字化转型专家谈



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存