移動(dòng)應(yīng)用App數(shù)據(jù)安全與個(gè)人信息保護(hù)白皮書(shū)

1、移動(dòng)應(yīng)用（App）數(shù)據(jù)安全與個(gè)人信息保護(hù)白皮書(shū)前言移動(dòng)應(yīng)用（以下簡(jiǎn)稱(chēng)“App”）是數(shù)字經(jīng)濟(jì)下的重要產(chǎn)品。隨著移動(dòng)網(wǎng)絡(luò)和智能手機(jī)全面覆蓋，App 種類(lèi)和數(shù)量增長(zhǎng)迅猛。從社交到出行、從網(wǎng)購(gòu)到外賣(mài)，從辦公到娛樂(lè)，App 已全面滲透用戶(hù)生活，成為大眾生活必需品，并因此匯集大量衣食住行、社交關(guān)系等用戶(hù)個(gè)人信息。App 逐漸成為承載網(wǎng)絡(luò)應(yīng)用和信息數(shù)據(jù)的核心載體。App 在滿(mǎn)足用戶(hù)美好數(shù)字生活需要，助力消費(fèi)升級(jí)和經(jīng)濟(jì)轉(zhuǎn)型發(fā)展方面發(fā)揮了不可替代的作用，但也暴露出違法違規(guī)收集使用個(gè)人信息、用戶(hù)個(gè)人信息泄露與濫用等數(shù)據(jù)安全問(wèn)題。App 數(shù)據(jù)安全關(guān)乎個(gè)體層面的隱私權(quán)利保護(hù)，產(chǎn)業(yè)層面的健康發(fā)展，以及國(guó)家層面的全球數(shù)字

2、競(jìng)爭(zhēng)力。歐美等移動(dòng)互聯(lián)網(wǎng)發(fā)展較早的國(guó)家，在移動(dòng)互聯(lián)網(wǎng)安全制度構(gòu)建方面已較為領(lǐng)先。近年來(lái)，我國(guó)也高度重視 App 數(shù)據(jù)安全與個(gè)人信息保護(hù)工作，從法規(guī)標(biāo)準(zhǔn)、專(zhuān)項(xiàng)治理、企業(yè)自律等方面多管齊下，加大治理力度。本白皮書(shū)在研判App 發(fā)展趨勢(shì)及社會(huì)經(jīng)濟(jì)影響的基礎(chǔ)上，重點(diǎn)分析目前主流App 存在的數(shù)據(jù)安全隱患，系統(tǒng)梳理總結(jié)國(guó)內(nèi)外 App 數(shù)據(jù)安全治理現(xiàn)狀，最后從政府、企業(yè)、行業(yè)三個(gè)維度研究提出了我國(guó) App 數(shù)據(jù)安全與個(gè)人信息保護(hù)綜合治理建議，并從用戶(hù)視角總結(jié)提出了用戶(hù)安全使用技巧。目錄 HYPERLINK l _bookmark0 一、移動(dòng)應(yīng)用（App）發(fā)展趨勢(shì)及影響4 HYPERLINK l _book

3、mark1 （一） 移動(dòng)應(yīng)用成為互聯(lián)網(wǎng)服務(wù)主要載體4 HYPERLINK l _bookmark2 （二） 移動(dòng)應(yīng)用引領(lǐng)用戶(hù)數(shù)字生活5 HYPERLINK l _bookmark3 （三） 移動(dòng)應(yīng)用助推消費(fèi)提質(zhì)升級(jí)7 HYPERLINK l _bookmark4 （四） 移動(dòng)應(yīng)用支撐經(jīng)濟(jì)轉(zhuǎn)型發(fā)展8 HYPERLINK l _bookmark5 二、移動(dòng)應(yīng)用（App）主要數(shù)據(jù)安全問(wèn)題9 HYPERLINK l _bookmark6 （一） 默示征詢(xún)個(gè)人情況多，存在數(shù)據(jù)違規(guī)收集風(fēng)險(xiǎn)12 HYPERLINK l _bookmark7 （二） 過(guò)度索取個(gè)人權(quán)限多，存在數(shù)據(jù)惡意濫用風(fēng)險(xiǎn)13 HYPERL

4、INK l _bookmark8 （三） 明文存儲(chǔ)個(gè)人信息多，存在數(shù)據(jù)非法獲取風(fēng)險(xiǎn)15 HYPERLINK l _bookmark9 （四） 私自共享用戶(hù)數(shù)據(jù)多，存在數(shù)據(jù)惡意散播風(fēng)險(xiǎn)16 HYPERLINK l _bookmark10 （五） 設(shè)置注銷(xiāo)限制條件多，存在數(shù)據(jù)過(guò)度留存風(fēng)險(xiǎn)17 HYPERLINK l _bookmark11 三、國(guó)內(nèi)外移動(dòng)應(yīng)用（App）數(shù)據(jù)安全管理現(xiàn)狀18 HYPERLINK l _bookmark12 （一） 國(guó)內(nèi)移動(dòng)應(yīng)用數(shù)據(jù)安全管理現(xiàn)狀18 HYPERLINK l _bookmark12 （二） 國(guó)外移動(dòng)應(yīng)用數(shù)據(jù)安全管理現(xiàn)狀18 HYPERLINK l _boo

5、kmark13 四、移動(dòng)應(yīng)用（App）數(shù)據(jù)安全治理建議29 HYPERLINK l _bookmark14 （一） 政府層面，加快完善數(shù)據(jù)安全監(jiān)管體系29 HYPERLINK l _bookmark15 （二） 政府層面，創(chuàng)新數(shù)據(jù)安全防護(hù)技術(shù)手段30 HYPERLINK l _bookmark16 （三） 企業(yè)層面，切實(shí)落實(shí)數(shù)據(jù)安全主體責(zé)任30 HYPERLINK l _bookmark17 （四） 行業(yè)層面，構(gòu)建數(shù)據(jù)安全多方治理生態(tài)31 HYPERLINK l _bookmark18 五、移動(dòng)應(yīng)用（App）用戶(hù)安全使用建議32 HYPERLINK l _bookmark19 （一） 用戶(hù)授予

6、敏感權(quán)限應(yīng)謹(jǐn)慎32 HYPERLINK l _bookmark20 （二） 用戶(hù)閱讀隱私政策宜仔細(xì)33 HYPERLINK l _bookmark21 （三） 用戶(hù)注銷(xiāo)個(gè)人賬號(hào)需靈活34一、 移動(dòng)應(yīng)用（App）發(fā)展趨勢(shì)及影響（一） 移動(dòng)應(yīng)用成為互聯(lián)網(wǎng)服務(wù)主要載體隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，以智能手機(jī)為代表的智能移動(dòng)終端廣泛普及。截至 2019 年 9 月底，三家基礎(chǔ)電信企業(yè)手機(jī)上網(wǎng)用戶(hù)規(guī)模達(dá)到 13.04 億戶(hù)1，普及率超過(guò) 90%。移動(dòng)互聯(lián)網(wǎng)的持續(xù)滲透， 直接推動(dòng)了數(shù)字生活的豐富和繁榮，海量用戶(hù)需求被持續(xù)挖掘，移動(dòng)應(yīng)用（以下簡(jiǎn)稱(chēng)“App”）種類(lèi)和數(shù)量持續(xù)增長(zhǎng)，全面滲透，已成為不可替代的“公

7、共基礎(chǔ)軟設(shè)施”。從總量上看，App 首次超越網(wǎng)站成為提供互聯(lián)網(wǎng)服務(wù)的主角。近年來(lái)，我國(guó) App 數(shù)量穩(wěn)步增長(zhǎng)，而網(wǎng)站數(shù)量自 2018 年起持續(xù)下降。截至 2019 年 10 月，我國(guó)本土市場(chǎng)上監(jiān)測(cè)到的 App 在架數(shù)量為 525 萬(wàn)App數(shù)量網(wǎng)站數(shù)量2019年10月2018年2017年2016年403449482525518523533款2，首次超越我國(guó)網(wǎng)站數(shù)量 518 萬(wàn)個(gè)，傳統(tǒng)桌面互聯(lián)網(wǎng)應(yīng)用服務(wù)已向移動(dòng)互聯(lián)網(wǎng)全面遷移。（數(shù)據(jù)來(lái)源：工業(yè)和信息化部、CNNIC、愛(ài)加密）圖 1 2016-2019 年 App 與網(wǎng)站數(shù)量對(duì)比1 數(shù)據(jù)來(lái)源：工業(yè)和信息化部，2019 年前三季度通信業(yè)經(jīng)濟(jì)運(yùn)行情況2

8、數(shù)據(jù)來(lái)源：北京智游網(wǎng)安科技有限公司（愛(ài)加密）從用戶(hù)使用看，App 成為用戶(hù)最依賴(lài)的互聯(lián)網(wǎng)入口。用戶(hù)使用 App的數(shù)量和時(shí)長(zhǎng)逐年遞增，App 成為承載手機(jī)用戶(hù)上網(wǎng)時(shí)長(zhǎng)的核心。據(jù)統(tǒng)計(jì)，2018 年我國(guó)的 App 下載量將近千億，其中近 20 款應(yīng)用下載量過(guò)億3，是目前全球 App 下載量最大的國(guó)家。2019 年三季度，我國(guó)網(wǎng)民人均安裝 App 總量增加至 58 款，用戶(hù)每天花在各類(lèi) App 的時(shí)間為4.9 小時(shí)4，占用戶(hù)每日上網(wǎng)時(shí)長(zhǎng)的 81.7%。2019Q32019Q22019Q12018Q42018Q35051545658（數(shù)據(jù)來(lái)源：極光2019 年 Q3 移動(dòng)互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)研究報(bào)告）圖 2

9、人均安裝 App 的數(shù)量增長(zhǎng)情況（二） 移動(dòng)應(yīng)用引領(lǐng)用戶(hù)數(shù)字生活網(wǎng)上購(gòu)物、手機(jī)打車(chē)、聽(tīng)書(shū)、看視頻、外賣(mài)到家，App 已經(jīng)深入滲透進(jìn)衣食住行等日常生活的方方面面，用戶(hù)習(xí)慣于通過(guò)使用App 解決生活中各類(lèi)場(chǎng)景需求。在橫向覆蓋各類(lèi)功能領(lǐng)域的同時(shí)，App 不斷深入拓展、發(fā)掘不同用戶(hù)群體的差異化需求，進(jìn)一步普及數(shù)字紅利，更好地滿(mǎn)足美好數(shù)字生活需要。3 數(shù)據(jù)來(lái)源：中國(guó)信通院移動(dòng)應(yīng)用程序（App）監(jiān)測(cè)平臺(tái)4 數(shù)據(jù)來(lái)源：QuestMobile中國(guó)移動(dòng)互聯(lián)網(wǎng)半年報(bào)告，極光2019 年 Q3 移動(dòng)互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)研究報(bào)告從應(yīng)用類(lèi)型看，App 已實(shí)現(xiàn)生活場(chǎng)景全覆蓋，形成圍繞個(gè)人需求的完整消費(fèi)閉環(huán)。截至 2019 年

10、10 月底，中國(guó)信通院安全研究所移動(dòng)應(yīng)用程序監(jiān)測(cè)平臺(tái)上監(jiān)測(cè)到的App 覆蓋 22 種類(lèi)型，從短視頻、游戲、社交為代表的泛娛樂(lè)應(yīng)用拓展到金融理財(cái)、旅行交通、健康養(yǎng)生、商務(wù)辦公、家居服務(wù)、教育醫(yī)療等生活服務(wù)類(lèi)應(yīng)用（見(jiàn)表 1），基本實(shí)現(xiàn) “一部手機(jī)走天下”。社交、搜索、新聞、購(gòu)物支付等基礎(chǔ)應(yīng)用滲透率都超過(guò) 70%5，其他細(xì)分市場(chǎng)呈現(xiàn)出明顯長(zhǎng)尾效應(yīng)。表 1 App 類(lèi)型及數(shù)量分布序號(hào)應(yīng)用類(lèi)型App數(shù)量（個(gè)）序號(hào)應(yīng)用類(lèi)型App數(shù)量（個(gè)）1游戲93123812健康養(yǎng)生200772生活服務(wù)13719213攝影圖像139633主題美化7850114休閑娛樂(lè)127094影音播放6763815安全保密85455電

11、子商務(wù)6345016手機(jī)通信69136金融理財(cái)4763517網(wǎng)絡(luò)瀏覽65547學(xué)習(xí)幫助3903318文件管理58088系統(tǒng)工具3847919圖形相關(guān)41779網(wǎng)上購(gòu)物2927420商務(wù)辦公53110社區(qū)交友2651921及時(shí)通信29211旅行交通2351722時(shí)間日程66（數(shù)據(jù)來(lái)源：中國(guó)信通院移動(dòng)應(yīng)用程序（App）監(jiān)測(cè)平臺(tái)）從覆蓋人群看，App 基本實(shí)現(xiàn)適齡人口全覆蓋，并加速向三線(xiàn)及以下城市用戶(hù)下沉。手機(jī)網(wǎng)民年齡分布逐步向兩端延伸，14 歲以下青5 數(shù)據(jù)來(lái)源：CNNIC 第 44 次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告，極光2019 年 Q3 移動(dòng)互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)研究報(bào)告少年和 50 歲以上中老年人均手

12、機(jī) App 數(shù)量都超過(guò) 30 個(gè)6。除了微信等國(guó)民級(jí)應(yīng)用外，中老年人還鐘愛(ài)理財(cái)、購(gòu)物、廣場(chǎng)舞、美顏相機(jī)和全民K 歌等潮流App。此外，三線(xiàn)及以下市場(chǎng)的潛力和空間正在被發(fā)掘，70%左右的三線(xiàn)及以下城市網(wǎng)民刷手機(jī)的時(shí)間占比都超過(guò)一半7， 娛樂(lè)和生活相關(guān)的App 在三線(xiàn)及以下城市發(fā)展的新用戶(hù)更多。阿里巴巴財(cái)報(bào)顯示，截至 2019 年 3 月底，淘寶天貓 1.04 億移動(dòng)月活躍新增用戶(hù)的 77%來(lái)自三線(xiàn)城市及以下地區(qū)。10歲以下10-14歲15-19歲20-29歲30-39歲40-49歲50-59歲60歲及以上3332404047495466（數(shù)據(jù)來(lái)源：CNNIC 第 44 次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)

13、報(bào)告，2019.6）圖 3 各年齡段網(wǎng)民人均安裝 App 數(shù)量（三） 移動(dòng)應(yīng)用助推消費(fèi)提質(zhì)升級(jí)App 創(chuàng)新活躍、增長(zhǎng)迅速、輻射廣泛，助推信息消費(fèi)升級(jí)。一方面，App 是拉動(dòng)流量消費(fèi)的重要驅(qū)動(dòng)力。App 全場(chǎng)景的使用，大大增強(qiáng)用戶(hù)粘性，提高用戶(hù)上網(wǎng)時(shí)長(zhǎng)，激發(fā)了數(shù)據(jù)流量消費(fèi)快速攀升。2019 年 110 月，通過(guò)手機(jī)上網(wǎng)的流量達(dá)到 995 億 GB，同比增速仍高達(dá)6 數(shù)據(jù)來(lái)源：CNNIC，第 44 次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告7 數(shù)據(jù)來(lái)源：企鵝智庫(kù)，2018 年中國(guó)三四五線(xiàn)城市網(wǎng)民時(shí)間&金錢(qián)消費(fèi)數(shù)據(jù)報(bào)告85.6%。經(jīng)測(cè)算，2018 年僅微信就帶動(dòng)流量消費(fèi) 2108 億元8。另一方面，以 App

14、為載體的信息服務(wù)消費(fèi)規(guī)模持續(xù)擴(kuò)大，帶動(dòng)信息消費(fèi)增長(zhǎng)。2019 年前三季度，包括網(wǎng)絡(luò)音樂(lè)和視頻、網(wǎng)絡(luò)游戲、新聞信息、網(wǎng)絡(luò)閱讀等在內(nèi)的信息服務(wù)收入規(guī)模達(dá) 5660 億元，同比增長(zhǎng) 22.3%，占互聯(lián)網(wǎng)業(yè)務(wù)收入比重達(dá) 65.8%9。App 作為“連接器”融合線(xiàn)上線(xiàn)下，助力傳統(tǒng)消費(fèi)升級(jí)。在信息消費(fèi)之外，App 覆蓋出行、餐飲、購(gòu)物、酒店、旅游等線(xiàn)下消費(fèi)場(chǎng)景， 傳統(tǒng)實(shí)體經(jīng)濟(jì)的大量商品和服務(wù)，通過(guò) App 入口直接與用戶(hù)對(duì)接，提升服務(wù)效率，降低交易成本，改善消費(fèi)體驗(yàn)。在購(gòu)物領(lǐng)域，據(jù)商務(wù)部統(tǒng)計(jì)，2018 年全國(guó)網(wǎng)上零售額突破 9 萬(wàn)億元，其中實(shí)物商品網(wǎng)上零售額 7 萬(wàn)億元，同比增長(zhǎng) 25.4%。在餐飲領(lǐng)域，

15、美團(tuán)通過(guò) 53.1 萬(wàn)日活配送騎手，連接起全國(guó)超過(guò) 2800 個(gè)市縣的 3.1 億年度交易用戶(hù)和約 440 萬(wàn)年度活躍餐廳。在旅游領(lǐng)域，各大景區(qū)或城市與短視頻App 合作打造“網(wǎng)紅景點(diǎn)”“網(wǎng)紅城市”，帶動(dòng)地方旅游收入增長(zhǎng)。（四） 移動(dòng)應(yīng)用支撐經(jīng)濟(jì)轉(zhuǎn)型發(fā)展App 帶動(dòng)傳統(tǒng)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型，促進(jìn)實(shí)體經(jīng)濟(jì)發(fā)展。一方面，以電子商務(wù)、數(shù)字內(nèi)容等為代表的大量新應(yīng)用、新模式、新業(yè)態(tài)，帶動(dòng)零售、物流配送、文化創(chuàng)意等傳統(tǒng)服務(wù)業(yè)的數(shù)字化轉(zhuǎn)型。據(jù)國(guó)家郵政局統(tǒng)計(jì)，2018 年中國(guó)快遞年業(yè)務(wù)量突破 500 億件，自 2014 年開(kāi)始連續(xù) 5 年穩(wěn)居世界第一。另一方面，App 從消費(fèi)領(lǐng)域向工業(yè)領(lǐng)域快速滲8 數(shù)據(jù)來(lái)源：微信、

16、中國(guó)信通院、數(shù)字中國(guó)研究中心聯(lián)合發(fā)布，微信就業(yè)影響力報(bào)告9 數(shù)據(jù)來(lái)源：工業(yè)和信息化部，2019 年前三季度互聯(lián)網(wǎng)和相關(guān)服務(wù)業(yè)運(yùn)行情況透，我國(guó)面向工業(yè)場(chǎng)景的 App 數(shù)量一年增長(zhǎng) 7 倍10。在工信部印發(fā)的工業(yè)互聯(lián)網(wǎng)APP 培育工程實(shí)施方案（20182020 年）中明確提出， 到 2020 年要培育 30 萬(wàn)個(gè)面向特定行業(yè)、特定場(chǎng)景的工業(yè)App。工業(yè)App 的形成與規(guī)模化應(yīng)用，有利于發(fā)揮軟件賦能作用，破解企業(yè)內(nèi)部工業(yè)技術(shù)不足的難題，加速推動(dòng)制造業(yè)轉(zhuǎn)型升級(jí)。App 分布地區(qū)聚集效應(yīng)顯著，促進(jìn)區(qū)域經(jīng)濟(jì)發(fā)展。App 地區(qū)分布與總體經(jīng)濟(jì)繁榮程度密切相關(guān)，從接入地分布情況看，App 主要聚集在北上廣等一線(xiàn)

17、城市。中國(guó)信通院安全研究所移動(dòng)應(yīng)用程序監(jiān)測(cè)平臺(tái)已監(jiān)測(cè) 100 個(gè)重點(diǎn)App 的接入信息，其中在北京接入的 App 最多，接入數(shù)量達(dá)到 78 個(gè)，其次是廣東、天津和上海，接入 App 數(shù)量分別是70、56 和 52 個(gè)。以上地區(qū)綜合優(yōu)勢(shì)十分明顯，北京、上海、天津也是同期全國(guó)人均GDP 排名前三的省市。這一結(jié)果說(shuō)明，App 的發(fā)展已廣泛滲透到經(jīng)濟(jì)社會(huì)各個(gè)領(lǐng)域，對(duì)各地就業(yè)拉動(dòng)、經(jīng)濟(jì)發(fā)展起到至關(guān)重要的帶動(dòng)作用。二、 移動(dòng)應(yīng)用（App）主要數(shù)據(jù)安全問(wèn)題隨著App 的全面滲透，廣大用戶(hù)卻面臨著享受便捷化泛在化服務(wù)與保護(hù)個(gè)人信息權(quán)利之間的兩難抉擇。App 強(qiáng)制授權(quán)、過(guò)度索權(quán)、超范圍收集個(gè)人信息的現(xiàn)象大量存在

18、，違法違規(guī)使用個(gè)人信息的關(guān)注度始終居高不下。截至 2019 年 11 月 4 日，報(bào)告團(tuán)隊(duì)從應(yīng)用寶、華為應(yīng)用市場(chǎng)、小米應(yīng)用商店等 10 個(gè)安卓應(yīng)用市場(chǎng)選擇社交通信、餐飲外賣(mài)、地圖導(dǎo)航、視頻直播、網(wǎng)上購(gòu)物、網(wǎng)約車(chē)、醫(yī)療教育等 20 個(gè)類(lèi)10 工信部、北京市政府主辦的第二十三屆中國(guó)國(guó)際軟件博覽會(huì)展示別中下載量大、影響范圍廣、存在典型問(wèn)題的 200 余款A(yù)pp 作為檢測(cè)對(duì)象，共計(jì)檢測(cè)出 1265 項(xiàng)數(shù)據(jù)安全問(wèn)題。整體來(lái)看：?jiǎn)栴}數(shù)=15, 1.5%10=問(wèn)題數(shù)15, 17.0%0=問(wèn)題數(shù)5, 33.0%5=問(wèn)題數(shù)10, 48.5%一是 App 個(gè)人信息安全整體問(wèn)題較多且集中。67%的 App 存在 5

19、 個(gè)及以上個(gè)人信息安全問(wèn)題，18.5%的 App 存在 10 個(gè)及以上個(gè)人信息安全問(wèn)題。超過(guò)四成 App 的問(wèn)題集中在未公開(kāi)收集使用規(guī)則、未明示收集使用目的、超范圍收集個(gè)人信息等 5 類(lèi)。具體情況如下圖所示。圖 4 App 問(wèn)題數(shù)量分布情況40.0%未經(jīng)用戶(hù)同意收集使用個(gè)人信息40.0%私自共享個(gè)人信息42.0%超范圍收集個(gè)人信息46.0%未明示收集使用個(gè)人信息的目的48.5%未公開(kāi)收集使用規(guī)則圖 5 App 安全檢測(cè)突出的不合規(guī)問(wèn)題8.4 8.3 8.37.8 7.66.9 6.8 6.7 6.5 6.4 6.4 6.46.2 6.1 6.04.8 4.6 4.33.42.7地 醫(yī) 安 餐

20、直 在 物 網(wǎng) 基 社 網(wǎng) 網(wǎng) 票 金 短 輸 求 新 視 運(yùn)圖 療 全 飲 播 線(xiàn) 流 約 礎(chǔ) 交 上 租 務(wù) 融 視 入 職 聞 頻 動(dòng)注：平均問(wèn)題數(shù)=該類(lèi)App問(wèn)題總數(shù)/該類(lèi)App總數(shù)二是地圖導(dǎo)航、醫(yī)療健康、安全管理類(lèi) App 個(gè)人信息安全問(wèn)題較突出。從業(yè)務(wù)類(lèi)別來(lái)看，地圖導(dǎo)航類(lèi) App 個(gè)人信息安全問(wèn)題數(shù)量高居首位，平均每款 App 出現(xiàn) 8.4 個(gè)問(wèn)題，醫(yī)療健康、安全管理類(lèi) App 問(wèn)題數(shù)量位列第二，平均每款 App 出現(xiàn) 8.3 個(gè)問(wèn)題。具體情況如圖 6 所示。導(dǎo)健 管 外教車(chē) 電購(gòu) 房頻 法 招 資健航康 理 賣(mài)育信物聘 訊身圖 6 分業(yè)務(wù) App 個(gè)人信息安全平均問(wèn)題數(shù)三是用戶(hù)數(shù)

21、據(jù)存儲(chǔ)、收集、共享環(huán)節(jié)安全問(wèn)題較多。檢測(cè)工作覆蓋用戶(hù)數(shù)據(jù)收集、傳輸、存儲(chǔ)、使用、共享、刪除等全生命周期關(guān)鍵環(huán)節(jié)，其中 20.7%的問(wèn)題屬于數(shù)據(jù)存儲(chǔ)環(huán)節(jié)，20.5%的問(wèn)題屬于數(shù)據(jù)收集環(huán)節(jié)，17.1%的問(wèn)題屬于數(shù)據(jù)共享環(huán)節(jié)。具體情況如圖 7 所示。數(shù)據(jù)刪除, 12.6%數(shù)據(jù)收集, 20.5%數(shù)據(jù)共享, 17.1%數(shù)據(jù)傳輸, 16.3%數(shù)據(jù)使用, 12.7%數(shù)據(jù)存儲(chǔ), 20.7%圖 7 各環(huán)節(jié)問(wèn)題占比情況基于前述檢測(cè)和研究，報(bào)告團(tuán)隊(duì)梳理出當(dāng)前主流 App 在數(shù)據(jù)安全與用戶(hù)個(gè)人信息保護(hù)方面存在的風(fēng)險(xiǎn)如下：（一） 默示征詢(xún)個(gè)人情況多，存在數(shù)據(jù)違規(guī)收集風(fēng)險(xiǎn)隱私政策是App 運(yùn)營(yíng)者告知用戶(hù)個(gè)人信息收集規(guī)則的

22、主要途徑， 是保障用戶(hù)知情權(quán)的基礎(chǔ)。運(yùn)營(yíng)者應(yīng)在用戶(hù)首次注冊(cè)、登錄 App 時(shí)以彈窗、超鏈接等明顯方式提醒用戶(hù)閱讀隱私政策，以直觀(guān)的方式告知用戶(hù)收集使用個(gè)人信息的目的、方式、范圍，使用戶(hù)充分了解其個(gè)人信息如何被收集、存儲(chǔ)、使用、傳輸、共享、銷(xiāo)毀，在知情了解的基礎(chǔ)上保護(hù)其個(gè)人信息安全。經(jīng)報(bào)告團(tuán)隊(duì)檢測(cè)發(fā)現(xiàn)，超過(guò)九成的 App 都已具備隱私政策且內(nèi)容豐富，但是其中超過(guò)半數(shù) App 在用戶(hù)首次登錄時(shí)向用戶(hù)默示隱私政策，導(dǎo)致隱私政策難以起到告知作用。63.1%的 App 通過(guò)“登錄/注冊(cè)即表示同意隱私政策”的方式強(qiáng)制用戶(hù)同意，且未提供拒絕選項(xiàng)，用戶(hù)若想繼續(xù)使用只能被動(dòng)同意隱私政策，侵犯了用戶(hù)自主選擇權(quán)；登

23、錄/注冊(cè)即表示同意隱私政策, 63.1%未在使用過(guò)程中征求用戶(hù)同意隱私政策, 16.9%默認(rèn)勾選同意隱私政策,15.4%未提供“不同意”選項(xiàng), 1.5%隱私政策默認(rèn)勾選且無(wú)法取消, 3.1%16.9%的 App 在使用過(guò)程中僅展示隱私政策但未征詢(xún)用戶(hù)同意，違背制定隱私政策的初衷；15.4%的 App 提供了是否同意隱私政策的勾選框，但存在默認(rèn)勾選問(wèn)題，在用戶(hù)不知情的情況下將風(fēng)險(xiǎn)讓渡給用戶(hù)， 企圖逃避自身責(zé)任。具體情況如圖 8 所示。圖 8 默示隱私政策各場(chǎng)景占比與運(yùn)營(yíng)者相比，用戶(hù)在使用App 時(shí)處于信息不對(duì)稱(chēng)的弱勢(shì)地位。若運(yùn)營(yíng)者以隱蔽、模糊的方式默示信息收集規(guī)則，用戶(hù)將無(wú)法知悉被收集信息的類(lèi)型

24、、數(shù)量以及個(gè)人信息的最終流向，失去對(duì)其個(gè)人信息的知情控制權(quán)，大大增加個(gè)人信息被違規(guī)收集的風(fēng)險(xiǎn)。（二） 過(guò)度索取個(gè)人權(quán)限多，存在數(shù)據(jù)惡意濫用風(fēng)險(xiǎn)權(quán)限是移動(dòng)終端操作系統(tǒng)對(duì)于 App 運(yùn)營(yíng)者收集使用用戶(hù)個(gè)人信息的限制，運(yùn)營(yíng)者可通過(guò)申請(qǐng)權(quán)限的方式獲取用戶(hù)個(gè)人信息。為保障用戶(hù)數(shù)據(jù)的安全，安卓系統(tǒng)的 App 在默認(rèn)情況下不擁有任何系統(tǒng)權(quán)限。如果 App 運(yùn)營(yíng)者因業(yè)務(wù)功能需要申請(qǐng)權(quán)限，應(yīng)當(dāng)遵循最小夠用原則，僅收集使用業(yè)務(wù)功能必需的最少類(lèi)型和數(shù)量的個(gè)人信息。App 違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理工作組于 2019 年 5 月發(fā)布的研究報(bào)告App 申請(qǐng)安卓系統(tǒng)權(quán)限機(jī)制分析與建議稱(chēng)，絕大部分 App 申請(qǐng) 10

25、 個(gè)（含）以下與收集個(gè)人信息相關(guān)的權(quán)限即可滿(mǎn)足需要。經(jīng)報(bào)告團(tuán)隊(duì)檢測(cè)發(fā)現(xiàn)，近三成的 App 申請(qǐng)的與收集個(gè)人信息相關(guān)的權(quán)限數(shù)量大于 10 個(gè)，部分金融類(lèi) App 申請(qǐng)權(quán)限多達(dá) 14-16 個(gè)，所收集的個(gè)人信息遠(yuǎn)遠(yuǎn)超出全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布的網(wǎng)絡(luò)安全實(shí)踐指南移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息范圍中規(guī)定的金融行業(yè)App 的 7 項(xiàng)必要信息，涉嫌超范圍獲取權(quán)限。檢測(cè)發(fā)現(xiàn)“寫(xiě)入外置存儲(chǔ)器”權(quán)限、“讀取電話(huà)狀態(tài)”權(quán)限被申請(qǐng)的百分比大于 85%，二者均屬于安卓系統(tǒng)中的危險(xiǎn)級(jí)別權(quán)限。擁有“寫(xiě)入外置存儲(chǔ)器”權(quán)限的移動(dòng) App 可以修改和刪除設(shè)備存儲(chǔ)卡中的數(shù)據(jù)，可能導(dǎo)致用戶(hù)設(shè)備被植入惡意程序；擁有“讀取

26、電話(huà)狀態(tài)”權(quán)限的移動(dòng)App 可以獲取設(shè)備唯一標(biāo)識(shí)信息和手機(jī)通話(huà)狀態(tài)，設(shè)備唯一標(biāo)識(shí)信息可關(guān)聯(lián)用戶(hù)的生活習(xí)慣和消費(fèi)行為，為實(shí)施精準(zhǔn)詐騙等惡意行為提供數(shù)據(jù)支持。此外，“拍攝”、“訪(fǎng)問(wèn)粗略定位”、“訪(fǎng)問(wèn)精確定位”、“讀取外置存儲(chǔ)器”、“錄音”等危險(xiǎn)權(quán)限的申請(qǐng)比例也超過(guò)七成。App 過(guò)度索權(quán)現(xiàn)象成常態(tài)，用戶(hù)缺少自主選擇權(quán)，處于要么放棄使用、要么授權(quán)的被動(dòng)地位。過(guò)度索取危險(xiǎn)權(quán)限為違規(guī)收集用戶(hù)個(gè)人信息提供了渠道，一旦這些個(gè)人信息被不法分子獲取濫用，將嚴(yán)重危害用戶(hù)權(quán)益。（三） 明文存儲(chǔ)個(gè)人信息多，存在數(shù)據(jù)非法獲取風(fēng)險(xiǎn)數(shù)據(jù)存儲(chǔ)是App 運(yùn)營(yíng)過(guò)程中的關(guān)鍵環(huán)節(jié)，也是網(wǎng)絡(luò)黑客攻擊竊取數(shù)據(jù)的切入點(diǎn)，可靠的數(shù)據(jù)存儲(chǔ)為用戶(hù)

27、個(gè)人信息的正常使用提供重要保障。App 運(yùn)營(yíng)者應(yīng)在不影響用戶(hù)終端和服務(wù)正常使用的情況下，優(yōu)先在用戶(hù)個(gè)人終端內(nèi)存儲(chǔ)所收集的個(gè)人信息，并采取加密等技術(shù)措施確保用戶(hù)數(shù)據(jù)即使泄露也難以被破解。經(jīng)報(bào)告團(tuán)隊(duì)檢測(cè)發(fā)現(xiàn)，超過(guò)九成的 App 會(huì)在用戶(hù)終端內(nèi)存儲(chǔ)運(yùn)行日志、設(shè)備信息、用戶(hù)信息等數(shù)據(jù)，但其中 25%的 App 存在明文存儲(chǔ)用戶(hù)個(gè)人信息的問(wèn)題。從明文存儲(chǔ)的個(gè)人信息類(lèi)型來(lái)看，網(wǎng)絡(luò)身份標(biāo)識(shí)信息占比 35.1%，其中主要包括個(gè)人信息主體賬號(hào)以及密碼；個(gè)人基本資料占比 38.6%，主要包括用戶(hù)手機(jī)號(hào)、郵箱、生日等信息；精確定位信息占比 15.8%，主要包括用戶(hù)所在位置的經(jīng)緯度信息。網(wǎng)絡(luò)身份標(biāo)識(shí)信息被不法分子獲取

28、后可直接竊取賬號(hào)內(nèi)的全部數(shù)據(jù)；個(gè)人基本資料和精確定位信息被非法獲取后，將成為利用人工智能挖掘分析形成用戶(hù)畫(huà)像的基礎(chǔ)數(shù)據(jù)，為“大數(shù)據(jù)殺熟”提供數(shù)據(jù)支撐，甚至為惡意欺詐行為推波助瀾。具體情況如圖 9 所示。個(gè)人基本資料,38.6%個(gè)人財(cái)產(chǎn)信息,1.8%個(gè)人身份信息, 1.8%個(gè)人健康生理信息, 1.8%個(gè)人教育工作信息,1.8%其他,10.5%個(gè)人設(shè)備信息,3.5%精確定位信息,15.8%網(wǎng)絡(luò)身份標(biāo)識(shí)信息,35.1%圖 9 本地明文存儲(chǔ)數(shù)據(jù)類(lèi)型占比運(yùn)營(yíng)者本地存儲(chǔ)用戶(hù)個(gè)人信息的行為通常在用戶(hù)不知情的情況下發(fā)生，存儲(chǔ)的數(shù)據(jù)往往是使用 App 過(guò)程中常用的重要信息。發(fā)生數(shù)據(jù)泄露事件時(shí)，若未對(duì)存儲(chǔ)的數(shù)據(jù)采

29、取加密等保護(hù)措施，用戶(hù)個(gè)人信息將直接被識(shí)別利用，降低了不法分子的犯罪難度，極大地增加了用戶(hù)數(shù)據(jù)被非法獲取利用的風(fēng)險(xiǎn)。（四） 私自共享用戶(hù)數(shù)據(jù)多，存在數(shù)據(jù)惡意散播風(fēng)險(xiǎn)私自共享是指 App 運(yùn)營(yíng)者未經(jīng)用戶(hù)同意與第三方共享用戶(hù)個(gè)人信息的行為。運(yùn)營(yíng)者應(yīng)在用戶(hù)跳轉(zhuǎn)至第三方應(yīng)用前明示用戶(hù)其個(gè)人信息是否被共享及共享后個(gè)人信息的傳播路徑，同時(shí)還應(yīng)根據(jù)共享的個(gè)人信息私密程度、安全系數(shù)的不同，為用戶(hù)提供是否同意信息共享及信息共享路徑的選擇權(quán)。經(jīng)報(bào)告團(tuán)隊(duì)檢測(cè)發(fā)現(xiàn)，四成 App 存在跳轉(zhuǎn)第三方應(yīng)用時(shí)，未提醒用戶(hù)關(guān)注第三方收集使用個(gè)人信息規(guī)則問(wèn)題。跳轉(zhuǎn)的第三方應(yīng)用以金融類(lèi)和網(wǎng)上購(gòu)物類(lèi)為主，占比均為 31%。金融類(lèi)第三方

30、應(yīng)用易受病毒感染，惡意仿冒、竊取隱私現(xiàn)象頻發(fā)，容易導(dǎo)致用戶(hù)個(gè)人敏感信息泄露，甚至造成經(jīng)濟(jì)損失；網(wǎng)上購(gòu)物類(lèi)第三方應(yīng)用存在過(guò)度使用用戶(hù)個(gè)人信息、追蹤用戶(hù)行為、惡意竊取交易信息等現(xiàn)象，由此引發(fā)的騷擾電話(huà)、推銷(xiāo)廣告等行為將嚴(yán)重干擾用戶(hù)的正常工作生活，甚至影響用戶(hù)人身和財(cái)產(chǎn)安全。具體情況如圖 10 所示。網(wǎng)上購(gòu)物, 31.0%社交, 5.2%房地產(chǎn), 5.2%票務(wù), 5.2%娛樂(lè), 5.2%配送, 3.4% 金融, 31.0%新聞資訊, 1.7%在線(xiàn)醫(yī)療, 1.7%求職招聘, 3.4%網(wǎng)約車(chē), 3.4%小程序, 3.4%圖 10 跳轉(zhuǎn)的第三方應(yīng)用類(lèi)型占比在App 使用過(guò)程中，跳轉(zhuǎn)至第三方應(yīng)用，在用戶(hù)毫不

31、知情的情況下使其個(gè)人信息被第三方獲取，將導(dǎo)致用戶(hù)無(wú)法掌握并控制個(gè)人信息的傳播路徑、使用范圍及風(fēng)險(xiǎn)系數(shù)，極大增加了用戶(hù)數(shù)據(jù)被惡意散播的風(fēng)險(xiǎn)。（五） 設(shè)置注銷(xiāo)限制條件多，存在數(shù)據(jù)過(guò)度留存風(fēng)險(xiǎn)賬號(hào)注銷(xiāo)功能是用戶(hù)自主注銷(xiāo)權(quán)的重要保障，也是民眾關(guān)注的熱點(diǎn)，中國(guó)青年報(bào)社調(diào)查數(shù)據(jù)顯示，80.2%的受訪(fǎng)者存在注銷(xiāo) App 賬號(hào)的意愿和需求11。電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護(hù)規(guī)定、信息安全技術(shù) 個(gè)人信息安全規(guī)范等制度標(biāo)準(zhǔn)中明確要求運(yùn)營(yíng)者提供注銷(xiāo)賬戶(hù)功能。App 運(yùn)營(yíng)者應(yīng)在積極為新用戶(hù)推廣業(yè)務(wù)的同時(shí)，為老用戶(hù)提供終止業(yè)務(wù)的便捷途徑，避免“注冊(cè)容易注銷(xiāo)難”的現(xiàn)象發(fā)生。經(jīng)報(bào)告團(tuán)隊(duì)檢測(cè)發(fā)現(xiàn)，20.5%的 App 未提供注

32、銷(xiāo)功能。App 賬號(hào)常與用戶(hù)銀行卡、身份證等敏感信息相關(guān)聯(lián)，若賬號(hào)無(wú)法注銷(xiāo)將導(dǎo)致用戶(hù)個(gè)人敏感信息長(zhǎng)期被運(yùn)營(yíng)者留存，增大數(shù)據(jù)泄露風(fēng)險(xiǎn)。26.9%的App 雖然提供了注銷(xiāo)功能，但注銷(xiāo)耗時(shí)長(zhǎng)、流程繁瑣，還需比注冊(cè)時(shí)多提交額外非必要的個(gè)人敏感信息，如用戶(hù)真實(shí)姓名、住址、郵箱、身份證照片等，且 App 運(yùn)營(yíng)者并未明確額外信息在注銷(xiāo)后是否會(huì)刪除。相比簡(jiǎn)單的注冊(cè)流程，為用戶(hù)注銷(xiāo)賬號(hào)設(shè)置了大量不合理?xiàng)l件， 阻礙用戶(hù)行使注銷(xiāo)權(quán)。用戶(hù)量是App 商業(yè)價(jià)值的重要衡量標(biāo)準(zhǔn)，但由此導(dǎo)致的 App 運(yùn)營(yíng)者為提升其市場(chǎng)競(jìng)爭(zhēng)力而限制用戶(hù)注銷(xiāo)賬戶(hù)的行為，侵犯了用戶(hù)的選擇權(quán)、隱私權(quán)和平等交易權(quán)等權(quán)益。無(wú)法注銷(xiāo)賬戶(hù)或者為完成注銷(xiāo)流

33、程需要用戶(hù)額外提交個(gè)人信息的行為，均存在數(shù)據(jù)過(guò)度留存風(fēng)險(xiǎn)。三、 國(guó)內(nèi)外移動(dòng)應(yīng)用（App）數(shù)據(jù)安全管理現(xiàn)狀（一） 國(guó)外移動(dòng)應(yīng)用數(shù)據(jù)安全管理現(xiàn)狀移動(dòng)互聯(lián)網(wǎng)應(yīng)用服務(wù)領(lǐng)域的安全問(wèn)題已經(jīng)成為了國(guó)際社會(huì)面臨的重大挑戰(zhàn)。歐美等移動(dòng)互聯(lián)網(wǎng)發(fā)展較早的國(guó)家，在移動(dòng)互聯(lián)網(wǎng)安全制度構(gòu)建方面也較為領(lǐng)先，已從制度構(gòu)建階段步入到深化拓展階段。11 中國(guó)青年報(bào)，75.9%受訪(fǎng)者遭遇過(guò) App 賬號(hào)注銷(xiāo)難整體來(lái)看，歐美等主要國(guó)家均通過(guò)基礎(chǔ)性立法、針對(duì)性指導(dǎo)文件、安全審查、行業(yè)自律等綜合性舉措，以個(gè)人隱私保護(hù)為重點(diǎn)，逐漸加強(qiáng)對(duì)App 的治理和指引。1、管理制度：完備的基礎(chǔ)性數(shù)據(jù)安全立法奠定監(jiān)管基礎(chǔ)一是世界主要國(guó)家和地區(qū)以個(gè)人信息

34、保護(hù)為切入點(diǎn)，抓緊出臺(tái)和完善數(shù)據(jù)安全基礎(chǔ)性和行業(yè)性法律。截至 2018 年年底，全球近 120 個(gè)國(guó)家和獨(dú)立的司法管轄區(qū)已采用全面的數(shù)據(jù)保護(hù)或隱私法律來(lái)保護(hù)個(gè)人數(shù)據(jù)。現(xiàn)有法律法規(guī)主要是一般性規(guī)定，其中對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的數(shù)據(jù)安全保護(hù)義務(wù)和責(zé)任同樣適用于App 服務(wù)提供者。如歐盟一般數(shù)據(jù)保護(hù)條例（GDPR），英國(guó)數(shù)據(jù)保護(hù)法案（Data Protection Act）、瑞典瑞典數(shù)據(jù)法案（Swedish Data Act）、愛(ài)爾蘭2018 數(shù)據(jù)保護(hù)法案、美國(guó)加利福尼亞州頒布加州消費(fèi)者隱私保護(hù)法案（CCPA） 等，都圍繞個(gè)人數(shù)據(jù)的收集、使用、保存、分享、轉(zhuǎn)移等，對(duì)數(shù)據(jù)控制者和處理者、數(shù)據(jù)主體的權(quán)利義務(wù)進(jìn)行了

35、全面規(guī)定。二是在移動(dòng)互聯(lián)網(wǎng)應(yīng)用安全專(zhuān)門(mén)法規(guī)方面，美國(guó)也有一些成功探索。2016 年美國(guó)發(fā)布應(yīng)用程序隱私保護(hù)和安全法案，這是第一部全國(guó)性的專(zhuān)門(mén)規(guī)范App 收集使用用戶(hù)隱私信息的法案，試圖實(shí)現(xiàn)用戶(hù)隱私保護(hù)與App 功能正常之間的動(dòng)態(tài)平衡。法案的內(nèi)容并沒(méi)有新穎之處，但是它將專(zhuān)門(mén)針對(duì) App 的個(gè)人信息保護(hù)原則上升到法律的高度， 且明確一個(gè)強(qiáng)有力的執(zhí)行機(jī)構(gòu)，能夠使該法案的相關(guān)規(guī)定得到切實(shí)執(zhí)行。三是通過(guò)高壓執(zhí)法、強(qiáng)力處罰推動(dòng)企業(yè)落實(shí)法律法規(guī)要求。美、歐等國(guó)保護(hù)消費(fèi)者隱私和個(gè)人信息最主要的手段就是采取強(qiáng)制執(zhí)法措施來(lái)制止違法行為，并要求企業(yè)采取積極整改措施。美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）已建立兩年一次的獨(dú)立專(zhuān)

36、家評(píng)估制度，并針對(duì)一系列移動(dòng)互聯(lián)網(wǎng)應(yīng)用隱私問(wèn)題開(kāi)展執(zhí)法行動(dòng)，通過(guò)高罰款、禁止銷(xiāo)售運(yùn)營(yíng)等強(qiáng)力處罰手段，震懾移動(dòng)應(yīng)用提供者。2019 年 7 月，F(xiàn)TC 認(rèn)為Facebook 多次使用欺騙性的披露和設(shè)置來(lái)破壞用戶(hù)的隱私偏好，且對(duì)違反其平臺(tái)政策的第三方應(yīng)用程序采取的措施不足，對(duì)其處以 50 億美元罰款。2019 年 10 月，F(xiàn)TC 認(rèn)為三款 App 未經(jīng)移動(dòng)設(shè)備用戶(hù)的知情或同意，監(jiān)控 App 使用者的移動(dòng)設(shè)備地理位置，損害了消費(fèi)者的隱私權(quán)以及移動(dòng)設(shè)備的安全性，現(xiàn)已禁止其繼續(xù)推廣和銷(xiāo)售。2、管理思路：重視產(chǎn)業(yè)鏈各環(huán)節(jié)主體的責(zé)任落實(shí)和協(xié)作針對(duì)App 的獨(dú)特性，加拿大、美國(guó)、歐盟等國(guó)家和地區(qū)紛紛發(fā)布Ap

37、p 個(gè)人隱私保護(hù)的指導(dǎo)意見(jiàn)，對(duì) App 產(chǎn)業(yè)鏈上的開(kāi)發(fā)者、應(yīng)用商店、終端制造商等相關(guān)主體提出細(xì)化要求。一是在移動(dòng)應(yīng)用開(kāi)發(fā)設(shè)計(jì)環(huán)節(jié)即納入隱私保護(hù)要求。2012 年 10 月，加拿大隱私專(zhuān)員辦公室發(fā)布移動(dòng) App 開(kāi)發(fā)隱私指南，該指南指出開(kāi)發(fā)者在App 設(shè)計(jì)和開(kāi)發(fā)過(guò)程中，應(yīng)如何加強(qiáng)個(gè)人隱私數(shù)據(jù)安全保障。2014 年 9 月澳大利亞信息專(zhuān)員辦公室（OAIC）制定移動(dòng)隱私：面向移動(dòng)應(yīng)用開(kāi)發(fā)者的更好的實(shí)踐指南，要求 App 開(kāi)發(fā)公司設(shè)置隱私事項(xiàng)專(zhuān)員，在應(yīng)用的規(guī)劃設(shè)計(jì)階段應(yīng)進(jìn)行隱私影響評(píng)估（PIA），并需要有適當(dāng)?shù)目刂拼胧ɡ绾贤_保第三方應(yīng)用合法合規(guī)處理個(gè)人信息。二是對(duì)于智能終端預(yù)置應(yīng)用數(shù)據(jù)安全性

38、提出監(jiān)管要求。2013 年美國(guó)加利福尼亞州司法部長(zhǎng)發(fā)布手機(jī) App 隱私保護(hù)規(guī)范，要求操作系統(tǒng)開(kāi)發(fā)商提供全球性的隱私設(shè)置，使手機(jī)用戶(hù)能夠控制訪(fǎng)問(wèn) App 的數(shù)據(jù)和硬件配置特征，并向 App 開(kāi)發(fā)商提供工具，使其能夠綜合評(píng)價(jià)隱私信息的收集、使用和傳輸情況。韓國(guó)未來(lái)創(chuàng)造部于 2014 年 1 月發(fā)布關(guān)于智能手機(jī)預(yù)置應(yīng)用準(zhǔn)則，該準(zhǔn)則規(guī)定上市的智能手機(jī)應(yīng)保證用戶(hù)對(duì)于預(yù)置應(yīng)用的選擇權(quán)以及向用戶(hù)公開(kāi)預(yù)置應(yīng)用的相關(guān)信息。三是推動(dòng)移動(dòng)應(yīng)用商店加強(qiáng)應(yīng)用上架前數(shù)據(jù)安全審核管理。美國(guó)手機(jī)App 隱私保護(hù)規(guī)范中明確要求 App 分發(fā)平臺(tái)建立健全審核機(jī)制以及投訴舉報(bào)制度。蘋(píng)果應(yīng)用程序商店（App Store）隨著 iO

39、S 版本更新和終端類(lèi)型的增加，持續(xù)完善事前審核規(guī)則，實(shí)行對(duì)開(kāi)發(fā)者資質(zhì)和App 安全性的雙重審核，且審核內(nèi)容逐步擴(kuò)大，包括程序中是否使用非公開(kāi)API、是否安裝或運(yùn)行其他可執(zhí)行代碼、是否隱蔽調(diào)用位置信息及傳輸用戶(hù)相關(guān)數(shù)據(jù)等。3、管理方式：行業(yè)組織多管齊下引導(dǎo)行業(yè)自律成共識(shí)各國(guó)在監(jiān)管實(shí)踐中均重視多方治理，通過(guò)“政府主導(dǎo)+行業(yè)自律” 混合模式，充分發(fā)揮行業(yè)協(xié)會(huì)、第三方機(jī)構(gòu)和社會(huì)公眾的作用。目前典型的做法主要有以下幾種：一是通過(guò)制定標(biāo)準(zhǔn)指導(dǎo)企業(yè)開(kāi)展自評(píng)估。2014 年，美國(guó)國(guó)家信息安全保障合作組織（NIAP）和美國(guó)標(biāo)準(zhǔn)與技術(shù)研究院（NIST）分別制定移動(dòng)互聯(lián)網(wǎng)相關(guān)保護(hù)輪廓和移動(dòng)應(yīng)用安全審查，為各行各業(yè)(

40、包括醫(yī)療保健)明確了移動(dòng)應(yīng)用隱私風(fēng)險(xiǎn)等安全評(píng)估審查方法和 流程。評(píng)估審查主要包括應(yīng)用測(cè)試和應(yīng)用批準(zhǔn)/拒絕兩個(gè)步驟：應(yīng)用 測(cè)試是指利用自動(dòng)化工具和人員測(cè)試軟件漏洞，形成漏洞報(bào)告和風(fēng)險(xiǎn) 評(píng)估；應(yīng)用批準(zhǔn)/拒絕是指根據(jù)評(píng)估報(bào)告決定該應(yīng)用軟件是否可用于 移動(dòng)設(shè)備。其他國(guó)家也同樣制定了類(lèi)似移動(dòng)應(yīng)用安全審查驗(yàn)證的標(biāo)準(zhǔn)， 比如歐洲網(wǎng)絡(luò)與信息安全局（ENISA）發(fā)布的智能手機(jī)開(kāi)發(fā)者安全 開(kāi)發(fā)指引、日本智能終端安全社（JSSEC）發(fā)布的Android 應(yīng)用安全設(shè)計(jì)/安全代碼指導(dǎo)。二是通過(guò)認(rèn)證或資金獎(jiǎng)勵(lì)鼓勵(lì)企業(yè)加強(qiáng)數(shù)據(jù)保護(hù)。美國(guó)建立網(wǎng)絡(luò)隱私認(rèn)證計(jì)劃，通過(guò)權(quán)威的第三方機(jī)構(gòu)對(duì)遵守信息收集規(guī)則并服從監(jiān)督管理的企業(yè)頒發(fā)認(rèn)證

41、標(biāo)志，如果企業(yè)違反相關(guān)規(guī)定侵害用戶(hù)隱私， 將被取消認(rèn)證，以此督促企業(yè)加強(qiáng)對(duì)個(gè)人信息的保護(hù)。美國(guó)國(guó)內(nèi)存在多個(gè)網(wǎng)絡(luò)隱私認(rèn)證組織,其中最有名的是加州個(gè)人隱私認(rèn)證機(jī)構(gòu)“TRUSTe”，目前已為雅虎、微軟、蘋(píng)果等 3500 多家企業(yè)網(wǎng)站及 App提供認(rèn)證。美國(guó)健康信息技術(shù)全國(guó)協(xié)調(diào)員辦公室（ONC）還用資金獎(jiǎng)勵(lì)的方式鼓勵(lì)企業(yè)對(duì)數(shù)據(jù)保密性進(jìn)行防護(hù)。比如，為了達(dá)到 ONC 的數(shù)據(jù)認(rèn)證要求并滿(mǎn)足特定的政府補(bǔ)助規(guī)定，醫(yī)療設(shè)備制造商必須證明自己能夠充分適當(dāng)?shù)靥幚碛脩?hù)隱私數(shù)據(jù)。二是為用戶(hù)提供技術(shù)軟件保護(hù)用戶(hù)個(gè)人信息。英國(guó)為用戶(hù)提供先進(jìn)的個(gè)人信息保護(hù)軟件，讓用戶(hù)掌握保護(hù)個(gè)人隱私的主動(dòng)權(quán)。當(dāng)App 需要收集用戶(hù)隱私時(shí)，該

42、技術(shù)保護(hù)軟件就會(huì)主動(dòng)提示用戶(hù)并識(shí)別即將收集的個(gè)人信息類(lèi)型和內(nèi)容。用戶(hù)可評(píng)估被收集信息的敏感程度以及泄露后果的風(fēng)險(xiǎn)，自行決定是否繼續(xù)使用該 App 的服務(wù)。同時(shí)，該技術(shù)軟件還提供設(shè)定權(quán)限的功能，即允許設(shè)置哪些隱私可被收集，以及絕不允許哪些隱私被收集。三是發(fā)布指引引導(dǎo)企業(yè)自律，提高用戶(hù)保護(hù)意識(shí)。2013 年美國(guó)電信和信息管理局（NTIA）發(fā)布關(guān)于移動(dòng) App 行為準(zhǔn)則的倡議，要求 App 收集和使用用戶(hù)數(shù)據(jù)必須向用戶(hù)明示，以增強(qiáng) App 的透明性。2013 年美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）發(fā)布報(bào)告手機(jī)隱私披露:通過(guò)透明度建立信任，對(duì) App 產(chǎn)業(yè)鏈各主體提出相應(yīng)建議，并提出行業(yè)協(xié)會(huì)應(yīng)促進(jìn)App 隱私

43、保護(hù)政策統(tǒng)一和標(biāo)準(zhǔn)化，并制定標(biāo)準(zhǔn)化圖標(biāo)插入在App 程序內(nèi)部，通過(guò)該圖標(biāo)用戶(hù)可以了解隱私政策和保護(hù)實(shí)踐。美國(guó)健康信息技術(shù)全國(guó)協(xié)調(diào)員辦公室（ONC）針對(duì)消費(fèi)者和設(shè)備制造商發(fā)布了一系列用于移動(dòng)健康數(shù)據(jù)保密的資源，包括為移動(dòng)健康應(yīng)用設(shè)備使用者準(zhǔn)備的安裝指南，為消費(fèi)者準(zhǔn)備的數(shù)據(jù)管理軟件和為開(kāi)發(fā)者準(zhǔn)備的新款升級(jí)更新。（二） 國(guó)內(nèi)移動(dòng)應(yīng)用數(shù)據(jù)安全管理現(xiàn)狀數(shù)字經(jīng)濟(jì)時(shí)代，以 App 安全為代表的數(shù)據(jù)安全關(guān)系到個(gè)體層面的隱私保護(hù)，產(chǎn)業(yè)層面的科技競(jìng)爭(zhēng)、創(chuàng)新和發(fā)展，以及國(guó)家層面的數(shù)據(jù)安全和全球數(shù)字競(jìng)爭(zhēng)力。我國(guó)高度重視 App 數(shù)據(jù)安全，已形成以個(gè)人信息保護(hù)為核心的法律制度框架，各監(jiān)管部門(mén)基于自身職能，以專(zhuān)項(xiàng)行動(dòng)為牽

44、引，著力開(kāi)展 App 數(shù)據(jù)安全管理實(shí)踐，對(duì)企業(yè)監(jiān)督執(zhí)法力度持續(xù)加強(qiáng)。1、基本建立 App 數(shù)據(jù)安全和個(gè)人信息保護(hù)制度體系一是我國(guó)已形成以法律為統(tǒng)領(lǐng)，行政法規(guī)、部門(mén)規(guī)章為支撐的多層級(jí)規(guī)范體系，適用于包括 App 在內(nèi)的所有網(wǎng)絡(luò)運(yùn)營(yíng)者。在法律層面， 我國(guó)有關(guān)個(gè)人信息的保護(hù)要求均納入刑事、民事、行政三大部門(mén)法之中。網(wǎng)絡(luò)安全法以網(wǎng)絡(luò)空間基本法的形式進(jìn)一步明確了我國(guó)個(gè)人信息保護(hù)的基本原則和框架，強(qiáng)化網(wǎng)絡(luò)運(yùn)營(yíng)者的保護(hù)義務(wù)與責(zé)任。在法規(guī)制度層面，相關(guān)部門(mén)積極制定細(xì)化的規(guī)章配合法律落地實(shí)施。工信部專(zhuān)門(mén)制定電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護(hù)規(guī)定，明確細(xì)化了行業(yè)內(nèi)電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息的保護(hù)范圍、用戶(hù)個(gè)人信息收集和使

45、用原則和規(guī)則、安全保障措施、監(jiān)督檢查制度等內(nèi)容。網(wǎng)信辦今年 5 月發(fā)布數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿），辦法中明令禁止 App 強(qiáng)迫授權(quán)或默認(rèn)勾選，要求 App 運(yùn)營(yíng)者保障用戶(hù)注銷(xiāo)賬號(hào)和刪除個(gè)人信息的權(quán)利，對(duì)接入 App 的第三方應(yīng)用應(yīng)加強(qiáng)數(shù)據(jù)安全管理。二是相關(guān)部門(mén)陸續(xù)加強(qiáng) App 專(zhuān)項(xiàng)管理政策制定。網(wǎng)信辦 2016 年6 月發(fā)布移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定，明確要求移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序提供者應(yīng)當(dāng)建立健全用戶(hù)信息安全保護(hù)機(jī)制，未向用戶(hù)明示并經(jīng)用戶(hù)同意，不得開(kāi)啟收集地理位置、讀取通訊錄、使用攝像頭、啟用錄音等功能，不得開(kāi)啟與服務(wù)無(wú)關(guān)的功能，不得捆綁安裝無(wú)關(guān)應(yīng)用程序?；ヂ?lián)網(wǎng)應(yīng)用商店服務(wù)提供者應(yīng)當(dāng)

46、對(duì)應(yīng)用程序提供者履行四項(xiàng)管理責(zé)任。工信部 2016 年 12 月發(fā)布移動(dòng)智能終端應(yīng)用軟件預(yù)置和分發(fā)管理暫行規(guī)定，重點(diǎn)對(duì)移動(dòng)智能終端應(yīng)用軟件預(yù)置行為， 以及互聯(lián)網(wǎng)信息服務(wù)提供者提供的移動(dòng)智能終端應(yīng)用軟件分發(fā)服務(wù)進(jìn)行規(guī)范。今年 9 月，教育部等八部門(mén)聯(lián)合發(fā)布關(guān)于引導(dǎo)規(guī)范教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用有序健康發(fā)展的意見(jiàn)，要求教育 App 提供者建立覆蓋個(gè)人信息收集、儲(chǔ)存、傳輸、使用等環(huán)節(jié)的數(shù)據(jù)保障機(jī)制，收集使用未成年人信息應(yīng)當(dāng)取得監(jiān)護(hù)人同意、授權(quán)，不得變相強(qiáng)迫用戶(hù)授權(quán)和過(guò)度收集個(gè)人信息。2、加快完善 App 數(shù)據(jù)安全和個(gè)人信息保護(hù)配套標(biāo)準(zhǔn)一是制定多項(xiàng)安全保護(hù)技術(shù)標(biāo)準(zhǔn)，作為法律法規(guī)的重要補(bǔ)充和配套。在國(guó)家標(biāo)準(zhǔn)層面

47、，我國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）下已有 22 項(xiàng)數(shù)據(jù)安全國(guó)家標(biāo)準(zhǔn)項(xiàng)目，涵蓋安全要求（7 項(xiàng)）、實(shí)施指南（8 項(xiàng)）、監(jiān)測(cè)評(píng)估（4 項(xiàng)）、基礎(chǔ)框架（3 項(xiàng)）等四大類(lèi)別。其中國(guó)家推薦性標(biāo)準(zhǔn)信息安全技術(shù)：個(gè)人信息安全規(guī)范已于 2018 年 5 月1 日正式實(shí)施，對(duì)個(gè)人信息收集、保存、使用、流轉(zhuǎn)等環(huán)節(jié)提出要求， 填補(bǔ)了國(guó)內(nèi)個(gè)人信息保護(hù)在實(shí)踐標(biāo)準(zhǔn)上的空白。在行業(yè)標(biāo)準(zhǔn)層面，中 國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）TC8 和 TC11 已陸續(xù)發(fā)布實(shí)施移動(dòng)互聯(lián)網(wǎng)聯(lián)網(wǎng)應(yīng)用安全防護(hù)要求、移動(dòng)互聯(lián)網(wǎng)應(yīng)用商店安全防護(hù)要求、移 動(dòng)應(yīng)用軟件安全評(píng)估方法等標(biāo)準(zhǔn)，涵蓋訪(fǎng)問(wèn)控制、加密存儲(chǔ)等部分 數(shù)據(jù)安全保護(hù)要求。CCSA T

48、C543“用戶(hù)個(gè)人信息保護(hù)標(biāo)準(zhǔn)工作組”發(fā)布電信和互聯(lián)網(wǎng)服務(wù)用戶(hù)個(gè)人信息保護(hù)定義及分類(lèi)、電信和互聯(lián) 網(wǎng)服務(wù) 用戶(hù)個(gè)人信息保護(hù)技術(shù)要求 移動(dòng)應(yīng)用商店等系列行業(yè)標(biāo)準(zhǔn)， 明確App 用戶(hù)個(gè)人信息保護(hù)技術(shù)要求。此外，2019 年，CCSA TC8 下成立“數(shù)據(jù)安全標(biāo)準(zhǔn)特設(shè)項(xiàng)目組”，重點(diǎn)推進(jìn)數(shù)據(jù)安全行業(yè)標(biāo)準(zhǔn)的研 制工作。二是聚焦個(gè)人信息保護(hù)，App 數(shù)據(jù)安全標(biāo)準(zhǔn)起草制定工作進(jìn)入快車(chē)道。2019 年 5 月發(fā)布的信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求中首次提出了 App 等級(jí)保護(hù)要求。2019 年 6 月發(fā)布的移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范，針對(duì)地圖導(dǎo)航、網(wǎng)絡(luò)約車(chē)、即時(shí)通訊社交、網(wǎng)絡(luò)支付、新聞資訊、網(wǎng)

49、上購(gòu)物、短視頻等 16 類(lèi)常用App 的基本業(yè)務(wù)功能，清晰界定了保障其正常運(yùn)行的必要個(gè)人信息范圍，為其收集個(gè)人信息提供實(shí)踐指引。2019 年 8 月發(fā)布的信息安全技術(shù)技術(shù) 移動(dòng)互聯(lián)網(wǎng)應(yīng)用（App）收集個(gè)人信息基本規(guī)范（草案），針對(duì)App 收集個(gè)人信息方面提出了更加細(xì)化的管理和技術(shù)要求。相關(guān)標(biāo)準(zhǔn)文件的出臺(tái)，規(guī)范了 App 收集、使用、存儲(chǔ)、傳輸、銷(xiāo)毀個(gè)人信息等數(shù)據(jù)的各類(lèi)行為，也為相關(guān)機(jī)構(gòu)提供了評(píng)估標(biāo)準(zhǔn)和依據(jù)。3、持續(xù)強(qiáng)化 App 個(gè)人信息保護(hù)監(jiān)督執(zhí)法力度一是指導(dǎo)行業(yè)機(jī)構(gòu)開(kāi)展網(wǎng)絡(luò)產(chǎn)品和服務(wù)隱私條款專(zhuān)項(xiàng)評(píng)審工作。2017 年，中央網(wǎng)信辦與工信部等三部委聯(lián)合開(kāi)展個(gè)人信息保護(hù)提升行動(dòng)之隱私條款專(zhuān)項(xiàng)工作，

50、指導(dǎo)相關(guān)行業(yè)機(jī)構(gòu)對(duì)微信、微博、淘寶、京東商城、支付寶、高德地圖等十余款網(wǎng)絡(luò)產(chǎn)品和服務(wù)的隱私條款進(jìn)行評(píng)審。通過(guò)評(píng)審和宣傳形成社會(huì)示范效應(yīng)，帶動(dòng)行業(yè)整體個(gè)人信息保護(hù)水平的提升。從評(píng)審結(jié)果來(lái)看，十款產(chǎn)品在隱私政策方面均有不同程度提升，做到了明示收集、使用個(gè)人信息的規(guī)則，并征求用戶(hù)明確授權(quán)，其中個(gè)別產(chǎn)品還做到了向用戶(hù)主動(dòng)明示并提供更多選擇權(quán)。二是四部委聯(lián)合開(kāi)展 App 違法違規(guī)收集使用個(gè)人信息治理專(zhuān)項(xiàng)行動(dòng)。2019 年 1 月，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局四部門(mén)組織開(kāi)展 App 違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理。目前專(zhuān)項(xiàng)治理工作取得了階段性成效，通過(guò)對(duì)百余款用戶(hù)投訴量大、社會(huì)關(guān)注度

51、高的App 進(jìn)行檢查評(píng)估，發(fā)現(xiàn)存在強(qiáng)制授權(quán)、過(guò)度索權(quán)、未經(jīng)同意收集個(gè)人信息和對(duì)外提供個(gè)人信息等典型問(wèn)題，并督促企業(yè)及時(shí)整改。App 專(zhuān)項(xiàng)治理工作組陸續(xù)發(fā)布App 違法違規(guī)收集使用個(gè)人信息自評(píng)估指南、App 違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法（征求意見(jiàn)稿），為 App 運(yùn)營(yíng)者提供自查自糾提供參考。三是相關(guān)部門(mén)依法履職開(kāi)展各類(lèi)專(zhuān)項(xiàng)行動(dòng)，強(qiáng)化重點(diǎn)問(wèn)題整治。2019 年 7 月，工信部印發(fā)電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)能力專(zhuān)項(xiàng)行動(dòng)方案，重點(diǎn)任務(wù)之一就是組織第三方評(píng)測(cè)機(jī)構(gòu)開(kāi)展App 數(shù)據(jù)安全風(fēng)險(xiǎn)滾動(dòng)式評(píng)測(cè)，對(duì)在網(wǎng)絡(luò)數(shù)據(jù)安全和用戶(hù)信息保護(hù)方面存在違法違規(guī)行為的App 及時(shí)進(jìn)行下架和公開(kāi)曝光。201

52、9 年10 月， 工信部結(jié)合 2019 年信息通信行業(yè)行風(fēng)建設(shè)暨糾風(fēng)工作安排，開(kāi)展為期兩個(gè)月的App 侵害用戶(hù)權(quán)益專(zhuān)項(xiàng)整治工作，重點(diǎn)對(duì)用戶(hù)關(guān)心的違規(guī)收集和使用用戶(hù)個(gè)人信息、不合理索取用戶(hù)權(quán)限、為用戶(hù)賬號(hào)注銷(xiāo)設(shè)置障礙等八類(lèi)問(wèn)題進(jìn)行監(jiān)督檢查和規(guī)范整治。公安部組織開(kāi)展“凈網(wǎng)2019”專(zhuān)項(xiàng)行動(dòng)，組織開(kāi)展 App 違法違規(guī)采集個(gè)人信息集中整治，已依法查處違法違規(guī)采集個(gè)人信息的App 共 683 款。4、積極探索 App 個(gè)人信息保護(hù)多方共治模式一是鼓勵(lì)企業(yè)開(kāi)展自愿性 App 個(gè)人信息安全認(rèn)證工作。2019 年 3 月，中央網(wǎng)信辦、市場(chǎng)監(jiān)管總局正式發(fā)布移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App） 安全認(rèn)證實(shí)施規(guī)則，明確認(rèn)

53、證依據(jù)、認(rèn)證模式、認(rèn)證流程、認(rèn)證規(guī)則、時(shí)限等要求。認(rèn)證需按照 App 運(yùn)營(yíng)商自愿申請(qǐng)的原則，由具備資質(zhì)的認(rèn)證機(jī)構(gòu)依據(jù)相關(guān)國(guó)家標(biāo)準(zhǔn)對(duì)App 收集、存儲(chǔ)、傳輸、處理、使用個(gè)人信息等活動(dòng)進(jìn)行評(píng)估，符合要求后頒發(fā)安全認(rèn)證證書(shū)并允許認(rèn)證標(biāo)識(shí)。通過(guò)鼓勵(lì)搜索引擎和應(yīng)用商店優(yōu)先推薦獲證 App 等方式，引導(dǎo)消費(fèi)者選用安全的 App 產(chǎn)品，提升個(gè)人信息保護(hù)意識(shí)和能力。二是第三方機(jī)構(gòu)、安全企業(yè)探索 App 檢測(cè)評(píng)估服務(wù)。中國(guó)信息通信研究院等單位積極開(kāi)展 App 數(shù)據(jù)安全與個(gè)人信息保護(hù)檢測(cè)能力建設(shè)。中國(guó)信息通信研究院已建設(shè)移動(dòng)應(yīng)用程序監(jiān)測(cè)平臺(tái)，實(shí)現(xiàn)應(yīng)用商店及 App 市場(chǎng)發(fā)展和接入情況監(jiān)測(cè)、數(shù)據(jù)安全和誘騙欺詐風(fēng)險(xiǎn)檢

54、測(cè)， 強(qiáng)化對(duì)應(yīng)用商店及App 巡查監(jiān)測(cè)能力，為行業(yè)主管部門(mén)開(kāi)展 App 數(shù)據(jù)安全監(jiān)管提供技術(shù)支撐。部分安全服務(wù)企業(yè)也建立 App 測(cè)試平臺(tái)，通過(guò)靜態(tài)檢測(cè)、動(dòng)態(tài)檢測(cè)、源碼掃描等技術(shù)，為企業(yè)提供本地?cái)?shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸、加密安全、第三方SDK 等方面的安全檢測(cè)服務(wù)。三是重點(diǎn)地區(qū)和業(yè)務(wù)領(lǐng)域發(fā)布 App 行業(yè)自律公約。2014 年，為規(guī)范App 發(fā)布虛假信息、竊取用戶(hù)隱私、非法營(yíng)銷(xiāo)等行為，促進(jìn)行業(yè)健康有序發(fā)展，北京市互聯(lián)網(wǎng)協(xié)會(huì)組織新浪、網(wǎng)易、搜狗、今日頭條等 50 余家互聯(lián)網(wǎng)企業(yè)簽署北京市移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序公眾信息服務(wù)自律公約，這是國(guó)內(nèi)首個(gè)移動(dòng)互聯(lián)網(wǎng)應(yīng)用行業(yè)自律公約。2019 年， 一起教育科技、科大訊

55、飛、極課大數(shù)據(jù)、思駿科技等企業(yè)共同簽署學(xué)習(xí)類(lèi)App 行業(yè)自律倡議，在內(nèi)容審核、商業(yè)模式、學(xué)生信息安全等方面明確了行業(yè)準(zhǔn)則，承諾不斷提升技術(shù)防護(hù)能力，及時(shí)總結(jié)推廣成功經(jīng)驗(yàn)，逐步建立學(xué)習(xí)類(lèi) App 使用管理的長(zhǎng)效機(jī)制。四、 移動(dòng)應(yīng)用（App）數(shù)據(jù)安全治理建議面對(duì)當(dāng)前 App 數(shù)據(jù)安全治理的嚴(yán)峻形勢(shì)和用戶(hù)個(gè)人信息保護(hù)的強(qiáng)烈需求，我國(guó)需要從實(shí)際出發(fā)，不斷完善標(biāo)準(zhǔn)指引，積極研發(fā)安全技術(shù)，政府、企業(yè)、行業(yè)組織等多方協(xié)同，多管齊下，持續(xù)完善以法律法規(guī)為準(zhǔn)繩、制度指引為方向、監(jiān)管機(jī)制為保障、技術(shù)手段為依托、標(biāo)準(zhǔn)評(píng)估為支撐的全方位 App 數(shù)據(jù)安全治理體系。（一） 政府層面，加快完善數(shù)據(jù)安全監(jiān)管體系一是完善Ap

56、p 數(shù)據(jù)安全和個(gè)人信息保護(hù)制度建設(shè)。加快推動(dòng)數(shù)據(jù)安全法、個(gè)人信息保護(hù)法等相關(guān)法律出臺(tái)，通過(guò)立法進(jìn)一步細(xì)化包含App 運(yùn)營(yíng)者在內(nèi)的企業(yè)收集使用用戶(hù)個(gè)人信息的規(guī)范。持續(xù)推進(jìn)App 數(shù)據(jù)安全和個(gè)人信息保護(hù)相關(guān)標(biāo)準(zhǔn)研制，聚焦工業(yè) App 等新型應(yīng)用和問(wèn)題集中的位置導(dǎo)航、外賣(mài)等重點(diǎn)應(yīng)用，結(jié)合業(yè)務(wù)屬性和應(yīng)用特點(diǎn)，制定數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)和配套的檢測(cè)標(biāo)準(zhǔn)。二是強(qiáng)化跨部門(mén)App 數(shù)據(jù)安全聯(lián)動(dòng)管理。在前期 App 個(gè)人信息專(zhuān)項(xiàng)治理工作基礎(chǔ)上，完善行業(yè)分管、協(xié)同聯(lián)動(dòng)的管理模式，對(duì)于各行業(yè)內(nèi) App 數(shù)據(jù)安全保護(hù)工作由行業(yè)主管部門(mén)負(fù)責(zé)牽頭實(shí)施，對(duì)于融合領(lǐng)域 App 數(shù)據(jù)安全保護(hù)工作要加強(qiáng)檢測(cè)實(shí)施、通報(bào)處置等環(huán)節(jié)的溝通協(xié)

57、同。三是建立 App 數(shù)據(jù)安全長(zhǎng)效監(jiān)管機(jī)制。建立 App 數(shù)據(jù)安全檢測(cè)和通報(bào)常態(tài)化機(jī)制，及時(shí)發(fā)現(xiàn)安全隱患，督促整改。進(jìn)一步擴(kuò)大監(jiān)督檢查范圍，定期開(kāi)展針對(duì)重點(diǎn)移動(dòng)應(yīng)用商店和智能終端企業(yè)的監(jiān)督檢查，以查促管，督促企業(yè)落實(shí)平臺(tái)審核責(zé)任?；陔[患整改和投訴舉報(bào)信息，建立信用監(jiān)管機(jī)制，對(duì)存在不良信用記錄的App 重點(diǎn)監(jiān)管。（二） 政府層面，創(chuàng)新數(shù)據(jù)安全防護(hù)技術(shù)手段一是鼓勵(lì)企業(yè)開(kāi)放普惠行業(yè)的 App 數(shù)據(jù)安全檢測(cè)技術(shù)能力。鼓勵(lì)第三方機(jī)構(gòu)固化App 數(shù)據(jù)安全及個(gè)人信息保護(hù)檢測(cè)流程、規(guī)范，開(kāi)放相關(guān)檢測(cè)工具平臺(tái)，提升 App 運(yùn)營(yíng)者自主發(fā)現(xiàn)、主動(dòng)整改數(shù)據(jù)安全風(fēng)險(xiǎn)的能力。二是形成 App 數(shù)據(jù)安全防護(hù)產(chǎn)品集群目錄

58、。聯(lián)合高校、科研院所和企業(yè)等多方力量，合力推進(jìn)數(shù)據(jù)資產(chǎn)盤(pán)查、數(shù)據(jù)特征值提取、數(shù)據(jù)加密、數(shù)據(jù)匿名化、數(shù)據(jù)血緣追蹤以及數(shù)據(jù)防泄漏等重點(diǎn)數(shù)據(jù)安全技術(shù)的研究，形成 App 數(shù)據(jù)安全防護(hù)產(chǎn)品集群目錄，通過(guò)應(yīng)用試點(diǎn)加速技術(shù)成果轉(zhuǎn)化，促進(jìn) App 數(shù)據(jù)安全先進(jìn)技術(shù)創(chuàng)新和產(chǎn)品服務(wù)應(yīng)用推廣。三是推動(dòng)企業(yè)提升 App 數(shù)據(jù)安全與個(gè)人信息保護(hù)技術(shù)水平。指導(dǎo)企業(yè)加大App 數(shù)據(jù)安全技術(shù)投入，加快部署網(wǎng)絡(luò)數(shù)據(jù)和用戶(hù)個(gè)人信息防竊密、防篡改、防泄漏和數(shù)據(jù)備份等安全防護(hù)措施，提升企業(yè) App 數(shù)據(jù)安全保障能力。（三） 企業(yè)層面，切實(shí)落實(shí)數(shù)據(jù)安全主體責(zé)任一是 App 運(yùn)營(yíng)者要積極開(kāi)展數(shù)據(jù)安全與個(gè)人信息保護(hù)自評(píng)估工作。App 運(yùn)

59、營(yíng)者作為責(zé)任主體，應(yīng)建立企業(yè)內(nèi)部的數(shù)據(jù)安全與個(gè)人信息保護(hù)機(jī)制，嚴(yán)格履行法律法規(guī)規(guī)定的責(zé)任義務(wù)，同時(shí)依照相關(guān)標(biāo)準(zhǔn)， 對(duì) App 數(shù)據(jù)安全與個(gè)人信息保護(hù)情況進(jìn)行自評(píng)估，積極防范安全隱患。二是應(yīng)用商店等平臺(tái)企業(yè)應(yīng)加強(qiáng)應(yīng)用上架前數(shù)據(jù)安全審核。應(yīng)用商店等分發(fā)平臺(tái)企業(yè)應(yīng)按照相關(guān)制度要求，落實(shí)平臺(tái)管理責(zé)任，依托現(xiàn)有應(yīng)用上架前審核機(jī)制，將 App 數(shù)據(jù)安全與個(gè)人信息保護(hù)措施作為重點(diǎn)審核內(nèi)容，對(duì)違法違規(guī) App 不予上架。三是移動(dòng)智能終端企業(yè)應(yīng)嚴(yán)格落實(shí)應(yīng)用軟件預(yù)置管理要求。移動(dòng)智能終端企業(yè)應(yīng)按照相關(guān)標(biāo)準(zhǔn)， 對(duì)預(yù)置應(yīng)用軟件開(kāi)展安全評(píng)估分級(jí)評(píng)測(cè)，達(dá)到相應(yīng)等級(jí)的 App 可通過(guò)代碼簽名的方式進(jìn)行標(biāo)識(shí)，并拒絕與不符合規(guī)

60、范要求的軟件提供商合 作。嚴(yán)格落實(shí)向用戶(hù)公示預(yù)置應(yīng)用軟件相關(guān)信息的要求，重點(diǎn)明示應(yīng) 用軟件安裝及運(yùn)行所需權(quán)限列表，收集、使用用戶(hù)個(gè)人信息的內(nèi)容、目的、方式和范圍等。（四） 行業(yè)層面，構(gòu)建數(shù)據(jù)安全多方治理生態(tài)一是推動(dòng)行業(yè)組織制定行為準(zhǔn)則和指引，提升行業(yè)自律水平。依托現(xiàn)有互聯(lián)網(wǎng)行業(yè)自律組織，推動(dòng)各利益相關(guān)方共同制定個(gè)人信息收集使用行為準(zhǔn)則，簽訂行業(yè)自律公約，對(duì) App 運(yùn)營(yíng)者和應(yīng)用商店進(jìn)行評(píng)估檢測(cè)和認(rèn)證，推廣宣傳企業(yè)最佳實(shí)踐，提升行業(yè)整體水平。二是加大用戶(hù)宣傳教育力度，提升用戶(hù)防護(hù)能力。用戶(hù)作為 App 的使用主體，行業(yè)組織應(yīng)著力通過(guò)展覽、論壇、制作用戶(hù)安全手冊(cè)等多種形式， 向用戶(hù)普及安全下載方式