线上工具助力复学复工,个人信息保护不可忽视
2020-03-02 15:25 网络与安全管理部  “App个人信息举报”微信公众号

突如其来的新冠肺炎疫情,让今年的复工复产复学变得格外特别,本应该出现在写字楼、学校教室的人们,纷纷响应号召,借助各类在线办公、教学系统实现居家办公、上课,以阻断病毒传播路径;各类App、小程序、扫码在线登记工具也被广泛用于各个场景,大数据助力防疫彰显互联网的便捷优势。当以往这些“线下”场景转为使用“线上”工具时,难免涉及到个人信息的收集使用,个人信息关乎个人权益,这就需要引起工具的开发者、运营者的重视。然而,一些App在个人信息保护方面的做法,让网友觉得费解、担心。

举报问题情况分析

2020年1月以来,“App个人信息举报平台”共计接收到2000余条举报信息,关于疫情期间线上工具收集个人信息的举报信息300余条,占比15%,涉及40余款App。

40余款App中网课等在线教育类数量占比超过了80%,经初步核验、分析发现此类App在处理个人信息方面存在一些共性现象及问题,主要包括:

个人信息保护合规水平偏低

核验30余款网课等在线教育类App发现:

(1)30%左右的App没有公开隐私政策等收集使用个人信息的规则,另有15%左右的App虽提供了隐私政策,但是属于格式文本,没有将其收集个人信息的目的、方式、范围,等阐明。

(2)75%的App首次启动时,申请可收集个人信息的权限且并未同步告知收集目的,部分权限被设置为必须提供,不允许即闪退,无法浏览App或使用其基本功能。甚至还有App首次启动时一次性申请授权所有可能用到的权限,否则无法使用App。

(3)50%的App使用后无法注销账号,一是没有提供任何形式的注销入口,二是提供了注销渠道,如联系客服注销,但是拨打电话始终显示正忙或没有回应,依旧无法实现注销。总的来看,很多此类App为了适应“线上”教学需求,紧急更新功能,上线新版本,在个人信息保护方面显得考虑不到位,问题不少。

个人敏感信息处理规则不明确

对于网课类App来讲,为了课堂教学和课堂秩序需要,开启麦克风、摄像头、进行人脸比对等成为常见的现象,这就不可避免地让一些个人敏感信息成为收集使用的对象。然而,核验发现,超过一半的此类App对于收集上述个人敏感信息后,如何处理没有详细的规则说明,包括是否留存,留存的时间和方式,是否加密,是否共享第三方等等。App只是一味地收集信息,忽视了用户的知情权,用户自然会对其收集使用个人信息的举措产生质疑、担心。就有网友表示“为了查看学生在干什么,防止学生“挂课”,部分教育类App会通过监测用户手机桌面,后台运行程序,强制锁屏、抓屏方式,让他们觉得隐私遭到侵犯”。确实,通过采集大量个人信息方式来维持课堂秩序时,首先要分析其是否满足最小够用原则,其次,需要以非常明确的方式告知用户采集该类信息的目的和处理方式。按照维持课堂秩序所需分析,该类信息仅能被授权的老师查询,且不能长期保留,更不能挪作他用。如果没有合理正当的目的,足够清晰的规则说明,恐怕只能引人反感,适得其反。

此外,很多网友也反馈,“一些网课App在安装使用时就强制要求打开摄像头等权限,否则无法正常打开使用,同时,赋予了教师端或管理端特权,比如可以在不通知学生情况下直接开启学生前置摄像头、麦克风等,视频画面直接暴露在其他师生面前,个人隐私和家庭隐私的“失控”让他们觉得不安”。设置这种机制的初衷,可能是为了让在线教育达到线下教育的效果,对学生的学习情况采取线上“突击检查”。然而,在实际操作过程中,需要尽可能考虑恰当的方案,不可顾此失彼,比如,即使App要求用户开启了摄像头权限,但是从技术上限制非课堂时间摄像头等权限的使用;在管理端远程打开摄像头时,给予用户提示图示或提示音等。

很多网课等在线教育App,其用户为未成年人,根据国家互联网信息办公室发布的《儿童个人信息网络保护规定》,收集使用未满14周岁的未成年人个人信息,应当以显著、清晰的方式告知监护人,并征得监护人同意。其实,很多时候,征得同意的方式可以采用教师通过下发相应“开课告知书”等的方式向家长等监护人告知使用网课App时的注意点,以及对未成年人个人信息保护的相关措施和承诺,让授课过程变成教师与家长的共识,然后再引导用户自行选择打开相关的权限和功能。而不是依赖于App动用技术力量处处设置“强制”手段,让网络授课过程失去了对学生的尊重与关怀,这恐怕也背离了教育本身的初衷。

对民众使用线上工具的建议

除网课等在线教育App以外,为了配合有关防疫工作、适应当下生活、工作环境,恐怕不可避免地需要使用要一些线上工具,就个人信息保护方面,从用户角度出发,有以下几条建议供参考:

识别线上工具“真伪”

疫情期间,很多在线登记、求助、义诊、查询、捐款等线上工具爆发式增长,除了官方推出的工具外,很多热心公益的企业也在贡献其智慧和力量。但是,据报道,个别浑水摸鱼之辈通过假冒、山寨的疫情相关线上工具在收集个人信息,甚至骗钱骗物。因此,建议大家在下载、扫码使用相关线上工具时,首先关注其是否存在个人信息收集行为,如填报手机号、要求打开权限等,其次,对于存在个人信息收集行为的线上工具,关注其开发商、发布者是否清晰明确,是否为具备疫情防控相关授权的机构,以免将个人信息提供给不明身份者造成损失。

填写个人信息要谨慎

在配合有关组织进行人员行踪、病史等排查相关的在线登记工作时,尽可能填写与疫情防控相关的必填项信息,对于存在疑问的填写项,可与相关工作人员进行沟通,了解原因和目的。对于需要注册使用的线上工具,如密切接触者查询等,可以了解其查询条件及需要提供的个人信息后,对比多款类似工具,选择收集个人信息最少的工具进行查询。

关注工具采取的个人信息保护机制

注册使用收集个人信息的线上工具前,建议查看其隐私政策中关于收集使用个人信息的规则,尤其是收集目的、保存时间、删除机制、注销功能、投诉渠道等。如果线上工具提供了完善的个人信息保护机制,一旦后来发现个人信息安全问题时,可通过投诉举报、注销账号、删除信息等机制来维护个人权益。

如果网友发现疫情期间相关App等线上工具有违法违规收集、使用、公开个人信息的行为,可以向本平台举报。涉及疫情防控相关的有害信息,还可以在12377“中国互联网违法和不良信息举报中心”举报。

对于紧急上线运营工具的建议

为了助力疫情防控工作,很多线上工具都是短时间紧急开发并投入运营的。这让很多工具的开发者、运营者在考虑个人信息保护方面不够周到、细致。对此,工作组有以下具体建议:

1.线上工具在首页等显著位置注明开发者、运营者信息,得到有关部门授权或协助其开发的,注明相关的授权关系。

2.涉及数据查询类的工具,注明数据来源。

3.涉及收集个人信息的工具,应注明收集个人信息的责任主体,以“简版隐私政策”、“个人信息保护声明”等方式,在注册、登录、填写个人信息等页面,公开收集使用个人信息的关键规则,如收集个人信息的目的、类型,保存时间、安全措施及投诉渠道等。

4.明确工具的主要目的,保证收集个人信息均与目的直接相关,工具功能更迭涉及收集使用个人信息的范围等发生变化的,应予以补充说明。

5.工具涉及申请使用“位置”、“电话”、“存储”等可收集个人信息权限的,应同步向用户告知目的,由用户自行选择授权,不应使用强制索要、频繁打扰等方式。

6.已有隐私政策的工具更新上线疫情防控相关功能的,应该对其新增功能涉及收集使用个人信息规则进行补充说明。

7.明确用户个人信息的处理方式,保证个人信息的最小化收集,比如查看附近疫情等功能使用地理位置的,应采用本地化处理方式,无需上传服务器端,并在相关界面向用户告知处理方式。

8.明确用户个人信息处理的生命周期,就个人信息的使用范围,保存时间,事后处置措施等制定计划,涉及账号注册功能的,应提供注销功能。

9.涉及展示、发布疫情防控相关数据的,应设定“禁止展示字段”等去标识化措施;涉及公民查询本人、亲人等行踪、活动记录的,应设置手机验证码等必要的验证方式和查询次数限制等措施,查询结果展示界面可屏蔽部分字段防止信息泄露。

10.密切关注用户的反馈和投诉,以及外界相关评价,进行快速迭代,完善工具功能。

面对疫情防控和复学复工的复杂局势,越是紧要关头,越需井然有序、从容不迫。互联网、大数据造就的各类线上工具成为“破题”的利器之时,个人信息保护工作不应被忽视和淡化,恰当、合理、必要的个人信息保护措施并不“费事”,完全可以兼顾。各相关单位、企业理应重视个人信息保护,勿让数据安全事件成为了“并发症”、“后遗症”。

关闭窗口