广东省通信管理局高度关注APP的个人信息保护和数据安全问题并持续开展相关监管工作,2020年1月16日召开APP监管政策宣贯会,对省内基础电信企业、主要应用商店、重点APP运营企业传达APP相关整治工作要求及监管法规依据。“3·15”之际,广东省通信管理局再次聚焦用户权益保护开展APP隐私合规及网络数据安全专项检查工作,督促各应用商店排查疑似违规APP 七万余款,发现并下架违规APP 5998款,驳回违规APP上架申请2807次。近日,广东省通信管理局加大执法力度,对抽检存在问题的21款APP运营者发出责令整改通知书并同步通知应用商店下架处置,对问题突出的“我连网”“聚超值”等5款APP运营者做出警告并罚款的行政处罚。
此次查处的APP问题有两类,一是违反用户个人信息保护规定,主要体现在“无隐私政策或隐私政策中没有收集使用个人信息规则”“违反必要原则,索取或自动开启可收集用户敏感信息且与当前服务无关的权限”“未提供账号注销功能或指引”“默认同意或默认选中隐私政策、服务协议”“不给非运行必要权限自动退出”“私自共享给第三方”“未明示收集规则提前索取权限”“超出隐私政策列举范围索取权限”等;二是存在可能导致信息泄漏的APP安全隐患,主要体现在“源文件风险”“安全策略风险”“组件风险”“Activity劫持风险”“SO注入风险”“通讯传输风险”“内部数据交互风险”“程序反编译风险”“键盘劫持风险”“WebView远程代码执行漏洞”等。两起典型案例通报如下:
一、深圳某科技有限公司运营的“我连网”APP索取与服务无关的高敏感权限。广东省通信管理局在协助市场监督管理部门调查“我连网”APP提供野猪肉和野猪捕获工具相关商品信息的案件时发现,该APP还存在违反用户个人信息保护规定的情形,具体表现在:APP安装后首次运行,在没有使用任何功能和未告知收集个人信息规则的情况下,就向用户索取包括“通讯录”“拍摄照片和录制视频”“录制音频”“发送和查看短彩信息”等敏感权限在内的7项手机权限,APP正式运行后主要界面也未见隐私政策或其他收集使用个人信息的规则,属于典型的“未公开收集使用规则”“未明示收集使用个人信息的目的、方式和范围”和“违反必要原则,收集与其提供的服务无关的个人信息”违法违规情形。
二、广东某互联网信息服务有限公司运营的“聚超值”APP安装后默认开启“短信”等多项权限。该款 APP安装后尚未运行之前就已默认打开用户手机的“存储”、“电话”、“位置”、“相机”、“短信/彩信”权限,APP首次运行及正式运行后的主要界面均未发现隐私政策,注册账号时虽有《服务条款及使用协议》,但却直接默认勾选同意,且该协议也未提及任何手机权限获取和收集使用个人信息的情况。
上述两起案件,广东省通信管理局均已依据《网络安全法》《电信和互联网用户个人信息保护规定》相关规定责令该两家公司整改并对其做出给予警告和罚款的行政处罚。
另外,广东省通信管理局还在疫情防控期间对省内疫情防控有关互联网应用开展网络安全威胁监测,并为疫情防控重点保障APP运营单位在数据安全防护和隐私合规等方面提供相关技术服务和政策指导,切实保障我省疫情防控工作的顺利开展和相关APP的网络数据安全。
个人信息保护和网络数据安全监管工作任重而道远,广东省通信管理局将“不忘初心、牢记使命”,坚持以人民为中心的发展思想,继续履行职责做好网络安全和APP监管工作。