突如其來的新冠肺炎疫情,讓今年的復工復產復學變得格外特別,本應該出現在寫字樓、學校教室的人們,紛紛響應號召,藉助各類在線辦公、教學系統實現居家辦公、上課,以阻斷病毒傳播路徑;各類App、小程序、掃碼在線登記工具也被廣泛用於各個場景,大數據助力防疫彰顯網際網路的便捷優勢。當以往這些「線下」場景轉為使用「線上」工具時,難免涉及到個人信息的收集使用,個人信息關乎個人權益,這就需要引起工具的開發者、運營者的重視。然而,一些App在個人信息保護方面的做法,讓網友覺得費解、擔心。
舉報問題情況分析
2020年1月以來,「App個人信息舉報平台」共計接收到2000餘條舉報信息,關於疫情期間線上工具收集個人信息的舉報信息300餘條,占比15%,涉及40餘款App。
40餘款App中網課等在線教育類數量占比超過了80%,經初步核驗、分析發現此類App在處理個人信息方面存在一些共性現象及問題,主要包括:
個人信息保護合規水平偏低
核驗30餘款網課等在線教育類App發現:
(1)30%左右的App沒有公開隱私政策等收集使用個人信息的規則,另有15%左右的App雖提供了隱私政策,但是屬於格式文本,沒有將其收集個人信息的目的、方式、範圍,等闡明。
(2)75%的App首次啟動時,申請可收集個人信息的權限且並未同步告知收集目的,部分權限被設置為必須提供,不允許即閃退,無法瀏覽App或使用其基本功能。甚至還有App首次啟動時一次性申請授權所有可能用到的權限,否則無法使用App。
(3)50%的App使用後無法註銷帳號,一是沒有提供任何形式的註銷入口,二是提供了註銷渠道,如聯繫客服註銷,但是撥打電話始終顯示正忙或沒有回應,依舊無法實現註銷。總的來看,很多此類App為了適應「線上」教學需求,緊急更新功能,上線新版本,在個人信息保護方面顯得考慮不到位,問題不少。
個人敏感信息處理規則不明確
對於網課類App來講,為了課堂教學和課堂秩序需要,開啟麥克風、攝像頭、進行人臉比對等成為常見的現象,這就不可避免地讓一些個人敏感信息成為收集使用的對象。然而,核驗發現,超過一半的此類App對於收集上述個人敏感信息後,如何處理沒有詳細的規則說明,包括是否留存,留存的時間和方式,是否加密,是否共享第三方等等。App只是一味地收集信息,忽視了用戶的知情權,用戶自然會對其收集使用個人信息的舉措產生質疑、擔心。就有網友表示「為了查看學生在幹什麼,防止學生「掛課」,部分教育類App會通過監測用戶手機桌面,後台運行程序,強制鎖屏、抓屏方式,讓他們覺得隱私遭到侵犯」。確實,通過採集大量個人信息方式來維持課堂秩序時,首先要分析其是否滿足最小夠用原則,其次,需要以非常明確的方式告知用戶採集該類信息的目的和處理方式。按照維持課堂秩序所需分析,該類信息僅能被授權的老師查詢,且不能長期保留,更不能挪作他用。如果沒有合理正當的目的,足夠清晰的規則說明,恐怕只能引人反感,適得其反。
此外,很多網友也反饋,「一些網課App在安裝使用時就強制要求打開攝像頭等權限,否則無法正常打開使用,同時,賦予了教師端或管理端特權,比如可以在不通知學生情況下直接開啟學生前置攝像頭、麥克風等,視頻畫面直接暴露在其他師生面前,個人隱私和家庭隱私的「失控」讓他們覺得不安」。設置這種機制的初衷,可能是為了讓在線教育達到線下教育的效果,對學生的學習情況採取線上「突擊檢查」。然而,在實際操作過程中,需要儘可能考慮恰當的方案,不可顧此失彼,比如,即使App要求用戶開啟了攝像頭權限,但是從技術上限制非課堂時間攝像頭等權限的使用;在管理端遠程打開攝像頭時,給予用戶提示圖示或提示音等。
很多網課等在線教育App,其用戶為未成年人,根據國家網際網路信息辦公室發布的《兒童個人信息網絡保護規定》,收集使用未滿14周歲的未成年人個人信息,應當以顯著、清晰的方式告知監護人,並徵得監護人同意。其實,很多時候,徵得同意的方式可以採用教師通過下發相應「開課告知書」等的方式向家長等監護人告知使用網課App時的注意點,以及對未成年人個人信息保護的相關措施和承諾,讓授課過程變成教師與家長的共識,然後再引導用戶自行選擇打開相關的權限和功能。而不是依賴於App動用技術力量處處設置「強制」手段,讓網絡授課過程失去了對學生的尊重與關懷,這恐怕也背離了教育本身的初衷。
對民眾使用線上工具的建議
除網課等在線教育App以外,為了配合有關防疫工作、適應當下生活、工作環境,恐怕不可避免地需要使用要一些線上工具,就個人信息保護方面,從用戶角度出發,有以下幾條建議供參考:
識別線上工具「真偽」
疫情期間,很多在線登記、求助、義診、查詢、捐款等線上工具爆髮式增長,除了官方推出的工具外,很多熱心公益的企業也在貢獻其智慧和力量。但是,據報道,個別渾水摸魚之輩通過假冒、山寨的疫情相關線上工具在收集個人信息,甚至騙錢騙物。因此,建議大家在下載、掃碼使用相關線上工具時,首先關注其是否存在個人信息收集行為,如填報手機號、要求打開權限等,其次,對於存在個人信息收集行為的線上工具,關注其開發商、發布者是否清晰明確,是否為具備疫情防控相關授權的機構,以免將個人信息提供給不明身份者造成損失。
填寫個人信息要謹慎
在配合有關組織進行人員行蹤、病史等排查相關的在線登記工作時,儘可能填寫與疫情防控相關的必填項信息,對於存在疑問的填寫項,可與相關工作人員進行溝通,了解原因和目的。對於需要註冊使用的線上工具,如密切接觸者查詢等,可以了解其查詢條件及需要提供的個人信息後,對比多款類似工具,選擇收集個人信息最少的工具進行查詢。
關注工具採取的個人信息保護機制
註冊使用收集個人信息的線上工具前,建議查看其隱私政策中關於收集使用個人信息的規則,尤其是收集目的、保存時間、刪除機制、註銷功能、投訴渠道等。如果線上工具提供了完善的個人信息保護機制,一旦後來發現個人信息安全問題時,可通過投訴舉報、註銷帳號、刪除信息等機制來維護個人權益。
如果網友發現疫情期間相關App等線上工具有違法違規收集、使用、公開個人信息的行為,可以向本平台舉報。涉及疫情防控相關的有害信息,還可以在12377「中國網際網路違法和不良信息舉報中心」舉報。
對於緊急上線運營工具的建議
為了助力疫情防控工作,很多線上工具都是短時間緊急開發並投入運營的。這讓很多工具的開發者、運營者在考慮個人信息保護方面不夠周到、細緻。對此,工作組有以下具體建議:
1.線上工具在首頁等顯著位置註明開發者、運營者信息,得到有關部門授權或協助其開發的,註明相關的授權關係。
2.涉及數據查詢類的工具,註明數據來源。
3.涉及收集個人信息的工具,應註明收集個人信息的責任主體,以「簡版隱私政策」、「個人信息保護聲明」等方式,在註冊、登錄、填寫個人信息等頁面,公開收集使用個人信息的關鍵規則,如收集個人信息的目的、類型,保存時間、安全措施及投訴渠道等。
4.明確工具的主要目的,保證收集個人信息均與目的直接相關,工具功能更迭涉及收集使用個人信息的範圍等發生變化的,應予以補充說明。
5.工具涉及申請使用「位置」、「電話」、「存儲」等可收集個人信息權限的,應同步向用戶告知目的,由用戶自行選擇授權,不應使用強制索要、頻繁打擾等方式。
6.已有隱私政策的工具更新上線疫情防控相關功能的,應該對其新增功能涉及收集使用個人信息規則進行補充說明。
7.明確用戶個人信息的處理方式,保證個人信息的最小化收集,比如查看附近疫情等功能使用地理位置的,應採用本地化處理方式,無需上傳伺服器端,並在相關介面向用戶告知處理方式。
8.明確用戶個人信息處理的生命周期,就個人信息的使用範圍,保存時間,事後處置措施等制定計劃,涉及帳號註冊功能的,應提供註銷功能。
9.涉及展示、發布疫情防控相關數據的,應設定「禁止展示欄位」等去標識化措施;涉及公民查詢本人、親人等行蹤、活動記錄的,應設置手機驗證碼等必要的驗證方式和查詢次數限制等措施,查詢結果展示介面可屏蔽部分欄位防止信息泄露。
10.密切關注用戶的反饋和投訴,以及外界相關評價,進行快速疊代,完善工具功能。
面對疫情防控和復學復工的複雜局勢,越是緊要關頭,越需井然有序、從容不迫。網際網路、大數據造就的各類線上工具成為「破題」的利器之時,個人信息保護工作不應被忽視和淡化,恰當、合理、必要的個人信息保護措施並不「費事」,完全可以兼顧。各相關單位、企業理應重視個人信息保護,勿讓數據安全事件成為了「併發症」、「後遺症」。
(來源: 「App個人信息舉報」微信公眾號)
文章來源: https://twgreatdaily.com/fWKbPnEBnkjnB-0zkc4e.html