“3·15”晚会曝光的四起信息安全案例及数据合规分析
欢迎点击上方 TMT法律论坛 关注我们
“3·15”晚会曝光的四起信息安全案例及数据合规分析
近期,主管部门对网络安全和个人信息保护的整治力度空前加大,工信部刚刚于3月14日“回头看”,通报了2022年第2批侵害用户权益的App;昨日央视“3·15”晚会则曝光了大量侵害消费者权益的违法乱象,其中网络信息安全领域遭多次点名。
我们梳理了晚会上曝光的典型案例,结合相关规定及行业良好实践进行简要合规分析,以供相关行业和领域的企业参照整改。
一.
“3·15”曝光四起典型案例
案例一:以免费Wi-Fi为名诱骗用户下载恶意APP
315信息安全实验室对Wi-Fi破解精灵等二十余款带着免费Wi-Fi的应用程序进行检测发现,这些应用程序不但无法为用户提供免费Wi-Fi,其所显示的“确认”、“打开”等弹窗实则为广告链接,用户点击后APP将在没有任何提示的情况下自动安装其他应用程序。
工程师进一步测试发现,这类免费Wi-Fi的应用程序还在后台大量收集用户信息,甚至高达一天数万次。
此外,这些应用程序还会获取系统权限,以自启动等形式频繁出现弹窗广告,严重影响用户正常使用。
案例二:软件平台强迫捆绑下载
315信息安全实验室检测发现,PC6、腾牛网、ZOL等软件下载平台使用百助旗下公司研发的下载器,将其标注为“高速下载”,以诱导点击。
用户选择后,这些下载器将默认勾选其他软件同时下载,且用户难以找到设置得极为隐蔽的拒绝选项。
下载器还会跳出弹窗广告,将软件下载链接设置为关闭按钮,用户如习惯性地点击右上角试图关闭广告,下载器将会静默下载应用软件。
案例三:儿童智能手表存在严重安全漏洞
目前,市面上部分低端儿童智能手表使用安卓4.4等较为陈旧的操作系统以降低成本,但这些操作系统对应用程序的管理程度有限,应用程序可在未经用户同意的情况下开启定位、通讯录、麦克风、摄像头等敏感权限,以获取用户的位置、人脸图像、录音等隐私信息。
此外,一些适用于儿童手表等智能终端的应用程序也以拒绝提供服务等形式强制索取权限。
案例四:手机号码泄露
“3·15”晚会调查发现,部分公司能够使用技术手段,获取浏览网页的用户的MAC号(手机识别码)以匹配到用户手机号码,甚至直接获取用户的明码手机号码,并将这些手机号码提供给电销公司用于推广、销售。
此外,一些公司为电销公司提供外呼系统支持,以隐瞒真实的呼出号码,规避用户投诉与监管。
二.
企业合规分析
总体来看,上述四起案例主要存在以下几项违法违规行为:
强迫、诱导用户下载;
未经同意获取个人信息,超范围获取权限;
智能终端产品存在安全漏洞。
1. 强迫、诱导用户下载软件、应用程序
强迫、诱导用户下载应用软件可能违反《网络安全法》、《规范互联网信息服务市场秩序若干规定》等法律法规,监管机构自2021年以来长期保持监管高压:
2021年工信部开展集中整治行动,解决APP在开屏信息页面中存在利用文字、图片、视频等方式欺骗误导用户跳转等问题;
2021年10月28日,工信部召开规范电脑PC端应用软件弹窗信息骚扰用户问题行政指导会,对PC端部分应用软件未经用户同意开机自启动弹窗骚扰用户、设置障碍难以关闭、强制捆绑安装其他软件等问题进行整治;
今年3月3日,工信部召开行政指导会,规范APP推荐下载行为,改善网页浏览服务体验,要求未经用户同意或主动选择,不得自动或强制下载APP。
强迫、诱导用户下载应用程序极大地侵犯了用户的知情权、自主选择权。可以预见,“3·15”晚会曝光后,工信部将进一步加大监管力度,企业应及时对自身网络产品开展合规自查,避免出现此类违法违规行为。
2.应用程序、网页未经同意获取个人信息,超范围获取权限
自2019年起,工信部已持续开展App侵害用户权益整治行动近3年,2021年全年通报了1549款违规APP,下架了514款拒不整改的APP,并将整治范围扩展至SDK、应用商店等全链条。
《个人信息保护法》第5条规定,处理个人信息应当遵循合法、正当、必要和诚信原则。企业如未经同意获取个人信息且不具备《个保法》第13条第二项至第七项规定的情形,则可能被认定为违法收集个人信息,而上述案例中所获用户授权的方式亦不符合《个人信息保护法》所设定的有效同意之规则(“充分知情、自主明确、便捷撤回、避免捆绑”)。
相关企业应当结合《个人信息保护法》、《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规对自身产品进行评估和自查,参照《信息安全技术 个人信息安全规范》、《APP收集使用个人信息最小必要评估规范》、《App违法违规收集使用个人信息自评估指南》、《移动互联网应用程序(App)系统权限申请使用指南》等国家标准、行业标准进行整改。
3.智能终端产品存在安全漏洞
《网络安全法》第21条、第22条要求网络运营者履行网络安全防护义务,保证网络产品、服务的安全性。
2018年,深圳市消委会联合多家儿童智能手表生产企业制定了首个儿童智能手表标准——《深圳市儿童智能手表技术标准文件》,其中对信息安全提出了要求。此外,信安标委曾于2018年发布《信息安全技术 移动通信智能终端操作系统安全技术要求》(征求意见稿),规定了移动智能终端操作系统的安全功能要求及安全保障要求。
随着“3·15”晚会的曝光,除移动电话等常用智能终端外,可以预见,未来智能手表、智能音箱等智能终端的应用程序的合规部署也将进一步被纳入监管范围。对于智能手表及其他智能终端企业而言,应结合相关法律规定及国家标准、行业标准及时进行整改,以最大程度确保自身产品的安全性和合规性。
本期编辑:陈瑊 陈煜烺 邱腾岳