當前，在疫情防控形勢出現(xiàn)積極轉變的情況下，面對疫情防控和經(jīng)濟社會發(fā)展工作的緊迫任務，中央和地方陸續(xù)出臺政策穩(wěn)步推進復工復產(chǎn)。同時，移動應用市場上協(xié)同辦公、在線教育、便民服務等領域不少App也不失時機地展開了助力疫情防控、復工復產(chǎn)的宣傳。

復工復產(chǎn)App基本情況

通過某主流應用市場進行初步統(tǒng)計，目前已上線的復工復產(chǎn)相關App約500款，類型可分為防疫服務、遠程辦公、在線教育等。其中防疫服務類App多為醫(yī)藥產(chǎn)品網(wǎng)購平臺，支持在線購買防疫物資。遠程辦公類App普遍以在線協(xié)同辦公、即時通信傳輸、網(wǎng)絡視頻會議等作為核心業(yè)務功能。在線教育類App則通過網(wǎng)課直播、作業(yè)批改、遠程輔導等功能，協(xié)助教育群體在疫情期間實現(xiàn)停課不停學。

復工復產(chǎn)App數(shù)據(jù)安全隱患及合規(guī)性問題分析

本次評測選取國內(nèi)主流應用商店下載量較大、業(yè)務功能較為貼合疫情防控時期社會大眾需求的典型App進行數(shù)據(jù)安全合規(guī)性測試分析，發(fā)現(xiàn)其中多款App在注冊、使用過程中涉及個人敏感信息以及企業(yè)數(shù)據(jù)的在線傳輸、存儲、處理，且存在相應的安全隱患。

評測結果顯示，復工復產(chǎn)相關App在是否明示收集使用個人信息的目的、方式、范圍及公開收集使用個人信息規(guī)則等方面問題比較突出。除此之外，防疫服務類App在遵循最小必要原則方面存在不足；在線教育類App存在收集使用個人信息規(guī)則不完善、未明確有效的隱私政策更新機制等問題；遠程辦公類App則存在默認選擇同意隱私政策、無法確保個人信息有效刪除等情況。

1.醫(yī)藥平臺涉及用戶醫(yī)療和健康隱私數(shù)據(jù)，如何保護患者隱私是焦點問題

使用醫(yī)藥平臺購買部分藥品時，用戶需要提供處方單和醫(yī)生咨詢信息、郵寄地址等個人敏感信息，除此之外部分App具有在線問診功能，更進一步獲取了患者電子病歷、健康檔案、會診信息、影像數(shù)據(jù)等。一旦發(fā)生數(shù)據(jù)泄露將對患者群體、醫(yī)療產(chǎn)業(yè)造成嚴重影響。

本次評測中，此類App除未明示個人信息收集使用規(guī)則、未經(jīng)用戶同意收集使用個人信息情況、未遵循最小必要原則等問題以外，還存在強制索取非必要權限的情況。

案例1：某醫(yī)藥平臺App在啟動、登錄、注冊界面未以顯著方式提示用戶閱讀隱私政策。

案例2：某醫(yī)藥平臺App申請可收集個人信息權限時未同步說明使用目的。

2.在線教育相關數(shù)據(jù)涉及用戶身份信息、教育信息，需額外關注未成年人信息保護

教育平臺存儲了大量的學生在線注冊信息，使用過程中為了課堂秩序和教育質量，通常需要開啟麥克風、攝像頭等敏感權限，未成年人信息一旦泄露或被違法商用，對他們的人身安全、學習和成長都將產(chǎn)生極大危害，企業(yè)自身及其他教育用戶也面臨同樣的安全風險。

本次評測發(fā)現(xiàn)在線教育類App在公開收集使用規(guī)則，明示收集使用個人信息的目的、方式、范圍方面存在欠缺，部分App申請權限時彈出的說明文字語焉不詳，不能明示其索要權限的動機，或未明確隱私政策更新機制。

案例3：某在線教育App在收集個人信息方面未能明確規(guī)范其收集使用規(guī)則，隱私政策中提及的收集使用個人信息類型和其業(yè)務功能對應關系不清。

案例4：某作業(yè)輔導App在申請可收集個人信息的定位、存儲權限時，未同步說明目的。

案例5：某在線教育App未明確有效的隱私政策更新機制及通知用戶的方式。

3.協(xié)同辦公各項功能的實現(xiàn)涉及員工信息及企業(yè)核心數(shù)據(jù)，管理不當容易造成數(shù)據(jù)泄露、丟失、被竊取等安全事件

協(xié)同辦公主要支持在線考勤、文檔分享、辦公協(xié)作、流程審批等功能，抗疫期間各平臺競相提供免費資源吸引用戶，信息交互涉及大量企業(yè)內(nèi)部、甚至核心數(shù)據(jù)，對App本身的數(shù)據(jù)安全保障能力提出了極高要求。

受測的協(xié)同辦公、視頻會議類App多暴露出未明示收集使用個人信息的目的、方式、范圍，及未遵循必要原則收集使用個人信息問題，尤其在App索權方面規(guī)范性不足。

案例6：某視頻會議App在注冊賬號時，未經(jīng)用戶自主操作，默認勾選“閱讀并同意”選項。

案例7：某協(xié)同辦公App將隱私政策夾雜在服務條款中，且未在隱私政策中逐一描述收集使用個人信息的類型、目的等規(guī)則。

案例8：某協(xié)同辦公App功能界面、客服電話、電子郵箱等各渠道均無法要求刪除文檔、個人信息等數(shù)據(jù)。

案例9：某網(wǎng)絡會議App啟動、登錄、注冊界面均未提示用戶閱讀其隱私政策。

數(shù)據(jù)安全及個人信息保護相關建議

1.建議App相關企業(yè)嚴格落實法律法規(guī)要求，消除數(shù)據(jù)安全隱患

App運營公司及相關企業(yè)應嚴格落實《網(wǎng)絡安全法》、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》（工信部24號令）等有關法律法規(guī)要求，參照《App違法違規(guī)收集使用個人信息行為認定方法》進行自查自糾，及時消除安全隱患，避免違法違規(guī)收集使用個人信息或發(fā)生數(shù)據(jù)安全事件。

移動App使用過程可能涉及個人敏感信息、企業(yè)核心數(shù)據(jù)的，運營公司應實現(xiàn)產(chǎn)品的快速迭代，完善產(chǎn)品防護機制。應用分發(fā)平臺應加強App數(shù)據(jù)安全監(jiān)測能力，提升數(shù)據(jù)安全保障能力。

2.建議作為用戶的企業(yè)或個人重視數(shù)據(jù)安全，增強個人信息保護意識

企業(yè)一方面應結合自身管理制度，規(guī)范各項工作的開展，梳理數(shù)據(jù)資產(chǎn)實施分類分級管理，提升企業(yè)數(shù)據(jù)安全風險管控能力；另一方面需加強員工數(shù)據(jù)安全教育培訓，確保員工使用過程的數(shù)據(jù)安全，防止由于意識不到位導致的安全事件。

此外，用戶應選擇正規(guī)、可靠的渠道下載App，關注App是否提供了完善的個人信息保護機制，謹慎提交個人信息，合理合法保障自身權益。

3.建議行業(yè)協(xié)會、聯(lián)盟加強宣傳引導，助力安全有序復工復產(chǎn)

相關行業(yè)協(xié)會、產(chǎn)業(yè)聯(lián)盟應積極配合相關部門推動復工復產(chǎn)，在助力防控工作的前提下充分發(fā)揮聯(lián)盟優(yōu)勢，凝聚各方力量，互助協(xié)作、資源共享，共同形成行之有效的解決方案并宣傳推廣。充分利用安全、高效的互聯(lián)網(wǎng)平臺，通過舉辦在線論壇、講座，在媒體、公眾號等渠道適時發(fā)聲，加大數(shù)據(jù)安全和個人信息保護的宣傳力度，增強企業(yè)和社會公眾的數(shù)據(jù)安全意識。