小伙伴关心的问题:信息等级保护测评(信息安全等级保护的测评方法),本文通过数据整理汇集了信息等级保护测评(信息安全等级保护的测评方法)相关信息,下面一起看看。

信息等级保护测评(信息安全等级保护的测评方法)

21世纪经济报道 记者诸未静 吴立洋 蔡姝越 实习生张晓凤 上海、广州报道

我国《个人信息保护法》于2021年11月1日起施行。法律明确了个人信息处理活动中的权利义务边界,以“告知—同意”为核心原则对平台进行个人信息处理予以规范。

为了解企业在个人信息保护方面的落实情况,南方财经合规科技研究院基于个人信息保护法与《APP违法违规收集使用个人信息行为认定方法》的相关条款,对平台的个人信息保护合规进行系列测评。测评含告知、撤回同意、第三方处理者单独告知、个性化推荐、敏感个人信息、未成年人个人信息、数据可携带权、信息控制权、个人保护信息负责人这9大方面共20个测评项,测评总分为100分。

依据用户量与功能差异等因素,测评选取了20款娱乐类APP进行个人信息保护合规实测。结果显示,优酷、爱奇艺、QQ音乐、腾讯视频、斗鱼这5款APP得分在80分以上,对个人信息进行了较好保护。网易云音乐、抖音、芒果TV等14款APP得分在60分至80分,合规程度处于中等级。全民K歌在20款娱乐类APP中得分最低,为61分。

(图说:20款娱乐类APP个人信息保护合规测评。制图:张晓凤。)

从高频合规问题来看,11款APP存在个人信息授权撤回同意步骤过于繁琐的问题。比如抖音,需要7步才能撤回通讯录授权。此外,13款APP在新用户注册后并未立即在弹窗中给出第三方SDK服务商目录,但余下7款APP中仍存在提供了第三方软件开发工具包(SDK)服务商目录但部分信息缺失的情况。

更严重的问题是,《个保法》中的数据可携带权大多APP没有实际落实。除了爱奇艺和快手既提供个性信息副本导出业务,也提供个人信息转移服务,其余18款APP最多只能做到提供单一一项数据可携带服务。

显著问题1:撤回同意步骤繁琐,只有9款APP撤回同意步骤不超过4步

抖音关掉通讯录授权需7步、腾讯视频删除用户观看历史需6步

撤回同意主要是指用户在授予APP相关个人信息的采集、处理权限后,能否在APP内实现对相关授权同意的撤回。《个人信息保护法》第十五条规定:“基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。”

结合日常APP使用经验,测评员将该法条拆分为“是否提供撤回自主同意相关功能”与“撤回同意是否便捷”两个子测评项,前者主要检验APP是否在设置、隐私协议登录页面提供停止个人信息相关授权的途径,后者参照《APP违法违规收集使用个人信息行为认定方法》关于“隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到”的规定,将打开APP后如经过4次点击仍无法关闭相关授权,视为不便捷。

南财合规科技研究院研究员在测评20款娱乐类APP时发现,仅有Bilibili、爱奇艺、优酷、芒果TV、西瓜视频、网易云音乐、QQ音乐、企鹅电竞等9款APP的撤回同意步骤小于4次点击,其余APP皆存在个人信息撤回步骤大于4次的情况。

如腾讯视频APP的撤回同意步骤,若要在APP内删除用户的观看历史、收藏等信息时,其撤回步骤大于4次点击。以删除观看历史为例,其撤回路径为“个人中心”-“观看历史一栏的‘更多’按钮”-“视频/小说漫画”-“编辑”-“选择全部历史”-“删除”,撤回流程共计6步。

同时,也存在部分受测APP没有在APP内告知用户个人信息撤回路径的情况。研究员在测评抖音APP时发现,用户可以在APP内直接关闭同城展示(将用户的作品、直播、评论、点赞等推送给同城用户)、活跃状态(获取好友或粉丝群内在线信息)等基础功能的授权,但底层功能的授权,如位置信息、相机等,在APP内并未告知用户完整的撤回路径,且执行实际撤回操作时步骤大于4次点击。研究员实测在APP内撤回通讯录授权时,其路径为“我”-“菜单栏”-“设置”-“隐私设置”-“设备授权”-“通讯录授权”-“去系统设置管理授权”,撤回流程共计7步。

(图说:左为抖音APP内未告知用户完整撤回路径,右为腾讯视频APP内告知了用户完整撤回路径)

显著问题2:仅有7款在初次开启后的弹窗中给出第三方SDK服务商目录

企鹅电竞没有提供SDK服务商联系方式,芒果TV只提供部分联系方式

大部分APP在实际运行中为了保证相关功能的实现或数据分析等其他商业目的,往往会向第三方合作者提供用户的个人信息,但这也容易导致用户信息授权管理的混乱,为不当个人信息读取使用行为提供空间。《个保法》第二十三条规定:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。”

第三方信息处理者通常以软件开发工具包(SDK)的形式接入APP软件,并从中获取信息,根据《个保法》规定,厂商有义务向用户完整列举其内嵌SDK的名称、其所获取的个人信息种类、处理目的与方式以及联系方式,并就以上权限获取用户的单独同意。此外,部分APP还存在向平台商家、物流等服务商提供用户信息的情况,鉴于实测的可操作性,本次测评暂不将其列入检验对象,主要考察APP的SDK信息披露和单独同意情况。

在具体测评中,本次测评将法规要求划分为“是否列明第三方处理者相关信息”与“是否获取用户单独同意”两项,前者主要检验APP是否在隐私协议或单独名单中完整列举其所包含的第三方信息处理者及其目的、处理方式联系方式等;后者则检验APP是否通过初次开启后弹窗等方式,明确提出存在向第三方处理者提供用户信息的情况,并给出相关名单链接征求用户同意。

研究员经测评后发现,20款受测APP中,仅有7款在初次开启后的弹窗中明确向用户展示第三方处理者提供用户信息的情况,并给出第三方SDK类服务商目录,这7款APP分别是腾讯视频、爱奇艺、优酷、西瓜视频、网易云音乐、QQ音乐、企鹅电竞,而余下13款APP在开始的弹窗中都没有显示这一目录。

值得注意的是,部分受测APP存在提供了第三方SDK类服务商目录但部分信息缺失的情况。以“企鹅电竞”为例,虽然APP给出了第三方SDK说明,但并没有显示第三方信息处理者的联系方式。

(图说:企鹅电竞的第三方SDK类服务商目录中无第三方信息处理者的联系方式)

又如“芒果TV”,虽然给出了部分第三方SDK类服务商名单,但是存在部分地址缺失的情况,如并未说明深圳市腾讯计算机系统有限公司的广点通SDK地址、魅族科技有限公司的SDK地址、北京旷视科技有限公司的face++SDK等。

(图说:芒果TV提供的部分SDK服务商无具体地址链接)

显著问题3:数据可携带权多未落实,仅爱奇艺和快手提供个人信息副本和转移的服务

仅有12家提供个人信息副本,6家提供个人信息转移服务

数据的可携带权是在《个人信息保护法》三审稿中加入的条款,其第四十五条规定,“个人有权向个人信息处理者查阅、复制其个人信息……个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”

与该概念相关的法规最早落实于欧盟2018年颁布的《通用数据保护条例》,初衷是大批信息垄断与不充分竞争的格局,促进信息共享流动,但在具体实践中存在适用范围不明确,不同数据模式之间难以互通,数据安全缺乏有力保障等难点,目前各国都还在摸索其具体落实途径。

本次测评从推动制度与规则建设的角度出发,主要考察APP是否在隐私协议中对数据可携带权的相关要求做出规定,具体检验其“是否提供用户获得个人信息副本的途径”与“是否提供个人信息转移的服务”。此外,少量APP直接提供了生成个人信息服务的功能按钮,该方式也计为得分。

就测评结果而言,在个人信息副本获取方面,20款娱乐类APP中有12款在隐私协议中明确表示,如果有需要用户可联系客服或相关人员获取个人信息的副本,其将在一定期限内就用户要求进行答复。名单包括抖音、爱奇艺、快手、芒果TV、网易云音乐、喜马拉雅、斗鱼、YY、虎牙、TT语音、唱吧、企鹅电竞。

例如,芒果TV在《隐私权保护声明》“用户如何管理自己的信息”章节中表示,用户有权根据法律法规或国家标准的规定获取个人信息副本,在用户向指定邮箱发送邮件后,芒果TV将验证用户身份并于十五个工作日内回复。而快手则是在个人信息管理中提供了个人信息下载的选项,但仍需输入邮箱获取而非直接下载信息文件。

但测评员也注意到,目前仍有优酷、QQ音乐等8款APP并未在隐私协议中就用户个人信息副本的获取方式进行说明,在这些APP隐私协议的用户权益模块,通常均涉及到用户如何访问、更改、删除个人信息的权利,但并未涉及个人信息副本的获取。

而娱乐类APP在数据可携带权的另一面向——数据转移方面的落实情况则更不容乐观,测评结果显示,仅有6家APP在隐私协议中表示可为用户提供个人信息转移服务,其余APP大多只描述了自身可能转移用户信息的情景,而并未赋予用户相关的权益。

综合20款娱乐类APP在信息副本与数据转移两个维度上的实际表现而言,当前数据可携带权的落实仍然存在不小的困难,仅有爱奇艺与快手两款APP在隐私政策中就以上两种个人信息处理权利给出明确规定。受测评时间等客观条件限制,本次测评未能对以上个人信息副本的获取效率及信息质量进行核实,有待在未来的测评中进一步加以检验。

(图说:爱奇艺的隐私政策中指出,爱奇艺将同时提供个人信息副本获取和转移的服务)

测评补充说明:

测评时间:11月2日至5日。

APP所测版本(括号内为隐私政策更新或生效时间):

IOS系统:抖音18.2.0(2021.11.01)、Bilibili 6.46.0(2021.9.30)、腾讯视频8.4.76[Build 25548](2021.11.03)、爱奇艺V12.10.0(2021.08.31)、优酷 10.1.2 (2021.10.31)、芒果TV 6.9.4 (2021.10.29)、西瓜视频 6.1.0 (2021.11.01)、网易云音乐 8.6.01 (2021.8.25)、QQ音乐 10.18.5 (2021.10.29)、咪咕音乐7.6.1(2021.10.20)、全民K歌7.25.38(2021.11.03)、喜马拉雅8.3.45(2021.8.30)、荔枝FM5.16.3(2021.10.8)、斗鱼7.15(2021.8.2)

安卓系统:快手9.9.30.22470(2021.11.02)、YY8.1.1(2021.7.7)、虎牙9.10.21(2021.10.29)、TT语音5.5.19 15392(2021.9.24)、唱吧10.8.3.3(2021.7.16)、企鹅电竞6.11.0.576_1280(2021.10.31)

出品:南方财经全媒体集团合规科技研究院

统筹:曹金良

研究员:诸未静 吴立洋 蔡姝越 张晓凤(实习生)

更多信息等级保护测评(信息安全等级保护的测评方法)相关信息请关注本站,本文仅仅做为展示!