當(dāng)前，在疫情防控形勢出現(xiàn)積極轉(zhuǎn)變的情況下，面對疫情防控和經(jīng)濟(jì)社會發(fā)展工作的緊迫任務(wù)，中央和地方陸續(xù)出臺政策穩(wěn)步推進(jìn)復(fù)工復(fù)產(chǎn)。同時，移動應(yīng)用市場上協(xié)同辦公、在線教育、便民服務(wù)等領(lǐng)域不少App也不失時機(jī)地展開了助力疫情防控、復(fù)工復(fù)產(chǎn)的宣傳。

復(fù)工復(fù)產(chǎn)App基本情況

通過某主流應(yīng)用市場進(jìn)行初步統(tǒng)計(jì)，目前已上線的復(fù)工復(fù)產(chǎn)相關(guān)App約500款，類型可分為防疫服務(wù)、遠(yuǎn)程辦公、在線教育等。其中防疫服務(wù)類App多為醫(yī)藥產(chǎn)品網(wǎng)購平臺，支持在線購買防疫物資。遠(yuǎn)程辦公類App普遍以在線協(xié)同辦公、即時通信傳輸、網(wǎng)絡(luò)視頻會議等作為核心業(yè)務(wù)功能。在線教育類App則通過網(wǎng)課直播、作業(yè)批改、遠(yuǎn)程輔導(dǎo)等功能，協(xié)助教育群體在疫情期間實(shí)現(xiàn)停課

停學(xué)。

復(fù)工復(fù)產(chǎn)App數(shù)據(jù)安全隱患及合規(guī)性問題分析

本次評測選取國內(nèi)主流應(yīng)用商店下載量較大、業(yè)務(wù)功能較為貼合疫情防控時期社會大眾需求的典型App進(jìn)行數(shù)據(jù)安全合規(guī)性測試分析，發(fā)現(xiàn)其中多款A(yù)pp在注冊、使用過程中涉及個人敏感信息以及企業(yè)數(shù)據(jù)的在線傳輸、存儲、處理，且存在相應(yīng)的安全隱患。

評測結(jié)果顯示，復(fù)工復(fù)產(chǎn)相關(guān)App在是否明示收集使用個人信息的目的、方式、范圍及公開收集使用個人信息規(guī)則等方面問題比較突出。除此之外，防疫服務(wù)類App在遵循最小必要原則方面存在不足；在線教育類App存在收集使用個人信息規(guī)則不完善、未明確有效的隱私政策更新機(jī)制等問題；遠(yuǎn)程辦公類App則存在默認(rèn)選擇同意隱私政策、無法確保個人信息有效刪除等情況。

1.醫(yī)藥平臺涉及用戶醫(yī)療和健康隱私數(shù)據(jù)，如何保護(hù)患者隱私是焦點(diǎn)問題

使用醫(yī)藥平臺購買部分藥品時，用戶需要提供處方單和醫(yī)生咨詢信息、郵寄地址等個人敏感信息，除此之外部分App具有在線問診功能，更進(jìn)一步獲取了患者電子病歷、健康檔案、會診信息、影像數(shù)據(jù)等。一旦發(fā)生數(shù)據(jù)泄露將對患者群體、醫(yī)療產(chǎn)業(yè)造成嚴(yán)重影響。

本次評測中，此類App除未明示個人信息收集使用規(guī)則、未經(jīng)用戶同意收集使用個人信息情況、未遵循最小必要原則等問題以外，還存在強(qiáng)制索取非必要權(quán)限的情況。

案例1：某醫(yī)藥平臺App在啟動、登錄、注冊界面未以顯著方式提示用戶閱讀隱私政策。

案例2：某醫(yī)藥平臺App申請可收集個人信息權(quán)限時未同步說明使用目的。

2.在線教育相關(guān)數(shù)據(jù)涉及用戶身份信息、教育信息，需額外關(guān)注未成年人信息保護(hù)

教育平臺存儲了大量的學(xué)生在線注冊信息，使用過程中為了課堂秩序和教育質(zhì)量，通常需要開啟麥克風(fēng)、攝像頭等敏感權(quán)限，未成年人信息一旦泄露或被違法商用，對他們的人身安全、學(xué)習(xí)和成長都將產(chǎn)生極大危害，企業(yè)自身及其他教育用戶也面臨同樣的安全風(fēng)險(xiǎn)。

本次評測發(fā)現(xiàn)在線教育類App在公開收集使用規(guī)則，明示收集使用個人信息的目的、方式、范圍方面存在欠缺，部分App申請權(quán)限時彈出的說明文字語焉不詳，不能明示其索要權(quán)限的動機(jī)，或未明確隱私政策更新機(jī)制。

案例3：某在線教育App在收集個人信息方面未能明確規(guī)范其收集使用規(guī)則，隱私政策中提及的收集使用個人信息類型和其業(yè)務(wù)功能對應(yīng)關(guān)系不清。

案例4：某作業(yè)輔導(dǎo)App在申請可收集個人信息的定位、存儲權(quán)限時，未同步說明目的。

案例5：某在線教育App未明確有效的隱私政策更新機(jī)制及通知用戶的方式。

3.協(xié)同辦公各項(xiàng)功能的實(shí)現(xiàn)涉及員工信息及企業(yè)核心數(shù)據(jù)，管理不當(dāng)容易造成數(shù)據(jù)泄露、丟失、被竊取等安全事件

協(xié)同辦公主要支持在線考勤、文檔分享、辦公協(xié)作、流程審批等功能，抗疫期間各平臺競相提供免費(fèi)資源吸引用戶，信息交互涉及大量企業(yè)內(nèi)部、甚至核心數(shù)據(jù)，對App本身的數(shù)據(jù)安全保障能力提出了極高要求。

受測的協(xié)同辦公、視頻會議類App多暴露出未明示收集使用個人信息的目的、方式、范圍，及未遵循必要原則收集使用個人信息問題，尤其在App索權(quán)方面規(guī)范性不足。

案例6：某視頻會議App在注冊賬號時，未經(jīng)用戶自主操作，默認(rèn)勾選“閱讀并同意”選項(xiàng)。

案例7：某協(xié)同辦公App將隱私政策夾雜在服務(wù)條款中，且未在隱私政策中逐一描述收集使用個人信息的類型、目的等規(guī)則。

案例8：某協(xié)同辦公App功能界面、客服電話、電子郵箱等各渠道均無法要求刪除文檔、個人信息等數(shù)據(jù)。

案例9：某網(wǎng)絡(luò)會議App啟動、登錄、注冊界面均未提示用戶閱讀其隱私政策。

數(shù)據(jù)安全及個人信息保護(hù)相關(guān)建議

1.建議App相關(guān)企業(yè)嚴(yán)格落實(shí)法律法規(guī)要求，消除數(shù)據(jù)安全隱患

App運(yùn)營公司及相關(guān)企業(yè)應(yīng)嚴(yán)格落實(shí)《網(wǎng)絡(luò)安全法》、《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》（工信部24號令）等有關(guān)法律法規(guī)要求，參照《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》進(jìn)行自查自糾，及時消除安全隱患，避免違法違規(guī)收集使用個人信息或發(fā)生數(shù)據(jù)安全事件。

移動App使用過程可能涉及個人敏感信息、企業(yè)核心數(shù)據(jù)的，運(yùn)營公司應(yīng)實(shí)現(xiàn)產(chǎn)品的快速迭代，完善產(chǎn)品防護(hù)機(jī)制。應(yīng)用分發(fā)平臺應(yīng)加強(qiáng)App數(shù)據(jù)安全監(jiān)測能力，提升數(shù)據(jù)安全保障能力。

2.建議作為用戶的企業(yè)或個人重視數(shù)據(jù)安全，增強(qiáng)個人信息保護(hù)意識

企業(yè)一方面應(yīng)結(jié)合自身管理制度，規(guī)范各項(xiàng)工作的開展，梳理數(shù)據(jù)資產(chǎn)實(shí)施分類分級管理，提升企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)管控能力；另一方面需加強(qiáng)員工數(shù)據(jù)安全教育培訓(xùn)，確保員工使用過程的數(shù)據(jù)安全，防止由于意識不到位導(dǎo)致的安全事件。

此外，用戶應(yīng)選擇正規(guī)、可靠的渠道下載App，關(guān)注App是否提供了完善的個人信息保護(hù)機(jī)制，謹(jǐn)慎提交個人信息，合理合法保障自身權(quán)益。

3.建議行業(yè)協(xié)會、聯(lián)盟加強(qiáng)宣傳引導(dǎo)，助力安全有序復(fù)工復(fù)產(chǎn)

相關(guān)行業(yè)協(xié)會、產(chǎn)業(yè)聯(lián)盟應(yīng)積極配合相關(guān)部門推動復(fù)工復(fù)產(chǎn)，在助力防控工作的前提下充分發(fā)揮聯(lián)盟優(yōu)勢，凝聚各方力量，互助協(xié)作、資源共享，共同形成行之有效的解決方案并宣傳推廣。充分利用安全、高效的互聯(lián)網(wǎng)平臺，通過舉辦在線論壇、講座，在媒體、公眾號等渠道適時發(fā)聲，加大數(shù)據(jù)安全和個人信息保護(hù)的宣傳力度，增強(qiáng)企業(yè)和社會公眾的數(shù)據(jù)安全意識。