助力防疫抗疫、复工复产，App数据安全不容忽视

当前，在疫情防控形势出现积极转变的情况下，面对疫情防控和经济社会发展工作的紧迫任务，中央和地方陆续出台政策稳步推进复工复产。同时，移动应用市场上协同办公、在线教育、便民服务等领域不少App也不失时机地展开了助力疫情防控、复工复产的宣传。

复工复产App基本情况

　　通过某主流应用市场进行初步统计，目前已上线的复工复产相关App约500款，类型可分为防疫服务、远程办公、在线教育等。其中防疫服务类App多为医药产品网购平台，支持在线购买防疫物资。远程办公类App普遍以在线协同办公、即时通信传输、网络视频会议等作为核心业务功能。在线教育类App则通过网课直播、作业批改、远程辅导等功能，协助教育群体在疫情期间实现停课不停学。

复工复产App数据安全隐患及合规性问题分析

　　本次评测选取国内主流应用商店下载量较大、业务功能较为贴合疫情防控时期社会大众需求的典型App进行数据安全合规性测试分析，发现其中多款App在注册、使用过程中涉及个人敏感信息以及企业数据的在线传输、存储、处理，且存在相应的安全隐患。

　　评测结果显示，复工复产相关App在是否明示收集使用个人信息的目的、方式、范围及公开收集使用个人信息规则等方面问题比较突出。除此之外，防疫服务类App在遵循最小必要原则方面存在不足；在线教育类App存在收集使用个人信息规则不完善、未明确有效的隐私政策更新机制等问题；远程办公类App则存在默认选择同意隐私政策、无法确保个人信息有效删除等情况。

　　1.医药平台涉及用户医疗和健康隐私数据，如何保护患者隐私是焦点问题

　　使用医药平台购买部分药品时，用户需要提供处方单和医生咨询信息、邮寄地址等个人敏感信息，除此之外部分App具有在线问诊功能，更进一步获取了患者电子病历、健康档案、会诊信息、影像数据等。一旦发生数据泄露将对患者群体、医疗产业造成严重影响。

　　本次评测中，此类App除未明示个人信息收集使用规则、未经用户同意收集使用个人信息情况、未遵循最小必要原则等问题以外，还存在强制索取非必要权限的情况。

　　案例1：某医药平台App在启动、登录、注册界面未以显著方式提示用户阅读隐私政策。

数据安全及个人信息保护相关建议

　　1.建议App相关企业严格落实法律法规要求，消除数据安全隐患

　　App运营公司及相关企业应严格落实《网络安全法》、《电信和互联网用户个人信息保护规定》（工信部24号令）等有关法律法规要求，参照《App违法违规收集使用个人信息行为认定方法》进行自查自纠，及时消除安全隐患，避免违法违规收集使用个人信息或发生数据安全事件。

　　移动App使用过程可能涉及个人敏感信息、企业核心数据的，运营公司应实现产品的快速迭代，完善产品防护机制。应用分发平台应加强App数据安全监测能力，提升数据安全保障能力。

　　2.建议作为用户的企业或个人重视数据安全，增强个人信息保护意识

　　企业一方面应结合自身管理制度，规范各项工作的开展，梳理数据资产实施分类分级管理，提升企业数据安全风险管控能力；另一方面需加强员工数据安全教育培训，确保员工使用过程的数据安全，防止由于意识不到位导致的安全事件。

　　此外，用户应选择正规、可靠的渠道下载App，关注App是否提供了完善的个人信息保护机制，谨慎提交个人信息，合理合法保障自身权益。

　　3.建议行业协会、联盟加强宣传引导，助力安全有序复工复产

　　相关行业协会、产业联盟应积极配合相关部门推动复工复产，在助力防控工作的前提下充分发挥联盟优势，凝聚各方力量，互助协作、资源共享，共同形成行之有效的解决方案并宣传推广。充分利用安全、高效的互联网平台，通过举办在线论坛、讲座，在媒体、公众号等渠道适时发声，加大数据安全和个人信息保护的宣传力度，增强企业和社会公众的数据安全意识。

　　（来源：“App个人信息举报”微信公众号　作者：王丹辉　解伯延　中国信息通信研究院安全研究所数据安全研究部）