如何给App做隐私检测
潘严 贵司
守护用户隐私才能连接信任。通俗来讲,就是坚持“三不”原则:非必要,不收集;非授权,不使用;非合规,不上线。
身处互联网这个快速迭代的行业,我们能强烈地感受到数字化时代正在快速走来,很多行业和企业把“数字优先”作为战略思考的起点。必须警醒的是,科技和互联网发展到今天,技术发展的脚步太快了,也可以说是技术背后的数字伦理还远远没有达到与技术发展匹配的程度。近年来,频频出现个人信息泄漏、数据安全事件。
人们在享受数据便利与技术服务的时候,对数据隐私的担忧和焦虑也在与日俱增。这其中的原因主要源于两个方面,一方面,数据被滥用和误用的风险事件频发,引发社会广泛关注;另一方面,用户与提供产品服务的技术平台之间存在严重的信息不对称。
如果没有做好个人信息保护和数据安全合规,将会让技术处于一种非理性、易失控的状态,甚至成为经济社会发展的主要风险。毫无疑问,数据利用需要规则约束和责任担当,数据隐私的保护离不开有温度的产品设计和强有力的技术防护。
提升透明度
每款app的隐私保护政策可能洋洋洒洒有几千字,鲜少有用户会把隐私政策从头到尾去读一遍,虽然这两年基于法律法规的要求,对于敏感性的个人信息收集的时候app会做一个弹窗,但是对于用户来说弹窗的内容还是过于简单,难以全面了解一款app收集用户个人信息的全貌。尤其是隐私政策中间还有很多政策性的、法律性的一些术语,普通用户是难以理解的。如何更好地向用户告知app在隐私保护方面的价值、具体措施,对app提出更高的要求。
早在9年前,腾讯就成立了专门的隐私合规团队,2018年,又率先发布了《腾讯隐私保护白皮书》。2018年,腾讯提出“科技向善 数据有度”的数据隐私保护理念,必须按照“合法性、正当性和必要性”这个“度”来进行产品开发。通俗来讲,就是坚持“三不”原则:非必要,不收集;非授权,不使用;非合规,不上线。
今年1月初,腾讯隐私保护平台2.0上线,更透明地披露了腾讯的隐私政策。腾讯也是国内互联网公司中率先搭建的集中性展示公司整体隐私政策和产品隐私保护指引的公司。
腾讯隐私保护平台以透明化为出发点,增加“用户中心”、“隐私问题反馈”等栏目,进一步增强用户对产品的隐私管理。其中,新增的“用户中心”模块集合9款产品的隐私管理指引,覆盖通讯与社交、数字内容、金融科技服务、工具等四大类。此次腾讯隐私保护平台升级还为用户提供了具体产品的隐私管理指引,用户可以方便地查看产品隐私保护指引、修改隐私设置、了解账号注销流程、管理应用授权。
目前,除微信以外,腾讯隐私保护平台还提供QQ、企业微信、王者荣耀、腾讯视频、微视、腾讯地图、腾讯新闻和腾讯自选股等热门产品的隐私管理指引,方便用户查阅。
给App做“体检”
2020年小马哥提出“全真互联网”的概念,随着大数据、云计算、人工智能的深入学习,新技术、新硬件的联动,各种数据在真实和虚拟之间进行高度的协同,将真正突破“连接”的物理形态,虚拟世界和真实世界的界限开始模糊,其连接点就是数据。
数据隐私保护既需要建立全生命周期的数据合规管理制度,还需要强有力的技术支撑。依托几大安全实验室的技术能力,腾讯在内部推出数据隐私合规整体解决方案——“阀门”系统。阀门系统当前已推出APP合规风险扫描、SDK合规解决方案、产品隐私合规评估、隐私政策管理等功能,助力内部产品全面排查隐私风险。
“阀门”系统结合技术扫描能力及专业合规评估,从敏感权限调用、第三方SDK合规、隐私政策文等方面全面评估合规风险,为产品出具隐私合规“体检报告”。产品在上线前都要进行合规检测,这一措施也会逐步扩大到在腾讯平台上上线的其他公司的产品。
在数据安全技术上,玄武实验室、科恩实验室、云鼎实验室、移动安全实验室等七大专业实验室采用区块链、量子加密等技术,也为个人信息保护和数据安全建立坚实的“保护盾”。
揭开SDK面纱
根据国家网信办等四部委2019年11月28日发布的《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号),App必须明确列明包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。
根据相关的标准要求,需要在隐私政策中去披露到底植入了哪些第三方SDK,第三方SDK到底收集了哪些信息,到底这个SDK收集的信息是传输到哪里去了。2020年各家机构隐私合规检查检测中做过一个统计,其中有50%的通报都是出在了SDK合规披露的问题,包括权限、敏感权限披露的问题,都是存在各种各样违规点。
在传统的检查方式下,在发布产品之前需要先跟产品经理确认到底植入哪些SDK,产品经理、开发人员核对到底植入了哪些SDK, SDK到底收集了哪些信息也不知道,但往往反馈的结果是分裂的甚至是错误的。
腾讯的“阀门”系统搭建了整体的SDK隐私政策管理体系进行披露。比如QQ接入第三方SDK的目录的披露,包括它的SDK采集信息的类型以及接入第三方SDK的官方链接地址。
通过工具化的SDK合规扫描,产品在手机端运行的时候,可以在几分钟之内就扫描出来这个产品到底植入了哪些SDK,这个SDK到底收集哪些信息,这些相应信息到底在相应的隐私政策当中到底有没有披露。
同时,腾讯将接入第三方SDK的目录融合在产品的隐私保护指引中,会有一个跳转链接,隐私保护平台跟内部合规系统进行打通,在内部合规系统上面把产品SDK确定下来之后可以自动生成一份第三方接入SDK的目录,可以直接关联在隐私保护平台上。
有问题就扫这个码
值得一提的是,腾讯隐私保护平台与腾讯客服联合打造个人信息保护专区,为用户提供多样化的隐私问题反馈渠道。用户通过扫描二维码,进入“腾讯客服”,点击“其他”即可进入个人信息保护专区,用户可以浏览相关问题指引,还可以“提交问题”进行联系。
保护用户权益和加强数据合规,树立正确的数字责任观,也将是互联网公司最根本的责任之一。