賽迪前瞻2023年第51期（總839期）：加強(qiáng)未成年人網(wǎng)絡(luò)保護(hù)應(yīng)建立以事前預(yù)防為主的App信息保護(hù)體系-水印版

加強(qiáng)未成年人網(wǎng)絡(luò)保護(hù)應(yīng)建立以事前預(yù)防為主的App信息保護(hù)體系2023年10月，國務(wù)院正式發(fā)布《未成年人網(wǎng)絡(luò)保護(hù)條例》（以下簡稱《保護(hù)條例》明確提出要“做好未成年人網(wǎng)絡(luò)保護(hù)工作”。目前未成年人上網(wǎng)使用智能手機(jī)的比例超過90%，由于缺乏針對性的事前預(yù)防手段，導(dǎo)致手機(jī)App成為超范圍收集和非法濫用未成年人信息的主要通道，引發(fā)各類針對未成年人的非法網(wǎng)絡(luò)活動(dòng)并造成嚴(yán)重后果?！侗Ｗo(hù)條例》的出臺，讓建立以事前預(yù)防為主的App未成年人個(gè)人信息保護(hù)體系有了政策上的明確指引，但在實(shí)踐過程中還存在諸多問題。對此，本文提出相應(yīng)建議。一、建立以事前預(yù)防為主的App未成年人個(gè)人信息保護(hù)體系面臨四個(gè)不足分發(fā)平臺對App的實(shí)際檢測驗(yàn)證落實(shí)不足。分發(fā)平臺對App對未成年人個(gè)人信息的侵害也將是巨大的。目前App數(shù)量和分發(fā)量巨大（目前國內(nèi)市場上監(jiān)測到的APP數(shù)量為252萬款分發(fā)平臺難以全面落實(shí)對App的檢測驗(yàn)證。如作為全球前三大分發(fā)平和未成年人隱私保護(hù)自檢，分發(fā)平臺也對擬上架App進(jìn)行隱私合規(guī)檢測和人工審核，但是工業(yè)和信息化部通報(bào)的違法違規(guī)收集個(gè)人信息的未成年人應(yīng)用類App數(shù)據(jù)顯示，依然有部分App來自該應(yīng)用市場，在一定程度上甚至?xí)`導(dǎo)用戶。證服務(wù)能力的要求比較高。目前我國檢測認(rèn)證機(jī)構(gòu)在數(shù)量、能力和檢測結(jié)果互認(rèn)性方面還存在不足。一是有資質(zhì)的檢測認(rèn)證機(jī)構(gòu)認(rèn)可，具有GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》標(biāo)準(zhǔn)測試能力的檢測機(jī)構(gòu)共44家，在全國軟件和信息技術(shù)專業(yè)領(lǐng)域檢測實(shí)驗(yàn)室中僅占10%。而經(jīng)批準(zhǔn)具有國推個(gè)人信息保未成年人個(gè)人信息保護(hù)專項(xiàng)檢測認(rèn)證能力不足。2022年12月，國家認(rèn)監(jiān)委秘書處組織了“移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）收集個(gè)人信息”全國技能競賽。在參賽的32家機(jī)構(gòu)中，檢測實(shí)操項(xiàng)目均分為57±6分（滿分為100分），檢測能力難以滿足持續(xù)開展未成年人網(wǎng)絡(luò)保護(hù)檢測的要求。三是缺乏對未成年人信息保護(hù)保護(hù)檢測結(jié)果的互認(rèn)標(biāo)準(zhǔn)。到目前為止，尚不存在一款工具可以對App收集個(gè)人信息的行為進(jìn)行完全自動(dòng)化的測試，測試人員的能力差異、使用檢測工具和方法的差異，都會(huì)直接影響到檢測結(jié)果的一致性，在缺乏互認(rèn)標(biāo)準(zhǔn)的情況下，進(jìn)而影響未成年人個(gè)人信和梆梆5個(gè)App安全在線檢測平臺對同一款A(yù)ndroidApp進(jìn)行檢測，分別測出表達(dá)幾乎完全不同的10－30個(gè)風(fēng)險(xiǎn)漏洞，其中判定為高風(fēng)險(xiǎn)的漏洞也各不相同1。由于沒有針對手機(jī)App的未成年人信息保護(hù)檢測的標(biāo)準(zhǔn)，無法形成互認(rèn)的標(biāo)準(zhǔn)化檢測服務(wù)。準(zhǔn)確識別未成年人個(gè)人信息。根據(jù)中國軟件評測中心的實(shí)際測評結(jié)果，App在未成年人個(gè)人信息收集方面，罕見能夠準(zhǔn)確識別并給予單獨(dú)提示，采取避免收集或征得監(jiān)護(hù)人同意的方式。在未成年人年齡分段、敏感信息識別、保護(hù)措施合理性等方面也缺乏準(zhǔn)確判定。App難以準(zhǔn)確識別未成年人個(gè)人信息的背后根源在于其DevelopmentKit，軟件開發(fā)套件）時(shí)，對其檢測不嚴(yán)，進(jìn)而牽連到集成了問題SDK的所有App。360調(diào)研結(jié)果顯示，被工業(yè)和信息化部通報(bào)的違法違規(guī)收集個(gè)人信息的App中，有80%以上是因?yàn)榧闪诉`法違規(guī)收集個(gè)人信息的SDK，而導(dǎo)致App被動(dòng)性違法違規(guī)。三是App開發(fā)者預(yù)防性保護(hù)資源投入不足。Sy的商業(yè)App包含過時(shí)或廢棄的開源組件。84%的商業(yè)和專有代碼庫中至少檢測到一個(gè)已知的開源漏洞，其中48%屬于高風(fēng)險(xiǎn)漏洞，包括已被積極利用的遠(yuǎn)程代碼執(zhí)行漏洞”。黑客可能通過這些漏洞繞過認(rèn)證、越權(quán)訪問、竊取個(gè)人信息、篡改業(yè)務(wù)數(shù)據(jù)等。中國微企業(yè)）在數(shù)字安全方面的年投入不超過10萬元，此外有81%外界的幫助”。面向家長和未成年人用戶的專業(yè)保護(hù)知識和工具不足。從作為App用戶的家長和未成年人角度來看，用戶缺乏自我保護(hù)的專業(yè)知識。中國軟件評測中心的調(diào)研顯示，對于什么時(shí)候可以拒絕提供未成年人個(gè)人信息、如何判別未成年人個(gè)人信息收集方是否超范圍使用、發(fā)現(xiàn)問題向誰投訴等問題，大多數(shù)家長和未成年人都沒有答案。未成年人隱私政策往往包含在App整體隱私政策中，缺乏幫用戶“看懂”隱私政策和“看到”App收集過程的技能“看見”收集過程的保護(hù)工具提醒用戶理解，也無家長和未成年人的自我保護(hù)效果。二、建立以預(yù)防為主的未成年人個(gè)人信息保護(hù)體系需從四方面發(fā)力加強(qiáng)對App分發(fā)平臺的監(jiān)管。一是落實(shí)《保護(hù)條例》，出臺細(xì)分領(lǐng)域的未成年人個(gè)人信息保護(hù)標(biāo)準(zhǔn)，明確未成年人個(gè)人信息保護(hù)要求。如針對未成年人大量使用的短視頻類App、泛社交類App、教育類App、醫(yī)療類App和游戲類App的“未成年人個(gè)人信息處理規(guī)范”。二是持續(xù)做好App分發(fā)平臺的上架檢測監(jiān)管。分發(fā)平臺要做好收集未成年人的個(gè)人信息檢測，并將檢測結(jié)果和過程文檔存檔2年備查。在提升分發(fā)平臺的檢測能力方面，可以增加檢測頻次，A+B角交叉檢測，進(jìn)行100%人工審核，邀請有資質(zhì)的專業(yè)人員提供現(xiàn)場指導(dǎo)等方式，來精準(zhǔn)提升分發(fā)平臺的保護(hù)能力。三是持續(xù)開展治理違法違規(guī)收集未成年人個(gè)人信息的專項(xiàng)行動(dòng)。優(yōu)先選取未成年人使用量大的短視頻類、社交類、游戲類、教育類、醫(yī)療類App進(jìn)行檢測，加大對未成年人個(gè)人信息違法違規(guī)收集的懲罰力度和專項(xiàng)治理。建設(shè)高質(zhì)量的App檢測認(rèn)證服務(wù)體系。一是扶持更多第三方檢測認(rèn)證機(jī)構(gòu)建設(shè)個(gè)人信息安全檢測認(rèn)證能力。用1至2年的時(shí)間，再扶持3至5家可提供專業(yè)個(gè)人信息安全檢測認(rèn)證服務(wù)的龍頭機(jī)構(gòu)。二是提升有資質(zhì)檢測認(rèn)證機(jī)構(gòu)的服務(wù)能力。聯(lián)合檢測認(rèn)證機(jī)構(gòu)、主流分發(fā)平臺、未成年人用戶多的大型互聯(lián)網(wǎng)企業(yè)，共同研發(fā)對手機(jī)App未成年人個(gè)人信息保護(hù)檢測的互認(rèn)標(biāo)準(zhǔn)。鼓勵(lì)有資質(zhì)的檢測認(rèn)證機(jī)構(gòu)參加檢驗(yàn)檢測能力驗(yàn)證、國家級技能競賽，“以賽促學(xué)”。主動(dòng)研發(fā)和解讀相關(guān)的未成年人個(gè)人信息合規(guī)標(biāo)準(zhǔn)、規(guī)范、指南、技術(shù)保護(hù)工具、案例等，提供未成年人個(gè)人信息保護(hù)影響評估等服務(wù)。精準(zhǔn)提升專業(yè)保護(hù)能力。做好精準(zhǔn)培訓(xùn)和賦能，助力AppApp開發(fā)者要主動(dòng)學(xué)習(xí)和落實(shí)《個(gè)人信息網(wǎng)絡(luò)保護(hù)法》、《未成年人保護(hù)法》、GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》的規(guī)定和要求。要結(jié)合現(xiàn)有政策《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》《保護(hù)條例》，進(jìn)行自評、自測和內(nèi)部整改。從“善用外力”來說，要復(fù)用相對成熟和性價(jià)比高的網(wǎng)絡(luò)安全技術(shù)策略構(gòu)建檢測合規(guī)管理體系，提升對App集成SDK的未成年人個(gè)人信息保護(hù)檢測能力。對于開發(fā)能力有限、難以完成自檢的App開發(fā)商，應(yīng)當(dāng)在上架前或需要時(shí)，主動(dòng)尋求有資質(zhì)的第三方檢測認(rèn)證機(jī)構(gòu)服務(wù)，包括未成年人個(gè)人信息保護(hù)專項(xiàng)測評、App滲透測試、SDK安全測評、App開源供應(yīng)鏈安全測評、代碼托管、個(gè)人信息保護(hù)影響評估和合規(guī)審計(jì)、個(gè)人信息保護(hù)認(rèn)證等。從保護(hù)意識層、技術(shù)層、管理層和外部層四方面構(gòu)建預(yù)防性的信息安全技術(shù)策略和合規(guī)檢測能力。建設(shè)未成年人個(gè)人信息網(wǎng)絡(luò)保護(hù)一體化公共服務(wù)平臺。匯集App開發(fā)者、分發(fā)平臺、政府、高校、研究院所、協(xié)會(huì)、平臺企業(yè)、第三方檢測機(jī)構(gòu)認(rèn)證機(jī)構(gòu)和用戶的力量，加強(qiáng)協(xié)同作用。智能手機(jī)終端企業(yè)和App開發(fā)者要研發(fā)或升級完善未成年人個(gè)人信息保護(hù)軟件，為家長、未成年人提供專業(yè)的自助保護(hù)工具和使用培訓(xùn)。大