智能終端產(chǎn)業(yè)個人信息保護白皮書（2018 年）

1、,版權(quán)聲明,,,本白皮書版權(quán)屬于中國信息通信研究院中國泰爾實驗室，并受法律保護。轉(zhuǎn)載、摘編或利用其它方式使用本白 皮書文字或者觀點的，應(yīng)注明“來源：中國泰爾實驗室”。違反上述聲明者，本實驗室將追究其相關(guān)法律責(zé)任。,,前言,當(dāng)前，世界正處于新一輪科技革命和產(chǎn)業(yè)革命的變革浪潮中，以智能終端為代表的互聯(lián)網(wǎng)產(chǎn)業(yè)已成為“互聯(lián)網(wǎng)+”的基礎(chǔ)設(shè)施，是 推動經(jīng)濟社會變革的重要力量。智能終端、應(yīng)用分發(fā)平臺、應(yīng)用軟件的迅猛發(fā)展為用戶帶來了前所未有的

2、豐富體驗。在智能終端上， 可以通過應(yīng)用分發(fā)平臺下載社交、購物、支付、出行、娛樂等各類 應(yīng)用軟件，隨時隨地享受互聯(lián)網(wǎng)時代的便利。隨著產(chǎn)業(yè)的蓬勃發(fā)展， 終端產(chǎn)業(yè)未來會進一步走向信息化、智能化。然而，隨著技術(shù)日新月異的發(fā)展，智能終端產(chǎn)業(yè)的個人信息保 護問題日益凸顯，信息泄漏、信息過度收集使用、權(quán)限濫用等問題 嚴(yán)重威脅了廣大人民群眾的切身利益。為保障智能終端產(chǎn)業(yè)健康發(fā) 展，維護用戶合法權(quán)益，中國泰爾實驗室、互聯(lián)網(wǎng)協(xié)會、電信終端 產(chǎn)業(yè)協(xié)會聯(lián)

3、合制定與發(fā)布本白皮書。本白皮書著眼于智能終端產(chǎn)業(yè) 新的發(fā)展階段，闡述了個人信息保護現(xiàn)狀和面臨的挑戰(zhàn)，基于業(yè)界 最佳實踐，在終端設(shè)備、分發(fā)平臺、應(yīng)用開發(fā)等方面提出個人信息 保護建議，并倡議產(chǎn)業(yè)界落實企業(yè)主體責(zé)任，加強行業(yè)自律，強化 產(chǎn)業(yè)協(xié)作體系，共同構(gòu)筑智能終端產(chǎn)業(yè)個人信息保護良好生態(tài)。,,目錄一、智能終端產(chǎn)業(yè)現(xiàn)狀 ...........................................................

4、....... 1二、智能終端產(chǎn)業(yè)個人信息保護面臨的挑戰(zhàn)................................... 4（一）用戶信息過度收集難識別難舉證 ........................................4（二）權(quán)限申請過度易感知難判定 ................................................5（三）低API 等級應(yīng)用規(guī)避安卓安全機制.....

5、...............................6（四）設(shè)備識別碼防護意識不足 ....................................................7（五）隱私與便利選擇兩難，產(chǎn)業(yè)協(xié)作能力不足........................8三、終端設(shè)備個人信息保護的分析和建議...................................... 9（一）加大權(quán)限調(diào)用

6、可知可控力度 ................................................9（二）落實信息收集使用告知同意 ..............................................10（三）提高設(shè)備識別碼防護能力 .................................................. 11（四）重點加強生物特征數(shù)據(jù)保護 ..........

7、....................................12（五）完善應(yīng)用管控保障機制 ......................................................13（六）加強基礎(chǔ)保障能力建設(shè) ......................................................14四、應(yīng)用開發(fā)個人信息保護的分析與建議..................

8、.................. 15（一）采用高 API 等級開發(fā)應(yīng)用..................................................15（二）適配最新操作系統(tǒng)及外部代碼庫 ......................................16（三）遵循合法正當(dāng)必要原則申請權(quán)限 ......................................16（四）采用單項

9、同意獲取敏感信息收集使用授權(quán)......................18（五）采用加密機制傳輸敏感數(shù)據(jù) ..............................................20,,,（六）謹(jǐn)慎使用外部存儲區(qū)域 ......................................................20（七）貫徹全生命周期安全編碼原則 ........................

10、..................21五、應(yīng)用分發(fā)個人信息保護的分析與建議.................................... 22（一）制定完善的開發(fā)者政策和分發(fā)協(xié)議 ..................................22（二）落實開發(fā)者及應(yīng)用資質(zhì)審核要求 ......................................22（三）完善分發(fā)平臺上架機制 .........

11、.............................................23（四）充分明示應(yīng)用相關(guān)信息 ......................................................23（五）探索應(yīng)用運行期管控方案 ..................................................23（六）建立投訴與反饋通道 .................

12、.........................................24（七）建立應(yīng)用下架響應(yīng)機制 ......................................................24（八）定期報送行業(yè)監(jiān)管數(shù)據(jù) ......................................................24六、消費者個人信息保護建議..................

13、.................................... 25（一）選擇信息明示清晰的手機、應(yīng)用和下載渠道..................25（二）使用前充分了解權(quán)限管理機制和隱私政策......................26（三）善于使用手機設(shè)置功能，增強安全意識..........................26七、智能終端產(chǎn)業(yè)行動倡議...........................

14、.............................. 27（一）落實企業(yè)主體責(zé)任，保障用戶合法權(quán)益..........................28（二）加強行業(yè)自律，探索自治新方式 ......................................28（三）促進公眾監(jiān)督，及時響應(yīng)用戶關(guān)切 ..................................29（四）加強溝通協(xié)調(diào)，強化產(chǎn)業(yè)協(xié)作體系

15、..................................29,,中國泰爾實驗室,智能終端產(chǎn)業(yè)個人信息保護白皮書 （2018 年）,,一、智能終端產(chǎn)業(yè)現(xiàn)狀據(jù)中國信息通信研究院發(fā)布的《2018 年 9 月國內(nèi)手機市場運行 分析報告》，2018 年 1 月到 9 月，國內(nèi)智能終端出貨量為 2.87 億部， 其中 Android 操作系統(tǒng)占比達(dá)到 89.8%，iOS 操作系統(tǒng)占比為 10.1%， 其他系統(tǒng)為 0.1%。Andr

16、oid 操作系統(tǒng)具備開源、開放、靈活的特性， 當(dāng)前占據(jù)了智能終端市場的主導(dǎo)地位。隨著用戶權(quán)益保護意識的覺 醒，裝載 Android 操作系統(tǒng)的智能終端已成為個人信息保護工作的焦 點。,數(shù)據(jù)來源：中國泰爾實驗室圖 1 2018 年進網(wǎng)終端 Android 系統(tǒng)版本比例Android 系統(tǒng)碎片化問題嚴(yán)重。據(jù)統(tǒng)計，在 2018 年進網(wǎng)終端中，Android 9.0 占比 4.42%；Android 8.0 占比 46.54%；A

17、ndroid 7.0 占比25.18%；上市三年多的 Android 6.0 系統(tǒng)，占比 14.58%；Android 5.0及更早之前的版本占比 9.28%。相對于舊版本，新版本增加了更多的,,,,,,,,,,,,,,,,4?,,47?,,25?,,15?,,9?,,,,,,Android 9Android 8,,,,,Android 7Android 6,,,其他,1,,智能終端產(chǎn)業(yè)個人信息保護白皮書 （2018 年）,

18、中國泰爾實驗室,,個人信息保護機制。嚴(yán)重的系統(tǒng)碎片化問題，使得較多應(yīng)用利用Android 操作系統(tǒng)向下兼容的特性，采用較低等級目標(biāo) API 版本，規(guī) 避高版本操作系統(tǒng)安全和保護機制的約束。iOS 系統(tǒng)版本分布相對集中。根據(jù)蘋果公司官網(wǎng)數(shù)據(jù)，截至 2018年 10 月 10 日，全球活躍設(shè)備中有 50%使用 1 個月前發(fā)布的iOS 12新版本，約 90%的用戶使用一年內(nèi)發(fā)布的 iOS 版本。相對于 Android，iOS

19、操作系統(tǒng)具有封閉的特性，核心代碼不開放，操作系統(tǒng)統(tǒng)一更新， 新版本普及速率較快，版本分布比較集中，碎片化現(xiàn)象不嚴(yán)重。同時， 具有唯一的官方應(yīng)用市場（App Store）下載渠道，應(yīng)用上架規(guī)則統(tǒng)一， 可在源頭加強應(yīng)用敏感權(quán)限使用和信息收集使用的審核，對營造的 iOS 產(chǎn)業(yè)生態(tài)具有較強的管控能力。,數(shù)據(jù)來源：蘋果公司官網(wǎng)，2018 年 10 月 10 日圖 2 活躍設(shè)備 iOS 系統(tǒng)版本比例應(yīng)用個人信息保護問題突出。用戶可從商店

20、、網(wǎng)頁、論壇等第三 方分發(fā)渠道下載應(yīng)用。裝載社交、購物、支付、出行、娛樂等各類應(yīng),,,,,,,,,,50?,,39?,,11?,,,,,,,,iOS 12iOS 11早期版本,2,,中國泰爾實驗室,智能終端產(chǎn)業(yè)個人信息保護白皮書 （2018 年）,,,用的終端設(shè)備，已經(jīng)成為用戶社交和生活的主要載體。終端所裝應(yīng)用引發(fā)的信息泄露等問題是消費者關(guān)注的焦點。在應(yīng)用使用過程中，用 戶讓渡部分信息獲取生活便利已成為普遍現(xiàn)象，大量應(yīng)用越界獲取及

21、 濫用用戶信息，侵犯用戶合法權(quán)益，造成用戶財產(chǎn)損失。敏感信息竊取比例 11.86 。在 2017 年 10 月-2018 年 10 月所檢測的 2722 萬余款應(yīng)用中，存在資費損耗、妨害滋擾、隱私竊取等侵 犯用戶權(quán)益的應(yīng)用 299 萬個， 其中竊取敏感信息的應(yīng)用比例為11.86%。,數(shù)據(jù)來源：武漢安天信息技術(shù)有限公司圖 3 用戶個人信息保護不良行為類別游戲娛樂類應(yīng)用風(fēng)險最高。從高風(fēng)險和違規(guī)應(yīng)用分布來看，游戲 娛樂類應(yīng)用

22、占比最高，達(dá) 40.05%。游戲依托其應(yīng)用特性，多款應(yīng)用存在竊取用戶信息、強行捆綁應(yīng)用等問題。高風(fēng)險和違規(guī)應(yīng)用中系統(tǒng) 工具類占比 21.49%，其中手機桌面應(yīng)用、ROOT 工具應(yīng)用等越界獲 取用戶信息嚴(yán)重，甚至造成用戶財產(chǎn)損失。生活服務(wù)類應(yīng)用占比16.83%，該類應(yīng)用與用戶生活連結(jié)緊密，更容易被攻擊者利用，竊取,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,12?,,46?,,0?,,4?,,0?,,2?,,3?,,1?

23、,,32?,,,,,,,,,,,,,,,,,,,,隱私竊取 資費損耗 遠(yuǎn)程控制 系統(tǒng)破壞 風(fēng)險傳播 誘騙欺詐 強制推廣 版權(quán)侵害 妨害滋擾,3,,智能終端產(chǎn)業(yè)個人信息保護白皮書 （2018 年）,中國泰爾實驗室,,用戶信息，侵犯用戶權(quán)益。,數(shù)據(jù)來源：武漢安天信息技術(shù)有限公司圖 4 高風(fēng)險和違規(guī)應(yīng)用行業(yè)分布二、智能終端產(chǎn)業(yè)個人信息保護面臨的挑戰(zhàn)隨著大數(shù)據(jù)時代的到來，個人信息保護問題逐漸暴露。信息泄漏、 信息過度收集使用、權(quán)限濫用

24、等問題嚴(yán)重威脅了廣大用戶的切身利 益。應(yīng)用API 等級低、一攬子授權(quán)、不授權(quán)就不給用等現(xiàn)象的存在， 將用戶推入隱私與便利的兩難選擇。智能終端產(chǎn)業(yè)用戶個人信息保護 工作面臨嚴(yán)峻的挑戰(zhàn)。（一）用戶信息過度收集難識別難舉證隨著移動互聯(lián)網(wǎng)的迅速發(fā)展，應(yīng)用經(jīng)歷了“野蠻生長”的時代。 為提供個性化服務(wù)，開展精準(zhǔn)投放，應(yīng)用收集使用了大量用戶的個人 信息，包括設(shè)備信息、位置信息、通訊錄等敏感數(shù)據(jù)。應(yīng)用在收集使 用個人信息的過程中，存在以下現(xiàn)象：

25、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,40?,,21?,,17?,,6?,,4?,,3?,,,,3? 3? 2?,,1?,,,,,,,,,,,,,,,,,,,,,,游戲娛樂 系統(tǒng)工具 生活服務(wù) 通訊社交 媒體資訊 辦公商務(wù) 教育培訓(xùn) 旅游出行 金融理財 網(wǎng)上購物,4,,中國泰爾實驗室,智能終端產(chǎn)業(yè)個人信息保護白皮書 （2018 年）,,應(yīng)用在用戶不知情的情況下，過度收集和使用個人信息。大量用戶反映，個人信息

26、在不知情的情況下被收集使用，搜索過的信息，說 過的話，敏感的健康數(shù)據(jù)，以用戶可感知的方式呈現(xiàn)。但信息是如何 被收集，通過何種渠道共享傳播，普通用戶難識別，難舉證。較多應(yīng) 用并未通過隱私政策或其他途徑告知用戶收集使用信息的目的、方式 和范圍，也未向用戶提供明確的允許和拒絕的選擇，這種累積性的權(quán) 益侵害在日常生活中普遍存在，引發(fā)了用戶的嚴(yán)重?fù)?dān)憂。信息過度收 集使用的亂象亟待解決。應(yīng)用第三方 SDK 大量收集使用個人信息。應(yīng)用通常會使用第三

27、方 SDK 快速實現(xiàn)業(yè)務(wù)功能，而第三方 SDK 與應(yīng)用在收集用戶信息方面 具有同樣的能力。鑒于第三方 SDK 的不開源性，應(yīng)用無法完全掌控 第三方SDK 的行為。部分應(yīng)用不清楚 SDK 申請權(quán)限的目的，難以準(zhǔn) 確明示第三方SDK 所收集使用的用戶信息，通常只能通過協(xié)議約束 第三方SDK 收集使用用戶信息的行為。某些第三方 SDK 同時被多家 應(yīng)用集成使用，收集的海量數(shù)據(jù)一旦泄露，可造成廣泛的惡劣影響。（二）權(quán)限申請過度易感知難判定

28、權(quán)限是指為保護用戶的隱私，移動終端操作系統(tǒng)對于應(yīng)用訪問敏 感用戶數(shù)據(jù)或使用特定系統(tǒng)功能的限制。為滿足用戶可知可控要求， 國內(nèi)終端大都具備權(quán)限管理機制，權(quán)限申請在顯著位置提示，并經(jīng)用 戶同意后方可使用。但目前權(quán)限申請過度仍是普遍現(xiàn)象。權(quán)限申請過度現(xiàn)象嚴(yán)重。根據(jù)對國內(nèi)應(yīng)用市場 TOP 1000 應(yīng)用取 樣分析顯示，Android 應(yīng)用普遍會申請電話、定位、攝像頭和錄音等,5,,智能終端產(chǎn)業(yè)個人信息保護白皮書 （2018 年）,中國泰爾實

29、驗室,,核心敏感權(quán)限，其中讀取電話狀態(tài)權(quán)限的比例 97.37%，申請位置權(quán)限的比例 84.15%，申請攝像頭權(quán)限的比例 66.8%，申請錄音權(quán)限的 比例 59.1%，申請聯(lián)系人權(quán)限的比例 42.4%。應(yīng)用過度申請權(quán)限的問 題普遍存在。申請超出應(yīng)用實際業(yè)務(wù)功能和場景的權(quán)限，為應(yīng)用過度 收集用戶個人信息打開了通道，極易造成用戶信息泄漏。,數(shù)據(jù)來源：中國泰爾實驗室圖 5 應(yīng)用權(quán)限獲取情況權(quán)限過度申請濫用難規(guī)范難判定。如何判定應(yīng)用權(quán)限過

30、度申請和 濫用，存在易感知難判定的問題。目前尚缺乏成熟的技術(shù)規(guī)范和判定 手段，難以正確引導(dǎo)應(yīng)用開發(fā)者遵循合法正當(dāng)必要原則申請權(quán)限，是 智能終端產(chǎn)業(yè)在個人信息保護工作中面臨的巨大的挑戰(zhàn)。（三）低 API 等級應(yīng)用規(guī)避安卓安全機制應(yīng)用與Android 系統(tǒng)的交互依賴于框架 API，開發(fā)時要配置應(yīng)用,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,99.25 97.37,,84.52,,84.15,,79.64,,66

31、.79,,59.07,,49.44,,42.39,,41.80,,0.00,,,,,,50.0040.0030.0020.0010.00,,,70.0060.00,,,,100.0090.0080.00,,百分比,,,,,,,,,,,,,,,,,,,寫入外部存儲 讀取電話狀態(tài) 讀取外部存儲 訪問粗略位置 使用攝像頭錄音訪問帳號信息 讀取聯(lián)系人,,,訪問精確位置 撥打電話,6,,中國泰爾實驗室,智能終端產(chǎn)業(yè)個人信息保護白

32、皮書 （2018 年）,,的目標(biāo)API 等級以明確應(yīng)用支持的 Android 目標(biāo)系統(tǒng)版本。低API 等級應(yīng)用風(fēng)險高，升級難度大。Android 系統(tǒng)在應(yīng)用運行 時檢查目標(biāo)API 等級設(shè)置，若系統(tǒng)版本低于或者等于應(yīng)用的目標(biāo) API 等級，系統(tǒng)無需執(zhí)行任何兼容性處理。若 Android 系統(tǒng)版本高于此項 配置，系統(tǒng)會執(zhí)行兼容性策略。低 API 等級應(yīng)用運行在高版本的Android 操作系統(tǒng)上，可繞過 Android 系統(tǒng)的信息保護

33、機制。同時，Android 系統(tǒng)針對目標(biāo) API 等級 23 及以上的應(yīng)用執(zhí)行運行時權(quán)限機制，即業(yè)務(wù)功能運行時系統(tǒng)才會授予應(yīng)用權(quán)限。目標(biāo) API 等級 23 以 下的應(yīng)用采用一攬子授權(quán)，存在不授權(quán)無法安裝使用的問題。目前， 國內(nèi)應(yīng)用達(dá)到目標(biāo)API 等級 26 及以上的比例大致為 10%，推動應(yīng)用 開發(fā)者及時適配高版本 Android 系統(tǒng)，加強移動智能終端預(yù)置與分發(fā) 環(huán)節(jié)對應(yīng)用高API 等級的上架要求，是近期用戶個人信息保護的重

34、點 工作。（四）設(shè)備識別碼防護意識不足隨著大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展，收集智能終端唯一標(biāo)識，如國際移動設(shè) 備識別碼（IMEI）、Wi-FiMAC 地址、SIM 卡國際移動用戶識別 碼（IMSI）和藍(lán)牙地址等設(shè)備物理地址信息成為普遍現(xiàn)象。用戶普遍缺乏設(shè)備識別碼防護意識。設(shè)備識別碼與用戶身份深度綁定。累積性的數(shù)據(jù)匯聚為用戶的行蹤軌跡，可用于分析特定用戶的 生活習(xí)慣和消費行為，形成個人畫像，并在用戶未知情的情況下用于 精準(zhǔn)營銷、甚至精準(zhǔn)詐

35、騙等。然而普通用戶缺乏設(shè)備識別碼的防護意 識，并未意識到設(shè)備識別碼已成為重要的個人敏感信息。提升用戶設(shè),7,,智能終端產(chǎn)業(yè)個人信息保護白皮書 （2018 年）,中國泰爾實驗室,,備識別碼防護意識，加大設(shè)備識別碼保護機制研究，落實設(shè)備識別碼防護措施，既是個人信息保護工作的難點，也是重點。設(shè)備識別碼防護手段不足。部分終端設(shè)備使用了 Wi-Fi MAC 地 址隨機化機制，在未接入 Wi-Fi 熱點時發(fā)送含有隨機 MAC 地址的探 索幀，

36、避免真實 MAC 地址被惡意 Wi-Fi 熱點非法收集，防止用戶軌 跡的泄露。但當(dāng)終端設(shè)備實際接入 Wi-Fi 網(wǎng)絡(luò)時，終端設(shè)備仍需切換真實的MAC 地址進行網(wǎng)絡(luò)通信，未能從根源上解決設(shè)備識別碼被非 法收集的問題。（五）隱私與便利選擇兩難，產(chǎn)業(yè)協(xié)作能力不足移動互聯(lián)網(wǎng)在給我們工作生活帶來便利的同時，頻頻出現(xiàn)用戶個 人信息泄漏、盜用等問題。隱私換取便利是無奈之舉。大量應(yīng)用在安裝使用時，申請通訊錄、 攝像頭、短信、錄音、位置等多項與

37、其核心功能無關(guān)的權(quán)限，若用戶拒絕某些權(quán)限的申請，應(yīng)用則無法正常使用。這種行業(yè)內(nèi)普遍存在的 一攬子授權(quán)、不授權(quán)就不給用的現(xiàn)象，使得大部分用戶別無選擇，不 得不拿個人隱私換取便利。應(yīng)用這種權(quán)限濫用行為，已經(jīng)成為用戶個 人信息泄露的主要途徑。產(chǎn)業(yè)協(xié)作能力不足。在用戶權(quán)益保護共識廣泛達(dá)成、公眾個人敏感信息保護意識普遍提升的情況下，終端、應(yīng)用、分發(fā)等產(chǎn)業(yè)鏈環(huán)節(jié) 協(xié)作不足，權(quán)限管控、信息收集使用、設(shè)備識別碼防護等方面行動不 統(tǒng)一，未形成有效合

38、力。建立對重點環(huán)節(jié)的有效管控，構(gòu)筑上下游打,8,,中國泰爾實驗室,智能終端產(chǎn)業(yè)個人信息保護白皮書 （2018 年）,,通、各方力量協(xié)同的個人信息保護協(xié)作體系，將成為現(xiàn)實需要和必然方向。三、終端設(shè)備個人信息保護的分析和建議隨著互聯(lián)網(wǎng)的迅猛發(fā)展，終端功能日益豐富，在給生活帶來極大 便利性的同時，也逐步成為綁定了大量個人信息的載體，帶來安全威 脅。終端設(shè)備應(yīng)從權(quán)限可知可控，個人信息采集告知同意，設(shè)備識別 碼安全防護，生物特征數(shù)據(jù)保護

39、，終端設(shè)備應(yīng)用管控和基礎(chǔ)保障等多 個方面出發(fā)，建立全方位的個人信息保護體系，為個人敏感數(shù)據(jù)的機 密性、完整性和可用性保駕護航。（一）加大權(quán)限調(diào)用可知可控力度應(yīng)依據(jù)YD/T 2407-2013《移動智能終端安全能力技術(shù)要求》標(biāo)準(zhǔn)， 終端設(shè)備應(yīng)遵循行為與用戶意愿一致的基本原則，設(shè)計完善的權(quán)限管 控機制，提升用戶可知可控的能力，避免用戶個人信息泄露。用戶對終端設(shè)備權(quán)限調(diào)用應(yīng)可知。終端設(shè)備應(yīng)通過給用戶提示的 方式來防范安全威脅，給用戶

40、的提示可以是圖標(biāo)、文字或其他明顯的 方式。在操作執(zhí)行期間，提示應(yīng)足夠引起用戶注意，且提示信息易于 理解。終端設(shè)備宜從應(yīng)用和權(quán)限兩個視角呈現(xiàn)調(diào)用情況，用戶既可查 看單個應(yīng)用申請的全部權(quán)限及目的，也可查看申請某特定權(quán)限的全部 應(yīng)用。同時，建議終端設(shè)備提供相應(yīng)機制，在一定時間內(nèi)記錄并統(tǒng)計 應(yīng)用調(diào)用行為情況，可供用戶查看詳細(xì)記錄結(jié)果。用戶對終端設(shè)備上權(quán)限調(diào)用應(yīng)可控。終端設(shè)備應(yīng)通過讓用戶確認(rèn),9,,智能終端產(chǎn)業(yè)個人信息保護白皮書 （2018

41、年）,中國泰爾實驗室,,的方式來防范安全威脅，用戶應(yīng)具有選擇權(quán)，即用戶能確認(rèn)也能取消。Android 6.0（API 23 等級）及以上，在應(yīng)用運行時向其授予權(quán)限。終 端設(shè)備應(yīng)提供權(quán)限管控機制，對所安裝的第三方應(yīng)用的敏感權(quán)限進行 分項控制，可提供允許、詢問和禁止三種狀態(tài)以便用戶選擇。終端設(shè) 備在應(yīng)用使用攝像頭、錄音、定位和電話等核心敏感權(quán)限時，應(yīng)實時 提供顯性提示告知用戶。手機號碼、設(shè)備識別碼（IMEI、Wi-Fi MAC地址等）、

42、讀取短信、寫/刪短信、讀取聯(lián)系人、寫/刪聯(lián)系人、后臺 截屏、上網(wǎng)記錄（歷史、書簽）等敏感權(quán)限，應(yīng)在相關(guān)業(yè)務(wù)功能運行 時獲取用戶確認(rèn)授權(quán)。終端設(shè)備未經(jīng)用戶許可不得默認(rèn)授權(quán)。應(yīng)用調(diào) 用移動數(shù)據(jù)、WLAN、NFC 和藍(lán)牙等功能開關(guān)時，應(yīng)征得用戶同意。 終端設(shè)備宜提供應(yīng)用自啟動權(quán)限管理功能，用戶可設(shè)置應(yīng)用能否被系 統(tǒng)或第三方應(yīng)用啟動。（二）落實信息收集使用告知同意終端設(shè)備在收集和使用個人信息時，用戶應(yīng)具有知情權(quán)與選擇 權(quán)。終端應(yīng)詳細(xì)告知所

43、收集用戶個人信息的內(nèi)容、目的、方式和范圍， 僅當(dāng)用戶同意后方可收集。在個人信息收集前告知用戶。在企業(yè)網(wǎng)站、公眾號等渠道明示終 端及預(yù)置軟件的相關(guān)信息，為用戶選擇終端產(chǎn)品提供便利的查詢方式。用戶首次使用時，終端設(shè)備應(yīng)在開機向?qū)У碾[私政策、用戶協(xié)議 中，展現(xiàn)信息收集使用的內(nèi)容，明確告知此設(shè)備將收集的詳細(xì)信息。 在首次使用功能或服務(wù)前、撤回授權(quán)后重新使用前，分項告知用戶功,10,,中國泰爾實驗室,智能終端產(chǎn)業(yè)個人信息保護白皮書 （201

44、8 年）,,能或服務(wù)收集個人信息詳情。在使用終端功能或服務(wù)過程中，需收集個人敏感信息時，應(yīng)在每次收集前進行告知。當(dāng)收集信息的內(nèi)容、使 用目的、收集方式與頻率、存放地域與期限、保護方式、信息共享和 個人信息控制權(quán)等發(fā)生變更時，應(yīng)重新告知用戶。告知方式應(yīng)易于用戶感知。終端告知方式，應(yīng)根據(jù)收集的信息類 型、功能服務(wù)類別、終端設(shè)備形態(tài)等因素綜合考量。可在通用隱私政 策基礎(chǔ)上，根據(jù)功能和服務(wù)的不同，制定獨立的隱私政策。在終端界面中，應(yīng)增加可

45、供用戶隨時查看的隱私政策或用戶協(xié)議入口。在個人 敏感信息收集時，應(yīng)通過詢問、彈窗等二次增強的告知方式，將收集 的個人敏感信息告知用戶，并由用戶選擇同意或拒絕?？稍诮K端告知 方式上開展創(chuàng)新，如動畫、短片等告知形式。告知內(nèi)容應(yīng)足夠清晰且易于理解。終端告知內(nèi)容應(yīng)準(zhǔn)確、清晰、 易懂，符合通用的語言習(xí)慣，避免歧義，不得誘導(dǎo)用戶。告知內(nèi)容應(yīng)包含收集使用信息的內(nèi)容、目的、方式、范圍、頻次、保護措施以及 公開、轉(zhuǎn)移、共享等相關(guān)信息。終端應(yīng)明示用戶對

46、個人信息所擁有的 各項權(quán)利，如拒絕權(quán)、訪問權(quán)、更正權(quán)撤銷同意權(quán)等。（三）提高設(shè)備識別碼防護能力隨著設(shè)備識別碼敏感性的提升，用戶高度關(guān)注設(shè)備識別碼被收集 濫用的情況。終端設(shè)備廠商應(yīng)加強設(shè)備識別碼的防護，提升設(shè)備識別 碼防護能力，避免在用戶不知情的情況下，與用戶身份綁定的物理設(shè) 備信息被隨意收集使用。設(shè)備識別碼匿名化。在終端設(shè)備的使用過程中，使用匿名化的設(shè),11,,智能終端產(chǎn)業(yè)個人信息保護白皮書 （2018 年）,中國泰爾實驗室,

47、,備識別碼機制，降低因設(shè)備識別碼泄露用戶位置記錄、消費習(xí)慣等信息的風(fēng)險。例如在連接 Wi-Fi 熱點的過程中，終端設(shè)備使用隨機化的MAC 地址搜索 Wi-Fi 熱點，可保護真實的 MAC 地址。此外應(yīng)加快設(shè) 備識別碼匿名化方案的研究，提出切實可行的設(shè)備識別碼匿名化框 架，如研制真?zhèn)卧O(shè)備識別碼映射系統(tǒng)、提出 Wi-Fi 協(xié)議識別碼匿名化 機制等。提供設(shè)備識別碼替代機制。終端設(shè)備應(yīng)盡量避免使用設(shè)備識別碼 作為終端唯一標(biāo)識符，應(yīng)提供替

48、代機制。例如采用廣告 ID 作為唯一 標(biāo)識符，使終端設(shè)備應(yīng)用無法獲取設(shè)備物理的識別碼，用作精準(zhǔn)營銷、 用戶畫像等。同時該廣告 ID 可由用戶重置，禁止將設(shè)備識別碼與廣 告 ID 鏈接，杜絕長期跟蹤用戶的行為。嚴(yán)格限制獲取設(shè)備識別碼。終端設(shè)備應(yīng)禁止設(shè)備直接獲取所有的 設(shè)備識別碼，同時應(yīng)對設(shè)備識別碼的訪問設(shè)置嚴(yán)格權(quán)限管控機制，如第三方應(yīng)用對設(shè)備識別碼的收集與使用應(yīng)對用戶詳細(xì)提示與確認(rèn)，并 在用戶同意后進行。（四）重點加強生物特征數(shù)據(jù)

49、保護支付業(yè)務(wù)中的生物特征數(shù)據(jù)直接關(guān)系到用戶的切身利益，用戶的 支付口令、生物識別信息等必須得到有效的安全防護。終端設(shè)備廠商 應(yīng)健全生物特征數(shù)據(jù)保護架構(gòu)，采用生物特征數(shù)據(jù)加密存儲、支付環(huán) 境隔離防護等措施，保障用戶切身權(quán)益。生物特征數(shù)據(jù)應(yīng)進行加密存儲。為保障用戶支付口令、密鑰、證,12,,中國泰爾實驗室,智能終端產(chǎn)業(yè)個人信息保護白皮書 （2018 年）,,書、指紋模版和人臉模版等個人敏感數(shù)據(jù)的安全性，建議使用具備安全存儲功能的安全

50、單元芯片（SE）、可信執(zhí)行環(huán)境（TEE）等方案， 存儲加密后的個人敏感數(shù)據(jù)，加密的密鑰應(yīng)采用多密鑰衍生的方式， 保證終端設(shè)備一機一密。終端設(shè)備應(yīng)遵循生物特征數(shù)據(jù)本地存儲的原 則，未經(jīng)用戶許可，嚴(yán)禁上傳云端。支付環(huán)境應(yīng)采用隔離防護措施。支付環(huán)境應(yīng)采用軟硬件隔離技 術(shù)，使用安全單元芯片（SE）、可信執(zhí)行環(huán)境（TEE）等方案，將支付應(yīng)用與其它應(yīng)用進行隔離，確保在支付全生命周期中個人敏感數(shù)據(jù) 不被非法竊取。（五）完善應(yīng)用管控保障機制

51、終端設(shè)備廠商應(yīng)該構(gòu)建完善的應(yīng)用管控保障機制，提供應(yīng)用簽 名、運行時內(nèi)存保護、惡意網(wǎng)址檢測、流量監(jiān)控等措施，全方位保護 用戶數(shù)據(jù)。使用應(yīng)用簽名。使用應(yīng)用簽名保證應(yīng)用的完整性和來源的合法 性，系統(tǒng)在安裝應(yīng)用時，通過對簽名進行驗證，檢查應(yīng)用是否被篡改。運行時內(nèi)存保護。通過地址空間布局隨機化（ASLR）及數(shù)據(jù)執(zhí) 行保護技術(shù)（DEP），增加內(nèi)存漏洞攻擊的難度，降低個人敏感數(shù)據(jù) 被竊取的風(fēng)險。提供惡意網(wǎng)址檢測功能。針對短信、瀏覽器和即時通訊

52、等應(yīng)用中 未知來源的鏈接，提供惡意網(wǎng)址檢測功能。監(jiān)控流量使用情況。監(jiān)控應(yīng)用數(shù)據(jù)流量使用，將應(yīng)用流量情況展 示給用戶，同時提供 Wi-Fi 和蜂窩移動網(wǎng)絡(luò)的控制選項，防止惡意應(yīng),13,,智能終端產(chǎn)業(yè)個人信息保護白皮書 （2018 年）,中國泰爾實驗室,,用后臺上傳個人敏感數(shù)據(jù)。（六）加強基礎(chǔ)保障能力建設(shè)終端設(shè)備應(yīng)提供基礎(chǔ)安全能力和信任憑證，保障個人信息的機密 性、完整性和可用性。具備安全啟動機制。終端設(shè)備應(yīng)采用驗證數(shù)字簽名等安全

53、啟動機 制，確保系統(tǒng)代碼的可靠性和完整性，防止惡意代碼的加載運行。實施強制訪問控制。使用 SELinux 對所有的進程、文件和操作等 實施強制訪問控制，阻止進程讀寫受保護數(shù)據(jù)和繞過內(nèi)核的安全機 制。內(nèi)核地址空間布局隨機化（KASLR）。采用地址隨機化技術(shù)，使 內(nèi)存地址空間隨機化，防止攻擊代碼對內(nèi)存中的地址進行硬編碼，提 升系統(tǒng)內(nèi)核的安全性。定期進行系統(tǒng)安全更新。系統(tǒng)升級可及時修復(fù)存在的漏洞。系統(tǒng) 鏡像更新時，應(yīng)對升級包進行簽名校驗

54、，并在用戶同意后進行系統(tǒng)更 新。具備系統(tǒng)版本防回退手段。相比舊系統(tǒng)版本，新系統(tǒng)版本修補了 部分已知漏洞，在安全機制、個人信息保護能力上有所提升，大幅降 低了個人敏感數(shù)據(jù)泄露的風(fēng)險。終端設(shè)備可通過版本校驗等方式，防止系統(tǒng)回退到舊版本。建立漏洞響應(yīng)機制。終端廠商應(yīng)建立健全漏洞響應(yīng)機制，持續(xù)加 固系統(tǒng)，保障系統(tǒng)安全；并提供反饋渠道，及時響應(yīng)官方發(fā)布的漏洞,14,,中國泰爾實驗室,智能終端產(chǎn)業(yè)個人信息保護白皮書 （2018 年）,,信息

55、。定期更新安全補丁，提示用戶進行安全更新，以便快速修復(fù)漏洞。四、應(yīng)用開發(fā)個人信息保護的分析與建議開發(fā)者對應(yīng)用權(quán)限申請和個人信息的收集、使用負(fù)有主體責(zé)任， 應(yīng)在應(yīng)用的需求分析、設(shè)計、開發(fā)、上架、運營、維護和更新的全生 命周期中，高度重視用戶個人信息保護工作，全面維護用戶的合法權(quán) 益。（一）采用高 API 等級開發(fā)應(yīng)用Android 6.0 引入了運行時權(quán)限機制，打破了權(quán)限的一攬子授權(quán)模 式，用戶可在運行時進行應(yīng)用權(quán)限授予

56、，可更好的了解和控制權(quán)限。 Android 8.0 增強了用戶數(shù)據(jù)保護能力，提出了后臺位置限制、后臺行 為限制和廣播限制等要求，對用戶數(shù)據(jù)保護有積極的作用。Android9.0 新增了多種數(shù)據(jù)加密機制，引入了對安全硬件、生物特征解鎖的 支持。響應(yīng)自律公約倡議，采用高等級 API 開發(fā)應(yīng)用。開發(fā)者基于 Android 6.0（API 23）及以下版本開發(fā)應(yīng)用時，系統(tǒng)默認(rèn)授予應(yīng)用申 請的所有權(quán)限，若拒絕授予或者關(guān)閉某些權(quán)限，應(yīng)用可能出現(xiàn)

57、崩潰閃 退等問題。基于此，電信終端產(chǎn)業(yè)協(xié)會發(fā)起《移動應(yīng)用軟件高 API等級預(yù)置和分發(fā)服務(wù)自律公約》，倡議開發(fā)者使用 Android 8.0 (API 26) 及以上的版本進行應(yīng)用開發(fā)，以保護用戶權(quán)益。隨著 Android 系統(tǒng)版 本的更新，開發(fā)者應(yīng)及時采用相對較高等級 API 開發(fā)應(yīng)用。,15,,智能終端產(chǎn)業(yè)個人信息保護白皮書 （2018 年）,中國泰爾實驗室,,（二）適配最新操作系統(tǒng)及外部代碼庫智能操作系統(tǒng)會定期更新版本，并升級

58、開發(fā) SDK。以 Android 為例，谷歌每年會推出 Android 新版本，提升應(yīng)用安全性并全面改善 用戶體驗。及時適配操作系統(tǒng)最新穩(wěn)定版本。應(yīng)用開發(fā)者進行軟件開發(fā)時， 應(yīng)及時適配操作系統(tǒng)最新穩(wěn)定版本，給用戶帶來較好的使用體驗和較強的個人信息保護機制，避免舊版本的遺留問題影響應(yīng)用使用，侵犯 用戶權(quán)益。對于集成第三方代碼的移動應(yīng)用，在采用新版本操作系統(tǒng) 后，需適配相應(yīng)第三方代碼庫，避免舊版本代碼的兼容性引入新問題。充分利用終

59、端和操作系統(tǒng)新特性。在應(yīng)用開發(fā)時，開發(fā)者應(yīng)充分 利用終端和操作系統(tǒng)新特性，例如可信執(zhí)行環(huán)境（TEE），可信單元 芯片（SE）和生物識別認(rèn)證方式等。（三）遵循合法正當(dāng)必要原則申請權(quán)限開發(fā)者在應(yīng)用設(shè)計和開發(fā)時，重點關(guān)注應(yīng)用權(quán)限的申請和使用， 應(yīng)遵循合法正當(dāng)必要原則，將最小夠用理念貫穿整個開發(fā)周期。保證用戶可知可控。開發(fā)者應(yīng)以用戶便于理解的方式，充分告知 用戶申請和使用權(quán)限的必要性，不應(yīng)在用戶不知情或者未獲得用戶許 可的情況下，使用

60、權(quán)限和收集用戶數(shù)據(jù)。在描述相關(guān)權(quán)限、行為使用場景和使用目的時，開發(fā)者可使用圖標(biāo)、文字以及其他創(chuàng)新形式明確 告知用戶。在集成第三方 SDK 時，開發(fā)者應(yīng)充分了解其申請權(quán)限的 目的，對引發(fā)的后果承擔(dān)相應(yīng)責(zé)任。,16,,中國泰爾實驗室,智能終端產(chǎn)業(yè)個人信息保護白皮書 （2018 年）,,申請權(quán)限最小化。業(yè)務(wù)無關(guān)權(quán)限的授予會導(dǎo)致權(quán)限的濫用，增大應(yīng)用攻擊面，引入用戶敏感數(shù)據(jù)泄露風(fēng)險。應(yīng)用應(yīng)遵循合法正當(dāng)必要 原則，只申請業(yè)務(wù)必要的權(quán)限。對于SD

61、K 等外部代碼的引用，開發(fā) 者應(yīng)保證其相關(guān)權(quán)限的申請同樣滿足最小化原則，限制SDK 過度申 請權(quán)限。在實踐方面，開發(fā)者在開發(fā)應(yīng)用時，不應(yīng)在啟動時申請所有 權(quán)限；不應(yīng)申請與業(yè)務(wù)功能無關(guān)的權(quán)限，不使用的權(quán)限要及時清理； 在存在替代功能實現(xiàn)方式的情況下，不應(yīng)以提升用戶體驗為由，強迫 用戶授予權(quán)限；不應(yīng)在業(yè)務(wù)功能不必要的情況下，濫用自啟動權(quán)限。按業(yè)務(wù)功能分項動態(tài)申請權(quán)限。開發(fā)者應(yīng)遵循最小化原則，按業(yè) 務(wù)功能分項動態(tài)申請權(quán)限，僅在使用相關(guān)功能

62、時合理申請相應(yīng)權(quán)限。 應(yīng)用應(yīng)明確告知拒絕授權(quán)的后果，用戶拒絕授權(quán)的，不應(yīng)影響其他業(yè) 務(wù)功能的使用。優(yōu)先采用系統(tǒng)自身功能，代替調(diào)用相關(guān)敏感權(quán)限。例如，應(yīng)用實現(xiàn)撥打電話功能時，建議采用 Intent 消息調(diào)用電話撥號盤界面，無需 額外申請權(quán)限；在數(shù)據(jù)使用方面，Android 系統(tǒng)為每個應(yīng)用程序分配 了私有的文件目錄和數(shù)據(jù)存儲空間，無需額外申請存儲權(quán)限；對于獲 取設(shè)備標(biāo)識的訴求，開發(fā)者應(yīng)采用與業(yè)務(wù)相符的其他替代方式標(biāo)識用 戶終端，無需申

63、請讀取手機狀態(tài)和身份（READ_PHONE_STATE）等 權(quán)限，避免直接獲取硬件標(biāo)識符；涉及資金或財產(chǎn)安全的支付類業(yè)務(wù)， 如收集設(shè)備標(biāo)識碼，須向用戶提供具有法律效力的用戶隱私協(xié)議，明 確設(shè)備標(biāo)識碼的使用范圍和保護責(zé)任。,17,,智能終端產(chǎn)業(yè)個人信息保護白皮書 （2018 年）,中國泰爾實驗室,,（四）采用單項同意獲取敏感信息收集使用授權(quán)未經(jīng)用戶同意，應(yīng)用不得收集使用用戶個人信息。征得用戶同意 應(yīng)采用概括同意和單獨同意相結(jié)合的方式，

64、選擇適當(dāng)?shù)耐鈺r機和同 意形式，以清晰易懂的方式告知并征求用戶同意。告知同意應(yīng)遵循的基本原則。合法原則。應(yīng)用應(yīng)遵循法律法規(guī)要求收集使用個人信息，不得通過告知或聲明以外的方式收集使用個人信息；不將收集的個人信息用 于未經(jīng)告知的目的；不以欺騙、誤導(dǎo)、強迫等非法手段收集使用個人 信息；不得違反雙方約定收集使用個人信息。正當(dāng)原則。不采用一攬子同意的方式征得用戶同意，不應(yīng)存在不 同意不讓用的問題。當(dāng)用戶拒絕收集使用某項敏感信息或不授予

65、某敏 感權(quán)限時，不影響提供其他業(yè)務(wù)功能服務(wù)。必要原則。遵循最少夠用原則收集使用用戶個人信息，收集的信 息為提供業(yè)務(wù)功能服務(wù)所必須。不收集其提供服務(wù)所必需以外的用戶 個人信息。告知方式可采用概括同意和單項同意相結(jié)合的方式。概括同意。應(yīng)用首次使用時，可通過隱私聲明等形式獲取用戶對 一般個人信息收集使用的同意授權(quán)。隱私聲明應(yīng)明確告知用戶收集、使用信息的目的、方式和范圍，查詢、更正信息的渠道以及拒絕提供 信息的后果。單項同意。收集使

66、用用戶個人敏感信息的應(yīng)用，應(yīng)在收集敏感信 息或調(diào)用敏感權(quán)限時，通過彈窗或界面等形式進行即時性告知，分別,18,,中國泰爾實驗室,智能終端產(chǎn)業(yè)個人信息保護白皮書 （2018 年）,,征得用戶的確認(rèn)同意。個人敏感信息的單項同意應(yīng)清晰說明關(guān)聯(lián)業(yè)務(wù)功能收集使用個人敏感信息的必要性，用戶拒絕單項同意授權(quán)的，應(yīng) 明確告知拒絕提供的后果。應(yīng)用開發(fā)者不應(yīng)采用一攬子同意的方式征 得收集使用用戶個人敏感信息的授權(quán)，在未獲得某單項同意授權(quán)的情 況下，不應(yīng)停

67、止提供其他業(yè)務(wù)功能服務(wù)。告知內(nèi)容。個人信息的收集及使用公開透明，應(yīng)通過顯著且便于 理解的方式，告知用戶收集、使用信息的目的、方式和范圍，查詢、更正信息的渠道以及拒絕提供信息的后果。應(yīng)在客戶資料或界面中提 供隱私聲明，并通過顯著方式對重點條款進行突出呈現(xiàn)。同時，提供 對用戶同意和撤銷同意行為進行記錄的機制。留存同意記錄的內(nèi)容包 括但不限于用戶身份、同意時間、同意內(nèi)容等。告知時機。應(yīng)用首次運行時，可征得用戶對采集一般個人信息的 授權(quán)同

68、意；當(dāng)收集個人敏感信息或調(diào)用敏感權(quán)限時，可通過彈窗或界面等形式，進行即時性告知，征得用戶的單項同意。用戶個人信息的 使用目的和收集范圍，不應(yīng)超出隱私政策的聲明，當(dāng)收集使用的內(nèi)容、 目的、方式、范圍發(fā)生變更時，應(yīng)及時更新隱私聲明，顯著提示并重 新告知用戶。重大變更包括但不限于：收集內(nèi)容增多、收集方式改變、 使用目的變化、使用范圍增加等。此外，應(yīng)用下載、升級及修改系統(tǒng) 或其它應(yīng)用配置時，應(yīng)征求用戶同意。撤銷同意。在征得用戶概括同意和單項