智能終端產業(yè)個人信息保護白皮書（2018 年）

1、,版權聲明,,,本白皮書版權屬于中國信息通信研究院中國泰爾實驗室，并受法律保護。轉載、摘編或利用其它方式使用本白 皮書文字或者觀點的，應注明“來源：中國泰爾實驗室”。違反上述聲明者，本實驗室將追究其相關法律責任。,,前言,當前，世界正處于新一輪科技革命和產業(yè)革命的變革浪潮中，以智能終端為代表的互聯(lián)網(wǎng)產業(yè)已成為“互聯(lián)網(wǎng)+”的基礎設施，是 推動經(jīng)濟社會變革的重要力量。智能終端、應用分發(fā)平臺、應用軟件的迅猛發(fā)展為用戶帶來了前所未有的

2、豐富體驗。在智能終端上， 可以通過應用分發(fā)平臺下載社交、購物、支付、出行、娛樂等各類 應用軟件，隨時隨地享受互聯(lián)網(wǎng)時代的便利。隨著產業(yè)的蓬勃發(fā)展， 終端產業(yè)未來會進一步走向信息化、智能化。然而，隨著技術日新月異的發(fā)展，智能終端產業(yè)的個人信息保 護問題日益凸顯，信息泄漏、信息過度收集使用、權限濫用等問題 嚴重威脅了廣大人民群眾的切身利益。為保障智能終端產業(yè)健康發(fā) 展，維護用戶合法權益，中國泰爾實驗室、互聯(lián)網(wǎng)協(xié)會、電信終端 產業(yè)協(xié)會聯(lián)

3、合制定與發(fā)布本白皮書。本白皮書著眼于智能終端產業(yè) 新的發(fā)展階段，闡述了個人信息保護現(xiàn)狀和面臨的挑戰(zhàn)，基于業(yè)界 最佳實踐，在終端設備、分發(fā)平臺、應用開發(fā)等方面提出個人信息 保護建議，并倡議產業(yè)界落實企業(yè)主體責任，加強行業(yè)自律，強化 產業(yè)協(xié)作體系，共同構筑智能終端產業(yè)個人信息保護良好生態(tài)。,,目錄一、智能終端產業(yè)現(xiàn)狀 ...........................................................

4、....... 1二、智能終端產業(yè)個人信息保護面臨的挑戰(zhàn)................................... 4（一）用戶信息過度收集難識別難舉證 ........................................4（二）權限申請過度易感知難判定 ................................................5（三）低API 等級應用規(guī)避安卓安全機制.....

5、...............................6（四）設備識別碼防護意識不足 ....................................................7（五）隱私與便利選擇兩難，產業(yè)協(xié)作能力不足........................8三、終端設備個人信息保護的分析和建議...................................... 9（一）加大權限調用

6、可知可控力度 ................................................9（二）落實信息收集使用告知同意 ..............................................10（三）提高設備識別碼防護能力 .................................................. 11（四）重點加強生物特征數(shù)據(jù)保護 ..........

7、....................................12（五）完善應用管控保障機制 ......................................................13（六）加強基礎保障能力建設 ......................................................14四、應用開發(fā)個人信息保護的分析與建議..................

8、.................. 15（一）采用高 API 等級開發(fā)應用..................................................15（二）適配最新操作系統(tǒng)及外部代碼庫 ......................................16（三）遵循合法正當必要原則申請權限 ......................................16（四）采用單項

9、同意獲取敏感信息收集使用授權......................18（五）采用加密機制傳輸敏感數(shù)據(jù) ..............................................20,,,（六）謹慎使用外部存儲區(qū)域 ......................................................20（七）貫徹全生命周期安全編碼原則 ........................

10、..................21五、應用分發(fā)個人信息保護的分析與建議.................................... 22（一）制定完善的開發(fā)者政策和分發(fā)協(xié)議 ..................................22（二）落實開發(fā)者及應用資質審核要求 ......................................22（三）完善分發(fā)平臺上架機制 .........

11、.............................................23（四）充分明示應用相關信息 ......................................................23（五）探索應用運行期管控方案 ..................................................23（六）建立投訴與反饋通道 .................

12、.........................................24（七）建立應用下架響應機制 ......................................................24（八）定期報送行業(yè)監(jiān)管數(shù)據(jù) ......................................................24六、消費者個人信息保護建議..................

13、.................................... 25（一）選擇信息明示清晰的手機、應用和下載渠道..................25（二）使用前充分了解權限管理機制和隱私政策......................26（三）善于使用手機設置功能，增強安全意識..........................26七、智能終端產業(yè)行動倡議...........................

14、.............................. 27（一）落實企業(yè)主體責任，保障用戶合法權益..........................28（二）加強行業(yè)自律，探索自治新方式 ......................................28（三）促進公眾監(jiān)督，及時響應用戶關切 ..................................29（四）加強溝通協(xié)調，強化產業(yè)協(xié)作體系

15、..................................29,,中國泰爾實驗室,智能終端產業(yè)個人信息保護白皮書 （2018 年）,,一、智能終端產業(yè)現(xiàn)狀據(jù)中國信息通信研究院發(fā)布的《2018 年 9 月國內手機市場運行 分析報告》，2018 年 1 月到 9 月，國內智能終端出貨量為 2.87 億部， 其中 Android 操作系統(tǒng)占比達到 89.8%，iOS 操作系統(tǒng)占比為 10.1%， 其他系統(tǒng)為 0.1%。Andr

16、oid 操作系統(tǒng)具備開源、開放、靈活的特性， 當前占據(jù)了智能終端市場的主導地位。隨著用戶權益保護意識的覺 醒，裝載 Android 操作系統(tǒng)的智能終端已成為個人信息保護工作的焦 點。,數(shù)據(jù)來源：中國泰爾實驗室圖 1 2018 年進網(wǎng)終端 Android 系統(tǒng)版本比例Android 系統(tǒng)碎片化問題嚴重。據(jù)統(tǒng)計，在 2018 年進網(wǎng)終端中，Android 9.0 占比 4.42%；Android 8.0 占比 46.54%；A

17、ndroid 7.0 占比25.18%；上市三年多的 Android 6.0 系統(tǒng)，占比 14.58%；Android 5.0及更早之前的版本占比 9.28%。相對于舊版本，新版本增加了更多的,,,,,,,,,,,,,,,,4?,,47?,,25?,,15?,,9?,,,,,,Android 9Android 8,,,,,Android 7Android 6,,,其他,1,,智能終端產業(yè)個人信息保護白皮書 （2018 年）,

18、中國泰爾實驗室,,個人信息保護機制。嚴重的系統(tǒng)碎片化問題，使得較多應用利用Android 操作系統(tǒng)向下兼容的特性，采用較低等級目標 API 版本，規(guī) 避高版本操作系統(tǒng)安全和保護機制的約束。iOS 系統(tǒng)版本分布相對集中。根據(jù)蘋果公司官網(wǎng)數(shù)據(jù)，截至 2018年 10 月 10 日，全球活躍設備中有 50%使用 1 個月前發(fā)布的iOS 12新版本，約 90%的用戶使用一年內發(fā)布的 iOS 版本。相對于 Android，iOS

19、操作系統(tǒng)具有封閉的特性，核心代碼不開放，操作系統(tǒng)統(tǒng)一更新， 新版本普及速率較快，版本分布比較集中，碎片化現(xiàn)象不嚴重。同時， 具有唯一的官方應用市場（App Store）下載渠道，應用上架規(guī)則統(tǒng)一， 可在源頭加強應用敏感權限使用和信息收集使用的審核，對營造的 iOS 產業(yè)生態(tài)具有較強的管控能力。,數(shù)據(jù)來源：蘋果公司官網(wǎng)，2018 年 10 月 10 日圖 2 活躍設備 iOS 系統(tǒng)版本比例應用個人信息保護問題突出。用戶可從商店

20、、網(wǎng)頁、論壇等第三 方分發(fā)渠道下載應用。裝載社交、購物、支付、出行、娛樂等各類應,,,,,,,,,,50?,,39?,,11?,,,,,,,,iOS 12iOS 11早期版本,2,,中國泰爾實驗室,智能終端產業(yè)個人信息保護白皮書 （2018 年）,,,用的終端設備，已經(jīng)成為用戶社交和生活的主要載體。終端所裝應用引發(fā)的信息泄露等問題是消費者關注的焦點。在應用使用過程中，用 戶讓渡部分信息獲取生活便利已成為普遍現(xiàn)象，大量應用越界獲取及

21、 濫用用戶信息，侵犯用戶合法權益，造成用戶財產損失。敏感信息竊取比例 11.86 。在 2017 年 10 月-2018 年 10 月所檢測的 2722 萬余款應用中，存在資費損耗、妨害滋擾、隱私竊取等侵 犯用戶權益的應用 299 萬個， 其中竊取敏感信息的應用比例為11.86%。,數(shù)據(jù)來源：武漢安天信息技術有限公司圖 3 用戶個人信息保護不良行為類別游戲娛樂類應用風險最高。從高風險和違規(guī)應用分布來看，游戲 娛樂類應用

22、占比最高，達 40.05%。游戲依托其應用特性，多款應用存在竊取用戶信息、強行捆綁應用等問題。高風險和違規(guī)應用中系統(tǒng) 工具類占比 21.49%，其中手機桌面應用、ROOT 工具應用等越界獲 取用戶信息嚴重，甚至造成用戶財產損失。生活服務類應用占比16.83%，該類應用與用戶生活連結緊密，更容易被攻擊者利用，竊取,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,12?,,46?,,0?,,4?,,0?,,2?,,3?,,1?

23、,,32?,,,,,,,,,,,,,,,,,,,,隱私竊取 資費損耗 遠程控制 系統(tǒng)破壞 風險傳播 誘騙欺詐 強制推廣 版權侵害 妨害滋擾,3,,智能終端產業(yè)個人信息保護白皮書 （2018 年）,中國泰爾實驗室,,用戶信息，侵犯用戶權益。,數(shù)據(jù)來源：武漢安天信息技術有限公司圖 4 高風險和違規(guī)應用行業(yè)分布二、智能終端產業(yè)個人信息保護面臨的挑戰(zhàn)隨著大數(shù)據(jù)時代的到來，個人信息保護問題逐漸暴露。信息泄漏、 信息過度收集使用、權限濫用

24、等問題嚴重威脅了廣大用戶的切身利 益。應用API 等級低、一攬子授權、不授權就不給用等現(xiàn)象的存在， 將用戶推入隱私與便利的兩難選擇。智能終端產業(yè)用戶個人信息保護 工作面臨嚴峻的挑戰(zhàn)。（一）用戶信息過度收集難識別難舉證隨著移動互聯(lián)網(wǎng)的迅速發(fā)展，應用經(jīng)歷了“野蠻生長”的時代。 為提供個性化服務，開展精準投放，應用收集使用了大量用戶的個人 信息，包括設備信息、位置信息、通訊錄等敏感數(shù)據(jù)。應用在收集使 用個人信息的過程中，存在以下現(xiàn)象：

25、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,40?,,21?,,17?,,6?,,4?,,3?,,,,3? 3? 2?,,1?,,,,,,,,,,,,,,,,,,,,,,游戲娛樂 系統(tǒng)工具 生活服務 通訊社交 媒體資訊 辦公商務 教育培訓 旅游出行 金融理財 網(wǎng)上購物,4,,中國泰爾實驗室,智能終端產業(yè)個人信息保護白皮書 （2018 年）,,應用在用戶不知情的情況下，過度收集和使用個人信息。大量用戶反映，個人信息

26、在不知情的情況下被收集使用，搜索過的信息，說 過的話，敏感的健康數(shù)據(jù)，以用戶可感知的方式呈現(xiàn)。但信息是如何 被收集，通過何種渠道共享傳播，普通用戶難識別，難舉證。較多應 用并未通過隱私政策或其他途徑告知用戶收集使用信息的目的、方式 和范圍，也未向用戶提供明確的允許和拒絕的選擇，這種累積性的權 益侵害在日常生活中普遍存在，引發(fā)了用戶的嚴重擔憂。信息過度收 集使用的亂象亟待解決。應用第三方 SDK 大量收集使用個人信息。應用通常會使用第三

27、方 SDK 快速實現(xiàn)業(yè)務功能，而第三方 SDK 與應用在收集用戶信息方面 具有同樣的能力。鑒于第三方 SDK 的不開源性，應用無法完全掌控 第三方SDK 的行為。部分應用不清楚 SDK 申請權限的目的，難以準 確明示第三方SDK 所收集使用的用戶信息，通常只能通過協(xié)議約束 第三方SDK 收集使用用戶信息的行為。某些第三方 SDK 同時被多家 應用集成使用，收集的海量數(shù)據(jù)一旦泄露，可造成廣泛的惡劣影響。（二）權限申請過度易感知難判定

28、權限是指為保護用戶的隱私，移動終端操作系統(tǒng)對于應用訪問敏 感用戶數(shù)據(jù)或使用特定系統(tǒng)功能的限制。為滿足用戶可知可控要求， 國內終端大都具備權限管理機制，權限申請在顯著位置提示，并經(jīng)用 戶同意后方可使用。但目前權限申請過度仍是普遍現(xiàn)象。權限申請過度現(xiàn)象嚴重。根據(jù)對國內應用市場 TOP 1000 應用取 樣分析顯示，Android 應用普遍會申請電話、定位、攝像頭和錄音等,5,,智能終端產業(yè)個人信息保護白皮書 （2018 年）,中國泰爾實

29、驗室,,核心敏感權限，其中讀取電話狀態(tài)權限的比例 97.37%，申請位置權限的比例 84.15%，申請攝像頭權限的比例 66.8%，申請錄音權限的 比例 59.1%，申請聯(lián)系人權限的比例 42.4%。應用過度申請權限的問 題普遍存在。申請超出應用實際業(yè)務功能和場景的權限，為應用過度 收集用戶個人信息打開了通道，極易造成用戶信息泄漏。,數(shù)據(jù)來源：中國泰爾實驗室圖 5 應用權限獲取情況權限過度申請濫用難規(guī)范難判定。如何判定應用權限過

30、度申請和 濫用，存在易感知難判定的問題。目前尚缺乏成熟的技術規(guī)范和判定 手段，難以正確引導應用開發(fā)者遵循合法正當必要原則申請權限，是 智能終端產業(yè)在個人信息保護工作中面臨的巨大的挑戰(zhàn)。（三）低 API 等級應用規(guī)避安卓安全機制應用與Android 系統(tǒng)的交互依賴于框架 API，開發(fā)時要配置應用,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,99.25 97.37,,84.52,,84.15,,79.64,,66

31、.79,,59.07,,49.44,,42.39,,41.80,,0.00,,,,,,50.0040.0030.0020.0010.00,,,70.0060.00,,,,100.0090.0080.00,,百分比,,,,,,,,,,,,,,,,,,,寫入外部存儲 讀取電話狀態(tài) 讀取外部存儲 訪問粗略位置 使用攝像頭錄音訪問帳號信息 讀取聯(lián)系人,,,訪問精確位置 撥打電話,6,,中國泰爾實驗室,智能終端產業(yè)個人信息保護白

32、皮書 （2018 年）,,的目標API 等級以明確應用支持的 Android 目標系統(tǒng)版本。低API 等級應用風險高，升級難度大。Android 系統(tǒng)在應用運行 時檢查目標API 等級設置，若系統(tǒng)版本低于或者等于應用的目標 API 等級，系統(tǒng)無需執(zhí)行任何兼容性處理。若 Android 系統(tǒng)版本高于此項 配置，系統(tǒng)會執(zhí)行兼容性策略。低 API 等級應用運行在高版本的Android 操作系統(tǒng)上，可繞過 Android 系統(tǒng)的信息保護

33、機制。同時，Android 系統(tǒng)針對目標 API 等級 23 及以上的應用執(zhí)行運行時權限機制，即業(yè)務功能運行時系統(tǒng)才會授予應用權限。目標 API 等級 23 以 下的應用采用一攬子授權，存在不授權無法安裝使用的問題。目前， 國內應用達到目標API 等級 26 及以上的比例大致為 10%，推動應用 開發(fā)者及時適配高版本 Android 系統(tǒng)，加強移動智能終端預置與分發(fā) 環(huán)節(jié)對應用高API 等級的上架要求，是近期用戶個人信息保護的重

34、點 工作。（四）設備識別碼防護意識不足隨著大數(shù)據(jù)產業(yè)的發(fā)展，收集智能終端唯一標識，如國際移動設 備識別碼（IMEI）、Wi-FiMAC 地址、SIM 卡國際移動用戶識別 碼（IMSI）和藍牙地址等設備物理地址信息成為普遍現(xiàn)象。用戶普遍缺乏設備識別碼防護意識。設備識別碼與用戶身份深度綁定。累積性的數(shù)據(jù)匯聚為用戶的行蹤軌跡，可用于分析特定用戶的 生活習慣和消費行為，形成個人畫像，并在用戶未知情的情況下用于 精準營銷、甚至精準詐

35、騙等。然而普通用戶缺乏設備識別碼的防護意 識，并未意識到設備識別碼已成為重要的個人敏感信息。提升用戶設,7,,智能終端產業(yè)個人信息保護白皮書 （2018 年）,中國泰爾實驗室,,備識別碼防護意識，加大設備識別碼保護機制研究，落實設備識別碼防護措施，既是個人信息保護工作的難點，也是重點。設備識別碼防護手段不足。部分終端設備使用了 Wi-Fi MAC 地 址隨機化機制，在未接入 Wi-Fi 熱點時發(fā)送含有隨機 MAC 地址的探 索幀，

36、避免真實 MAC 地址被惡意 Wi-Fi 熱點非法收集，防止用戶軌 跡的泄露。但當終端設備實際接入 Wi-Fi 網(wǎng)絡時，終端設備仍需切換真實的MAC 地址進行網(wǎng)絡通信，未能從根源上解決設備識別碼被非 法收集的問題。（五）隱私與便利選擇兩難，產業(yè)協(xié)作能力不足移動互聯(lián)網(wǎng)在給我們工作生活帶來便利的同時，頻頻出現(xiàn)用戶個 人信息泄漏、盜用等問題。隱私換取便利是無奈之舉。大量應用在安裝使用時，申請通訊錄、 攝像頭、短信、錄音、位置等多項與

37、其核心功能無關的權限，若用戶拒絕某些權限的申請，應用則無法正常使用。這種行業(yè)內普遍存在的 一攬子授權、不授權就不給用的現(xiàn)象，使得大部分用戶別無選擇，不 得不拿個人隱私換取便利。應用這種權限濫用行為，已經(jīng)成為用戶個 人信息泄露的主要途徑。產業(yè)協(xié)作能力不足。在用戶權益保護共識廣泛達成、公眾個人敏感信息保護意識普遍提升的情況下，終端、應用、分發(fā)等產業(yè)鏈環(huán)節(jié) 協(xié)作不足，權限管控、信息收集使用、設備識別碼防護等方面行動不 統(tǒng)一，未形成有效合

38、力。建立對重點環(huán)節(jié)的有效管控，構筑上下游打,8,,中國泰爾實驗室,智能終端產業(yè)個人信息保護白皮書 （2018 年）,,通、各方力量協(xié)同的個人信息保護協(xié)作體系，將成為現(xiàn)實需要和必然方向。三、終端設備個人信息保護的分析和建議隨著互聯(lián)網(wǎng)的迅猛發(fā)展，終端功能日益豐富，在給生活帶來極大 便利性的同時，也逐步成為綁定了大量個人信息的載體，帶來安全威 脅。終端設備應從權限可知可控，個人信息采集告知同意，設備識別 碼安全防護，生物特征數(shù)據(jù)保護

39、，終端設備應用管控和基礎保障等多 個方面出發(fā)，建立全方位的個人信息保護體系，為個人敏感數(shù)據(jù)的機 密性、完整性和可用性保駕護航。（一）加大權限調用可知可控力度應依據(jù)YD/T 2407-2013《移動智能終端安全能力技術要求》標準， 終端設備應遵循行為與用戶意愿一致的基本原則，設計完善的權限管 控機制，提升用戶可知可控的能力，避免用戶個人信息泄露。用戶對終端設備權限調用應可知。終端設備應通過給用戶提示的 方式來防范安全威脅，給用戶

40、的提示可以是圖標、文字或其他明顯的 方式。在操作執(zhí)行期間，提示應足夠引起用戶注意，且提示信息易于 理解。終端設備宜從應用和權限兩個視角呈現(xiàn)調用情況，用戶既可查 看單個應用申請的全部權限及目的，也可查看申請某特定權限的全部 應用。同時，建議終端設備提供相應機制，在一定時間內記錄并統(tǒng)計 應用調用行為情況，可供用戶查看詳細記錄結果。用戶對終端設備上權限調用應可控。終端設備應通過讓用戶確認,9,,智能終端產業(yè)個人信息保護白皮書 （2018

41、年）,中國泰爾實驗室,,的方式來防范安全威脅，用戶應具有選擇權，即用戶能確認也能取消。Android 6.0（API 23 等級）及以上，在應用運行時向其授予權限。終 端設備應提供權限管控機制，對所安裝的第三方應用的敏感權限進行 分項控制，可提供允許、詢問和禁止三種狀態(tài)以便用戶選擇。終端設 備在應用使用攝像頭、錄音、定位和電話等核心敏感權限時，應實時 提供顯性提示告知用戶。手機號碼、設備識別碼（IMEI、Wi-Fi MAC地址等）、

42、讀取短信、寫/刪短信、讀取聯(lián)系人、寫/刪聯(lián)系人、后臺 截屏、上網(wǎng)記錄（歷史、書簽）等敏感權限，應在相關業(yè)務功能運行 時獲取用戶確認授權。終端設備未經(jīng)用戶許可不得默認授權。應用調 用移動數(shù)據(jù)、WLAN、NFC 和藍牙等功能開關時，應征得用戶同意。 終端設備宜提供應用自啟動權限管理功能，用戶可設置應用能否被系 統(tǒng)或第三方應用啟動。（二）落實信息收集使用告知同意終端設備在收集和使用個人信息時，用戶應具有知情權與選擇 權。終端應詳細告知所

43、收集用戶個人信息的內容、目的、方式和范圍， 僅當用戶同意后方可收集。在個人信息收集前告知用戶。在企業(yè)網(wǎng)站、公眾號等渠道明示終 端及預置軟件的相關信息，為用戶選擇終端產品提供便利的查詢方式。用戶首次使用時，終端設備應在開機向導的隱私政策、用戶協(xié)議 中，展現(xiàn)信息收集使用的內容，明確告知此設備將收集的詳細信息。 在首次使用功能或服務前、撤回授權后重新使用前，分項告知用戶功,10,,中國泰爾實驗室,智能終端產業(yè)個人信息保護白皮書 （201

44、8 年）,,能或服務收集個人信息詳情。在使用終端功能或服務過程中，需收集個人敏感信息時，應在每次收集前進行告知。當收集信息的內容、使 用目的、收集方式與頻率、存放地域與期限、保護方式、信息共享和 個人信息控制權等發(fā)生變更時，應重新告知用戶。告知方式應易于用戶感知。終端告知方式，應根據(jù)收集的信息類 型、功能服務類別、終端設備形態(tài)等因素綜合考量?？稍谕ㄓ秒[私政 策基礎上，根據(jù)功能和服務的不同，制定獨立的隱私政策。在終端界面中，應增加可

45、供用戶隨時查看的隱私政策或用戶協(xié)議入口。在個人 敏感信息收集時，應通過詢問、彈窗等二次增強的告知方式，將收集 的個人敏感信息告知用戶，并由用戶選擇同意或拒絕?？稍诮K端告知 方式上開展創(chuàng)新，如動畫、短片等告知形式。告知內容應足夠清晰且易于理解。終端告知內容應準確、清晰、 易懂，符合通用的語言習慣，避免歧義，不得誘導用戶。告知內容應包含收集使用信息的內容、目的、方式、范圍、頻次、保護措施以及 公開、轉移、共享等相關信息。終端應明示用戶對

46、個人信息所擁有的 各項權利，如拒絕權、訪問權、更正權撤銷同意權等。（三）提高設備識別碼防護能力隨著設備識別碼敏感性的提升，用戶高度關注設備識別碼被收集 濫用的情況。終端設備廠商應加強設備識別碼的防護，提升設備識別 碼防護能力，避免在用戶不知情的情況下，與用戶身份綁定的物理設 備信息被隨意收集使用。設備識別碼匿名化。在終端設備的使用過程中，使用匿名化的設,11,,智能終端產業(yè)個人信息保護白皮書 （2018 年）,中國泰爾實驗室,

47、,備識別碼機制，降低因設備識別碼泄露用戶位置記錄、消費習慣等信息的風險。例如在連接 Wi-Fi 熱點的過程中，終端設備使用隨機化的MAC 地址搜索 Wi-Fi 熱點，可保護真實的 MAC 地址。此外應加快設 備識別碼匿名化方案的研究，提出切實可行的設備識別碼匿名化框 架，如研制真?zhèn)卧O備識別碼映射系統(tǒng)、提出 Wi-Fi 協(xié)議識別碼匿名化 機制等。提供設備識別碼替代機制。終端設備應盡量避免使用設備識別碼 作為終端唯一標識符，應提供替

48、代機制。例如采用廣告 ID 作為唯一 標識符，使終端設備應用無法獲取設備物理的識別碼，用作精準營銷、 用戶畫像等。同時該廣告 ID 可由用戶重置，禁止將設備識別碼與廣 告 ID 鏈接，杜絕長期跟蹤用戶的行為。嚴格限制獲取設備識別碼。終端設備應禁止設備直接獲取所有的 設備識別碼，同時應對設備識別碼的訪問設置嚴格權限管控機制，如第三方應用對設備識別碼的收集與使用應對用戶詳細提示與確認，并 在用戶同意后進行。（四）重點加強生物特征數(shù)據(jù)

49、保護支付業(yè)務中的生物特征數(shù)據(jù)直接關系到用戶的切身利益，用戶的 支付口令、生物識別信息等必須得到有效的安全防護。終端設備廠商 應健全生物特征數(shù)據(jù)保護架構，采用生物特征數(shù)據(jù)加密存儲、支付環(huán) 境隔離防護等措施，保障用戶切身權益。生物特征數(shù)據(jù)應進行加密存儲。為保障用戶支付口令、密鑰、證,12,,中國泰爾實驗室,智能終端產業(yè)個人信息保護白皮書 （2018 年）,,書、指紋模版和人臉模版等個人敏感數(shù)據(jù)的安全性，建議使用具備安全存儲功能的安全

50、單元芯片（SE）、可信執(zhí)行環(huán)境（TEE）等方案， 存儲加密后的個人敏感數(shù)據(jù)，加密的密鑰應采用多密鑰衍生的方式， 保證終端設備一機一密。終端設備應遵循生物特征數(shù)據(jù)本地存儲的原 則，未經(jīng)用戶許可，嚴禁上傳云端。支付環(huán)境應采用隔離防護措施。支付環(huán)境應采用軟硬件隔離技 術，使用安全單元芯片（SE）、可信執(zhí)行環(huán)境（TEE）等方案，將支付應用與其它應用進行隔離，確保在支付全生命周期中個人敏感數(shù)據(jù) 不被非法竊取。（五）完善應用管控保障機制

51、終端設備廠商應該構建完善的應用管控保障機制，提供應用簽 名、運行時內存保護、惡意網(wǎng)址檢測、流量監(jiān)控等措施，全方位保護 用戶數(shù)據(jù)。使用應用簽名。使用應用簽名保證應用的完整性和來源的合法 性，系統(tǒng)在安裝應用時，通過對簽名進行驗證，檢查應用是否被篡改。運行時內存保護。通過地址空間布局隨機化（ASLR）及數(shù)據(jù)執(zhí) 行保護技術（DEP），增加內存漏洞攻擊的難度，降低個人敏感數(shù)據(jù) 被竊取的風險。提供惡意網(wǎng)址檢測功能。針對短信、瀏覽器和即時通訊

52、等應用中 未知來源的鏈接，提供惡意網(wǎng)址檢測功能。監(jiān)控流量使用情況。監(jiān)控應用數(shù)據(jù)流量使用，將應用流量情況展 示給用戶，同時提供 Wi-Fi 和蜂窩移動網(wǎng)絡的控制選項，防止惡意應,13,,智能終端產業(yè)個人信息保護白皮書 （2018 年）,中國泰爾實驗室,,用后臺上傳個人敏感數(shù)據(jù)。（六）加強基礎保障能力建設終端設備應提供基礎安全能力和信任憑證，保障個人信息的機密 性、完整性和可用性。具備安全啟動機制。終端設備應采用驗證數(shù)字簽名等安全

53、啟動機 制，確保系統(tǒng)代碼的可靠性和完整性，防止惡意代碼的加載運行。實施強制訪問控制。使用 SELinux 對所有的進程、文件和操作等 實施強制訪問控制，阻止進程讀寫受保護數(shù)據(jù)和繞過內核的安全機 制。內核地址空間布局隨機化（KASLR）。采用地址隨機化技術，使 內存地址空間隨機化，防止攻擊代碼對內存中的地址進行硬編碼，提 升系統(tǒng)內核的安全性。定期進行系統(tǒng)安全更新。系統(tǒng)升級可及時修復存在的漏洞。系統(tǒng) 鏡像更新時，應對升級包進行簽名校驗

54、，并在用戶同意后進行系統(tǒng)更 新。具備系統(tǒng)版本防回退手段。相比舊系統(tǒng)版本，新系統(tǒng)版本修補了 部分已知漏洞，在安全機制、個人信息保護能力上有所提升，大幅降 低了個人敏感數(shù)據(jù)泄露的風險。終端設備可通過版本校驗等方式，防止系統(tǒng)回退到舊版本。建立漏洞響應機制。終端廠商應建立健全漏洞響應機制，持續(xù)加 固系統(tǒng)，保障系統(tǒng)安全；并提供反饋渠道，及時響應官方發(fā)布的漏洞,14,,中國泰爾實驗室,智能終端產業(yè)個人信息保護白皮書 （2018 年）,,信息

55、。定期更新安全補丁，提示用戶進行安全更新，以便快速修復漏洞。四、應用開發(fā)個人信息保護的分析與建議開發(fā)者對應用權限申請和個人信息的收集、使用負有主體責任， 應在應用的需求分析、設計、開發(fā)、上架、運營、維護和更新的全生 命周期中，高度重視用戶個人信息保護工作，全面維護用戶的合法權 益。（一）采用高 API 等級開發(fā)應用Android 6.0 引入了運行時權限機制，打破了權限的一攬子授權模 式，用戶可在運行時進行應用權限授予

56、，可更好的了解和控制權限。 Android 8.0 增強了用戶數(shù)據(jù)保護能力，提出了后臺位置限制、后臺行 為限制和廣播限制等要求，對用戶數(shù)據(jù)保護有積極的作用。Android9.0 新增了多種數(shù)據(jù)加密機制，引入了對安全硬件、生物特征解鎖的 支持。響應自律公約倡議，采用高等級 API 開發(fā)應用。開發(fā)者基于 Android 6.0（API 23）及以下版本開發(fā)應用時，系統(tǒng)默認授予應用申 請的所有權限，若拒絕授予或者關閉某些權限，應用可能出現(xiàn)

57、崩潰閃 退等問題?；诖?，電信終端產業(yè)協(xié)會發(fā)起《移動應用軟件高 API等級預置和分發(fā)服務自律公約》，倡議開發(fā)者使用 Android 8.0 (API 26) 及以上的版本進行應用開發(fā)，以保護用戶權益。隨著 Android 系統(tǒng)版 本的更新，開發(fā)者應及時采用相對較高等級 API 開發(fā)應用。,15,,智能終端產業(yè)個人信息保護白皮書 （2018 年）,中國泰爾實驗室,,（二）適配最新操作系統(tǒng)及外部代碼庫智能操作系統(tǒng)會定期更新版本，并升級

58、開發(fā) SDK。以 Android 為例，谷歌每年會推出 Android 新版本，提升應用安全性并全面改善 用戶體驗。及時適配操作系統(tǒng)最新穩(wěn)定版本。應用開發(fā)者進行軟件開發(fā)時， 應及時適配操作系統(tǒng)最新穩(wěn)定版本，給用戶帶來較好的使用體驗和較強的個人信息保護機制，避免舊版本的遺留問題影響應用使用，侵犯 用戶權益。對于集成第三方代碼的移動應用，在采用新版本操作系統(tǒng) 后，需適配相應第三方代碼庫，避免舊版本代碼的兼容性引入新問題。充分利用終

59、端和操作系統(tǒng)新特性。在應用開發(fā)時，開發(fā)者應充分 利用終端和操作系統(tǒng)新特性，例如可信執(zhí)行環(huán)境（TEE），可信單元 芯片（SE）和生物識別認證方式等。（三）遵循合法正當必要原則申請權限開發(fā)者在應用設計和開發(fā)時，重點關注應用權限的申請和使用， 應遵循合法正當必要原則，將最小夠用理念貫穿整個開發(fā)周期。保證用戶可知可控。開發(fā)者應以用戶便于理解的方式，充分告知 用戶申請和使用權限的必要性，不應在用戶不知情或者未獲得用戶許 可的情況下，使用

60、權限和收集用戶數(shù)據(jù)。在描述相關權限、行為使用場景和使用目的時，開發(fā)者可使用圖標、文字以及其他創(chuàng)新形式明確 告知用戶。在集成第三方 SDK 時，開發(fā)者應充分了解其申請權限的 目的，對引發(fā)的后果承擔相應責任。,16,,中國泰爾實驗室,智能終端產業(yè)個人信息保護白皮書 （2018 年）,,申請權限最小化。業(yè)務無關權限的授予會導致權限的濫用，增大應用攻擊面，引入用戶敏感數(shù)據(jù)泄露風險。應用應遵循合法正當必要 原則，只申請業(yè)務必要的權限。對于SD

61、K 等外部代碼的引用，開發(fā) 者應保證其相關權限的申請同樣滿足最小化原則，限制SDK 過度申 請權限。在實踐方面，開發(fā)者在開發(fā)應用時，不應在啟動時申請所有 權限；不應申請與業(yè)務功能無關的權限，不使用的權限要及時清理； 在存在替代功能實現(xiàn)方式的情況下，不應以提升用戶體驗為由，強迫 用戶授予權限；不應在業(yè)務功能不必要的情況下，濫用自啟動權限。按業(yè)務功能分項動態(tài)申請權限。開發(fā)者應遵循最小化原則，按業(yè) 務功能分項動態(tài)申請權限，僅在使用相關功能

62、時合理申請相應權限。 應用應明確告知拒絕授權的后果，用戶拒絕授權的，不應影響其他業(yè) 務功能的使用。優(yōu)先采用系統(tǒng)自身功能，代替調用相關敏感權限。例如，應用實現(xiàn)撥打電話功能時，建議采用 Intent 消息調用電話撥號盤界面，無需 額外申請權限；在數(shù)據(jù)使用方面，Android 系統(tǒng)為每個應用程序分配 了私有的文件目錄和數(shù)據(jù)存儲空間，無需額外申請存儲權限；對于獲 取設備標識的訴求，開發(fā)者應采用與業(yè)務相符的其他替代方式標識用 戶終端，無需申

63、請讀取手機狀態(tài)和身份（READ_PHONE_STATE）等 權限，避免直接獲取硬件標識符；涉及資金或財產安全的支付類業(yè)務， 如收集設備標識碼，須向用戶提供具有法律效力的用戶隱私協(xié)議，明 確設備標識碼的使用范圍和保護責任。,17,,智能終端產業(yè)個人信息保護白皮書 （2018 年）,中國泰爾實驗室,,（四）采用單項同意獲取敏感信息收集使用授權未經(jīng)用戶同意，應用不得收集使用用戶個人信息。征得用戶同意 應采用概括同意和單獨同意相結合的方式，

64、選擇適當?shù)耐鈺r機和同 意形式，以清晰易懂的方式告知并征求用戶同意。告知同意應遵循的基本原則。合法原則。應用應遵循法律法規(guī)要求收集使用個人信息，不得通過告知或聲明以外的方式收集使用個人信息；不將收集的個人信息用 于未經(jīng)告知的目的；不以欺騙、誤導、強迫等非法手段收集使用個人 信息；不得違反雙方約定收集使用個人信息。正當原則。不采用一攬子同意的方式征得用戶同意，不應存在不 同意不讓用的問題。當用戶拒絕收集使用某項敏感信息或不授予

65、某敏 感權限時，不影響提供其他業(yè)務功能服務。必要原則。遵循最少夠用原則收集使用用戶個人信息，收集的信 息為提供業(yè)務功能服務所必須。不收集其提供服務所必需以外的用戶 個人信息。告知方式可采用概括同意和單項同意相結合的方式。概括同意。應用首次使用時，可通過隱私聲明等形式獲取用戶對 一般個人信息收集使用的同意授權。隱私聲明應明確告知用戶收集、使用信息的目的、方式和范圍，查詢、更正信息的渠道以及拒絕提供 信息的后果。單項同意。收集使

66、用用戶個人敏感信息的應用，應在收集敏感信 息或調用敏感權限時，通過彈窗或界面等形式進行即時性告知，分別,18,,中國泰爾實驗室,智能終端產業(yè)個人信息保護白皮書 （2018 年）,,征得用戶的確認同意。個人敏感信息的單項同意應清晰說明關聯(lián)業(yè)務功能收集使用個人敏感信息的必要性，用戶拒絕單項同意授權的，應 明確告知拒絕提供的后果。應用開發(fā)者不應采用一攬子同意的方式征 得收集使用用戶個人敏感信息的授權，在未獲得某單項同意授權的情 況下，不應停

67、止提供其他業(yè)務功能服務。告知內容。個人信息的收集及使用公開透明，應通過顯著且便于 理解的方式，告知用戶收集、使用信息的目的、方式和范圍，查詢、更正信息的渠道以及拒絕提供信息的后果。應在客戶資料或界面中提 供隱私聲明，并通過顯著方式對重點條款進行突出呈現(xiàn)。同時，提供 對用戶同意和撤銷同意行為進行記錄的機制。留存同意記錄的內容包 括但不限于用戶身份、同意時間、同意內容等。告知時機。應用首次運行時，可征得用戶對采集一般個人信息的 授權同

68、意；當收集個人敏感信息或調用敏感權限時，可通過彈窗或界面等形式，進行即時性告知，征得用戶的單項同意。用戶個人信息的 使用目的和收集范圍，不應超出隱私政策的聲明，當收集使用的內容、 目的、方式、范圍發(fā)生變更時，應及時更新隱私聲明，顯著提示并重 新告知用戶。重大變更包括但不限于：收集內容增多、收集方式改變、 使用目的變化、使用范圍增加等。此外，應用下載、升級及修改系統(tǒng) 或其它應用配置時，應征求用戶同意。撤銷同意。在征得用戶概括同意和單項