【推荐】海外独服/站群服务器/高防
本月初,国家互联网信息办公室发布消息,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对多款App实施网络安全审查, 并通报了多款存在严重违法违规收集使用个人信息问题的App,App隐私合规问题再一次被推上风口浪尖。
7月16日,通付盾云大讲堂分享了App隐私合规检测相关内容。目前市场上App数量庞大,安全问题频发,至少30%的App存在过度收集使用个人隐私信息或者权限的行为。通付盾北斗团队通过解读了现阶段的隐私相关政策法规,总结出24项检测规则,并给出了针对隐私合规相关的检测和自查建议。
对于权限、隐私相关的24项检测标准:
收集使用个人信息的隐私政策
是否存在隐私政策等收集使用规则检测
主动提示用户阅读隐私政策检测
隐私政策访问规范检测
隐私政策阅读规范检测
公开App运营者的基本情况检测
是否公开收集使用个人信息的其他规则检测
个人信息使用规范
明示第三方使用规范检测
收集使用个人敏感信息的权限申请规范检测
收集使用个人信息的内容规范检测
收集使用个人信息申请规范
收集个人信息的不强制不捆绑原则检测
收集个人信息在用户拒绝后的权限使用规范检测
收集个人信息的权限申请频次规范检测
收集或打开的可收集个人信息权限范围规范检测
收集个人信息的自主肯定性检测
收集个人信息的合法性检测
撤回同意收集个人信息的途径、方式的规范检测
收集个人信息必要性的检测
收集个人信息的最小必要性检测
非必要信息的可拒绝性检测
收集用户个人信息的自愿性检测
收集个人信息的频度检测
设备识别码越权收集检测
个人信息主体权利检测
是否提供有效的注销用户账号功能检测
是否提供有效的更正或删除个人信息检测
是否建立并公布个人信息安全投诉、举报渠道检测
通付盾北斗团队对主流和近期被通报App做了隐私合规分析,列出了6个普遍存在的App隐私合规问题, 这些地方特别容易出错被通报:
(1)超范围违规收集和使用个人信息或者权限
App违反《常见类型移动互联网应用程序必要个人信息范围规定》、《App违法违规收集使用个人信息行为认定方法》等法规,没有在隐私政策中申明使用的权限,或超出业务范围要求收集个人信息或者权限。例如下图所示,应用在首次启动时,隐私政策与用户协议同意按钮点击之前申请获取了位置信息和设备识别码,属于违规收集。
(2)App隐私政策需要公开收集使用个人信息的存放区域,是否共享等
App如有跨境业务,比如银行类App的跨境业务,App应该对个人信息存放地域(境内、境外哪个国家或地区)、存储期限(法律规定范围内最短期限或明确的期限)、超期处理方式进行明确说明,并保障数据安全。
(3)App以默认选择同意隐私政策等非明示方式征求用户同意
首次运行App或用户注册时,App不应该采用默认勾选隐私政策等非明示方式征求用户同意,如下图这款App,在注册时候,默认勾选了“我已阅读并同意《用户协议》和《隐私协议》”
(4)App以及第三方SDK收集使用个人信息规范
App应该在隐私政策中逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等,如下图:
(5)设备识别码越权收集检测
根据《移动互联网应用程序(App)系统权限申请使用指南》规定,除仅用于安全风控场景外,App不应收集不可变更的唯一设备识别码(如IMEI、MAC地址)。
(6)App是否提供有效的注销用户账号功能
App应该提供有效的注销账号的途径(如在线操作、客服电话、电子邮件等),并在用户注销账号后,及时删除其个人信息或进行匿名化处理,法律法规另有规定的除外。受理注销账号请求后,App运营者是否在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理。
通付盾App隐私合规检测系统是一款专门针对App运行全过程的检测系统,系统采用了基于以符号执行为核心的静态分析引擎和以运行态沙盒为核心的动态检测引擎,旨在帮助用户快速、准确地检测App中存在的隐私合规问题,为移动应用隐私合规提供保障,帮助共建健康和谐的移动应用市场。