本月初,國家網際網路資訊辦公室釋出訊息,為防範國家資料安全風險,維護國家安全,保障公共利益,依據《中華人民共和國國家安全法》、《中華人民共和國網路安全法》,網路安全審查辦公室按照《網路安全審查辦法》,對多款App實施網路安全審查, 並通報了多款存在嚴重違法違規收集使用個人資訊問題的App,App隱私合規問題再一次被推上風口浪尖。
7月16日,通付盾雲大講堂分享了App隱私合規檢測相關內容。目前市場上App數量龐大,安全問題頻發,至少30%的App存在過度收集使用個人隱私資訊或者許可權的行為。通付盾北斗團隊透過解讀現階段的隱私相關政策法規,總結出24項檢測規則,並給出了針對隱私合規相關的檢測和自查建議。
對於許可權、隱私相關的24項檢測標準
收集使用個人資訊的隱私政策
是否存在隱私政策等收集使用規則檢測
主動提示使用者閱讀隱私政策檢測
隱私政策訪問規範檢測
隱私政策閱讀規範檢測
公開App運營者的基本情況檢測
是否公開收集使用個人資訊的其他規則檢測
個人資訊使用規範
明示第三方使用規範檢測
收集使用個人敏感資訊的許可權申請規範檢測
收集使用個人資訊的內容規範檢測
收集使用個人資訊申請規範
收集個人資訊的不強制不捆綁原則檢測
收集個人資訊在使用者拒絕後的許可權使用規範檢測
收集個人資訊的許可權申請頻次規範檢測
收集或開啟的可收集個人資訊許可權範圍規範檢測
收集個人資訊的自主肯定性檢測
收集個人資訊的合法性檢測
撤回同意收集個人資訊的途徑、方式的規範檢測
收集個人資訊必要性的檢測
收集個人資訊的最小必要性檢測
非必要資訊的可拒絕性檢測
收集使用者個人資訊的自願性檢測
收集個人資訊的頻度檢測
裝置識別碼越權收集檢測
個人資訊主體權利檢測
是否提供有效的登出使用者賬號功能檢測
是否提供有效的更正或刪除個人資訊檢測
是否建立並公佈個人資訊保安投訴、舉報渠道檢測
通付盾北斗團隊對主流和近期被通報App做了隱私合規分析,列出了
6個普遍存在的App隱私合規問題,這些地方特別容易出錯被通報
:
超範圍違規收集和使用個人資訊或者許可權
App違反《常見型別移動網際網路應用程式必要個人資訊範圍規定》、《App違法違規收集使用個人資訊行為認定方法》等法規,沒有在隱私政策中申明使用的許可權,或超出業務範圍要求收集個人資訊或者許可權。例如下圖所示,應用在首次啟動時,隱私政策與使用者協議同意按鈕點選之前申請獲取了位置資訊和裝置識別碼,屬於違規收集。
App隱私政策需要公開收集使用個人資訊的存放區域,是否共享等
App如有跨境業務,比如銀行類App的跨境業務,App應該對個人資訊存放地域(境內、境外哪個國家或地區)、儲存期限(法律規定範圍內最短期限或明確的期限)、超期處理方式進行明確說明,並保障資料安全。
App以預設選擇同意隱私政策等非明示方式徵求使用者同意
首次執行App或使用者註冊時,App不應該採用預設勾選隱私政策等非明示方式徵求使用者同意,如下圖這款App,在註冊時候,預設勾選了“我已閱讀並同意《使用者協議》和《隱私協議》”。
App以及第三方SDK收集使用個人資訊規範
App應該在隱私政策中逐一列出App(包括委託的第三方或嵌入的第三方程式碼、外掛)收集使用個人資訊的目的、方式、範圍等,如下圖:
裝置識別碼越權收集檢測
根據《移動網際網路應用程式(App)系統許可權申請使用指南》規定,除僅用於安全風控場景外,App不應收集不可變更的唯一裝置識別碼(如IMEI、MAC地址)。
App是否提供有效的登出使用者賬號功能
App應該提供有效的登出賬號的途徑(如線上操作、客服電話、電子郵件等),並在使用者登出賬號後,及時刪除其個人資訊或進行匿名化處理,法律法規另有規定的除外。受理登出賬號請求後,App運營者是否在承諾時限內(承諾時限不得超過15 個工作日,無承諾時限的,以15個工作日為限)完成核查和處理。
通付盾App隱私合規檢測系統是一款專門針對App執行全過程的檢測系統,系統採用了基於以符號執行為核心的靜態分析引擎和以執行態沙盒為核心的動態檢測引擎,旨在幫助使用者快速、準確地檢測App中存在的隱私合規問題,為移動應用隱私合規提供保障,幫助共建健康和諧的移動應用市場。
END
