當前位置:首頁 >  科技 >  移動互聯(lián) >  正文

通付盾帶您了解6個普遍存在的App隱私合規(guī)問題

 2021-07-23 17:40  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預訂/競價,好“米”不錯過

本月初,國家互聯(lián)網(wǎng)信息辦公室發(fā)布消息,為防范國家數(shù)據(jù)安全風險,維護國家安全,保障公共利益,依據(jù)《中華人民共和國國家安全法》、《中華人民共和國網(wǎng)絡(luò)安全法》,網(wǎng)絡(luò)安全審查辦公室按照《網(wǎng)絡(luò)安全審查辦法》,對多款App實施網(wǎng)絡(luò)安全審查, 并通報了多款存在嚴重違法違規(guī)收集使用個人信息問題的App,App隱私合規(guī)問題再一次被推上風口浪尖。

7月16日,通付盾云大講堂分享了App隱私合規(guī)檢測相關(guān)內(nèi)容。目前市場上App數(shù)量龐大,安全問題頻發(fā),至少30%的App存在過度收集使用個人隱私信息或者權(quán)限的行為。通付盾北斗團隊通過解讀了現(xiàn)階段的隱私相關(guān)政策法規(guī),總結(jié)出24項檢測規(guī)則,并給出了針對隱私合規(guī)相關(guān)的檢測和自查建議。

對于權(quán)限、隱私相關(guān)的2 4 項檢測標準:

收集使用個人信息的隱私政策

是否存在隱私政策等收集使用規(guī)則檢測

主動提示用戶閱讀隱私政策檢測

隱私政策訪問規(guī)范檢測

隱私政策閱讀規(guī)范檢測

公開App運營者的基本情況檢測

是否公開收集使用個人信息的其他規(guī)則檢測

個人信息使用規(guī)范

明示第三方使用規(guī)范檢測

收集使用個人敏感信息的權(quán)限申請規(guī)范檢測

收集使用個人信息的內(nèi)容規(guī)范檢測

收集使用個人信息申請規(guī)范

收集個人信息的不強制不捆綁原則檢測

收集個人信息在用戶拒絕后的權(quán)限使用規(guī)范檢測

收集個人信息的權(quán)限申請頻次規(guī)范檢測

收集或打開的可收集個人信息權(quán)限范圍規(guī)范檢測

收集個人信息的自主肯定性檢測

收集個人信息的合法性檢測

撤回同意收集個人信息的途徑、方式的規(guī)范檢測

收集個人信息必要性的檢測

收集個人信息的最小必要性檢測

非必要信息的可拒絕性檢測

收集用戶個人信息的自愿性檢測

收集個人信息的頻度檢測

設(shè)備識別碼越權(quán)收集檢測

個人信息主體權(quán)利檢測

是否提供有效的注銷用戶賬號功能檢測

是否提供有效的更正或刪除個人信息檢測

是否建立并公布個人信息安全投訴、舉報渠道檢測

通付盾北斗團隊對主流和近期被通報App做了隱私合規(guī)分析,列出了6個普遍存在的App 隱私合規(guī) 問題 ,這些地方特別容易出錯被通報:

(1)超范圍 違規(guī)收集 和使用 個人信息或者權(quán)限

App違反《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》、《App違法違規(guī)收集使用個人信息行為認定方法》等法規(guī),沒有在隱私政策中申明使用的權(quán)限,或超出業(yè)務(wù)范圍要求收集個人信息或者權(quán)限。例如下圖所示,應(yīng)用在首次啟動時,隱私政策與用戶協(xié)議同意按鈕點擊之前申請獲取了位置信息和設(shè)備識別碼,屬于違規(guī)收集。

2 App隱私政策需要公開收集使用個人信息的存放區(qū)域,是否共享等

App如有跨境業(yè)務(wù),比如銀行類App的跨境業(yè)務(wù),App應(yīng)該對個人信息存放地域(境內(nèi)、境外哪個國家或地區(qū))、存儲期限(法律規(guī)定范圍內(nèi)最短期限或明確的期限)、超期處理方式進行明確說明,并保障數(shù)據(jù)安全。

3 App以默認選擇同意隱私政策等非明示方式征求用戶同意

首次運行App或用戶注冊時,App不應(yīng)該采用默認勾選隱私政策等非明示方式征求用戶同意,如下圖這款App,在注冊時候,默認勾選了“我已閱讀并同意《用戶協(xié)議》和《隱私協(xié)議》”

4 )App以及 第三方 SDK 收集使用個人信息規(guī)范

App應(yīng)該在隱私政策中逐一列出App(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、范圍等,如下圖:

5 設(shè)備識別碼越權(quán)收集檢測

根據(jù)《移動互聯(lián)網(wǎng)應(yīng)用程序(App)系統(tǒng)權(quán)限申請使用指南》規(guī)定,除僅用于安全風控場景外,App不應(yīng)收集不可變更的唯一設(shè)備識別碼(如IMEI、MAC地址)。

6 )App是否提供有效的注銷用戶賬號功能

App應(yīng)該提供有效的注銷賬號的途徑(如在線操作、客服電話、電子郵件等),并在用戶注銷賬號后,及時刪除其個人信息或進行匿名化處理,法律法規(guī)另有規(guī)定的除外。受理注銷賬號請求后,App運營者是否在承諾時限內(nèi)(承諾時限不得超過15個工作日,無承諾時限的,以15個工作日為限)完成核查和處理。

通付盾App隱私合規(guī)檢測系統(tǒng)是一款專門針對App運行全過程的檢測系統(tǒng),系統(tǒng)采用了基于以符號執(zhí)行為核心的靜態(tài)分析引擎和以運行態(tài)沙盒為核心的動態(tài)檢測引擎,旨在幫助用戶快速、準確地檢測App中存在的隱私合規(guī)問題,為移動應(yīng)用隱私合規(guī)提供保障,幫助共建健康和諧的移動應(yīng)用市場。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)標簽
手機app
網(wǎng)絡(luò)安全

相關(guān)文章

熱門排行

信息推薦