发布时间:2021-11-9 分类: 行业资讯
本月初,国家互联网信息办公室为了防止国家数据的安全风险,维护国家安全,保障公共利益,根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》网络安全审查办公室根据《网络安全审查办法》,对多个应用程序实施网络安全审查,并通报了多个严重违反个人信息利用的问题。App的隐私合规问题再次引起了影响。
7月16日,介绍了有关APP隐私检查的内容。现在市场上的App数量庞大,安全性问题频发。至少30%的App有过度收集隐私信息和权限的行为。通付盾北斗团队通过解读现阶段有关隐私的政策法规,总结了24项检查规则,提出了关于隐私合规的检查和自我检查的提案。
权限、个人隐私的24个检查标准:
收集个人信息的隐私政策
检查是否有隐私政策等收集利用规则。
催促用户阅读隐私政策的检查。
隐私政策访问规范检查
隐私政策阅读规范检查
公开应用程序运营商的基本情况检查
检测是否公开收集个人信息的其他规则
个人信息的使用规范
第三方使用规范的明示
有收集个人敏感信息的权限。
收集和使用个人信息的内容规范检查
个人信息的收集和使用申请规范
个人信息的收集不被强制束缚,原则上进行检查。
个人信息的收集是用户拒绝后的权限使用规范检查
收集个人信息的权限申请频度规范检查。
检测可收集或打开的可收集个人信息的权限范围
收集个人信息的自主肯定性检查
个人信息收集的合法性检查
撤销同意收集个人信息的路径、方式规范检查。
检查个人信息收集的必要性
收集个人信息的最小必要性检查
检测不必要的信息的拒绝性
收集用户个人信息的志愿者测试
个人信息收集频率测量
设备识别码卸载收集检查
个人信息主体的权利检查
提供有效的注销用户账户功能的检测吗?
删除是否提供了有效的纠正或个人信息的检测。
个人信息安全投诉,建立通报渠道检查并公布吗?
北斗集团对主流和最近通报的App进行了隐私合规分析,列出了6个普遍的App隐私合规问题。这些地方特别容易被报错。
(1)非法收集和利用个人信息或权限
App是否违反了“常见类型的移动互联网应用所需的个人信息范围规定”、“App违法收集和利用个人信息行为的认定方法”等法规,表明了在隐私政策中使用的权限或要求超出业务范围收集个人信息或权限。例如,如下图所示,应用程序在初次启动时,在点击隐私策略和用户同意按钮前申请取得了位置信息和设备识别码,将被非法收集。
(2)App隐私政策需要公开收集并共享使用个人信息的保管区域等。
当App有越境业务时,例如对于银行类App的越境业务,App明确说明个人信息保管地区(国内、国外的任何国家或地区)、保存期限(法律规定的范围内的最短期限或明确期限)、逾期处理方式必须保障数据的安全。
(3)App默认选择以隐私政策等非明确方式征求用户同意
第一次执行App或用户注册时,App不应以默认检查隐私政策等非明确方式征求用户的同意。如下图所示,App在注册时默认地进行了检查:“我已经看过了,同意了‘用户协议’和‘隐私协议’”。
(4)应用程序及第三方SDK收集利用个人信息规范
在隐私策略中,App应个别地在App(包括受托方的第三方或嵌入式的第三方代码、插件)中列举利用各个信息的目的、方式、范围等,如下图所示。
(5)设备识别码交叉收集检查
根据“移动互联网应用(App)系统权限申请利用指南”的规定,除了仅用于安全控制场景之外,App不得收集不能变更的唯一设备识别码(IMEI、MAC地址等)。
(6)应用提供有效的用户账户注销功能吗?
应用程序提供有效的注销路径(例如,在线操作、客户服务电话、电子邮件等),除非用户在注销账户后,及时删除或匿名化个人信息,法律法规另有规定。接受注销注册请求后,App运营商将完成核对、审查和处理,确认其是否在承诺期限内(承诺期限不得超过15个工作日,没有承诺期限则以15个工作日为限)。
预付费应用隐私合规检测系统是用于对App执行整个过程的检测系统,其基于以执行符号为中心的静态分析引擎和以操作状态沙箱为中心的动态检测引擎为帮助用户快速准确地检测App中存在的隐私合规问题,提供了移动应用程序的隐私合规保障。帮助构建健康和谐的移动应用市场。
