自2019年1月23日四部门联合发布专项治理公告,至2022年4月15日国标41391发布,APP合规隐私监管体系已渐趋完善,逐渐形成企业自查、监管抽查、平台检查、第三方协查的基本形态。
2019年3月,企业根据监管要求自查整改;2019年5月开始,网信、工信等监管部门开始通报下架违规应用;2020年7月开始,分发平台审核管理责任被加强,各大平台组建APP隐私检查能力和审核机制,APP上架前需要先通过平台的检查;从20年后,APP隐私合规检测工具大开花,例如:bangbang\aijiami\qianxin\tengxun\。
对于APP运营者来说,APP同时受到用户、平台、监管部门三方监督,隐私保护不合格在上架和运营中都会存在阻力,严重情况下还会引发诉讼、下架、停运的风险。
APP合规必看清单
《164号文-工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》
《191号文-APP违法违规收集使用个人信息行为认定方法》
《337号文-工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》
《524行动-双清单-工业和信息化部关于开展信息通信服务感知提升行动的通知》
《APP收集使用个人信息自评估指南》
《APP系统权限申请使用指南》
《GBT 35273-2020 信息安全技术 个人信息安全规范》
《GBT 41391-2022 信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》
隐私合规响应团队
合规/法务:负责解读监管要求,隐私合规测试,指导APP隐私设计和整改方向、编制隐私政策
研发:负责按照合规/法务要求执行落实隐私设计
运营/GR/客服:负责接收整改通知、投诉等,并与分发平台/监管部门/用户进行沟通
流程:建议5天内响应完毕
运营/GR/客服接收整改要求后,反馈给合规/法务;
由合规/法务复现问题、解读整改要求、并指导研发修改;
研发修改APP、合规/法务修改隐私政策后,由合规/法务进行复测,通过后反馈。
渠道检查
目前各大分发平台在应用上架前均会对APP进行隐私常规检查(扫一遍隐私政策、跑一遍基本功能),发现问题后,应用会被拒审打回修改,基本不规定整改时间,谁要上架谁着急。
注意:
不清楚就问渠道要调用栈或详细数据;
渠道检查出哪些问题就改哪些问题;
多数sdk使用、个人信息收集的问题可以通过修改隐私政策解决;
渠道会误报
工信部检查
首次通知5天改完并反馈整改报告和新包,没改完的就公开通报;通报后,还是没有改好的,直接全面下架;下架40天后才能再次上架。
首次整改通知通常会通过渠道下发给企业,或对接人
一般一月一次通报,每次通报会包含整改和下架两部分
属地管局会通报和工信部也会通报,见后方资源地址
部分地区管局在通报APP问题时,会同步要求企业进行通保备案及其他检查。
网信办检查
属地网信办偶有抽查,一般给一周时间反馈《整改报告》,没有强制要求多久改完。
一般通过对接人联系企业
网信办通报,见后方资源地址
查隐私政策
APP启动后弹窗,简要说明并附链接,有“同意”“不同意”按钮
注册登录界面有隐私政策链接和是否同意的勾选
应用内,用户点击4步必须看到隐私政策的内容
不同意隐私政策不得立即退出,再次说明原因或提供仅浏览模式
隐私政策格式参考35273附录和各大应用的实例
“用到的,必须披露”
查sdk
主动接入的第三方sdk,要在隐私政策中披露
已知的嵌套的sdk,最好也披露
安卓组件可以不披露
可以使用成熟工具或开源查,也可以自行收集整理第三方sdk库,与APP(dex、services、activity等)做对比
查个人信息
35273中有归类的个人信息要做披露
APP必要收集的个人信息可以参照41391附录A
41391中不建议收集的6类不可变更标识符,最好不要收集
可以使用成熟工具或开源工具查
查权限
需要披露的权限可参考41391附录D
使用前必须先/同时说明目的
使用过的必须披露,不使用的不能为了以后使用而在代码中留存
可以用成熟工具或开源工具查,也可以对照检查manifest文件
其他
能尽量少收集的就少收集
用户的同意行为后台要有记录,应用必须给用户提供撤销同意的方法
应用使用剪切板时,应该申请同意,不要私自读取
targetsdkversion<=23,部分渠道已经要求升到30
APP跳转要获得用户同意,不能私自乱蹦
信通院:https://v.caict.ac.cn/#/home
病毒中心:https://www.cverc.org.cn/index.htm
APP专项治理小组:https://www.pipchina.cn/h5/
信通院sdk:https://sdk.caict.ac.cn/official/#/home
工信部APP治理专项:https://www.miit.gov.cn/jgsj/xgj/APPqhyhqyzxzzxd/gzdt/index.html
工信部通报:https://wap.miit.gov.cn/jgsj/xgj/gzdt/index.html
北京通管局:https://bjca.miit.gov.cn/zwgk/tzgg/index.html
四川通管局(川渝两地):https://scca.miit.gov.cn/zwgk/wlaqgl/index.html
网信办:https://www.cac.gov.cn/index.htm
已在FreeBuf发表 0 篇文章
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022