APP隐私合规简述
2024-6-18 10:11:53 Author: www.freebuf.com(查看原文) 阅读量:1 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

  • 自2019年1月23日四部门联合发布专项治理公告,至2022年4月15日国标41391发布,APP合规隐私监管体系已渐趋完善,逐渐形成企业自查、监管抽查、平台检查、第三方协查的基本形态。

  • 2019年3月,企业根据监管要求自查整改;2019年5月开始,网信、工信等监管部门开始通报下架违规应用;2020年7月开始,分发平台审核管理责任被加强,各大平台组建APP隐私检查能力和审核机制,APP上架前需要先通过平台的检查;从20年后,APP隐私合规检测工具大开花,例如:bangbang\aijiami\qianxin\tengxun\。

  • 对于APP运营者来说,APP同时受到用户、平台、监管部门三方监督,隐私保护不合格在上架和运营中都会存在阻力,严重情况下还会引发诉讼、下架、停运的风险。

APP合规必看清单
《164号文-工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》
《191号文-APP违法违规收集使用个人信息行为认定方法》
《337号文-工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》
《524行动-双清单-工业和信息化部关于开展信息通信服务感知提升行动的通知》
《APP收集使用个人信息自评估指南》
《APP系统权限申请使用指南》
《GBT 35273-2020 信息安全技术 个人信息安全规范》
《GBT 41391-2022 信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》

隐私合规政策发展

APP隐私合规监督方

隐私合规响应团队

  • 合规/法务:负责解读监管要求,隐私合规测试,指导APP隐私设计和整改方向、编制隐私政策

  • 研发:负责按照合规/法务要求执行落实隐私设计

  • 运营/GR/客服:负责接收整改通知、投诉等,并与分发平台/监管部门/用户进行沟通

  • 流程建议5天内响应完毕

    1. 运营/GR/客服接收整改要求后,反馈给合规/法务;

    2. 由合规/法务复现问题、解读整改要求、并指导研发修改;

    3. 研发修改APP、合规/法务修改隐私政策后,由合规/法务进行复测,通过后反馈。

渠道检查

目前各大分发平台在应用上架前均会对APP进行隐私常规检查(扫一遍隐私政策、跑一遍基本功能),发现问题后,应用会被拒审打回修改,基本不规定整改时间,谁要上架谁着急。
注意:

  • 不清楚就问渠道要调用栈或详细数据;

  • 渠道检查出哪些问题就改哪些问题;

  • 多数sdk使用、个人信息收集的问题可以通过修改隐私政策解决;

  • 渠道会误报

工信部检查

首次通知5天改完并反馈整改报告和新包,没改完的就公开通报;通报后,还是没有改好的,直接全面下架;下架40天后才能再次上架。

  • 首次整改通知通常会通过渠道下发给企业,或对接人

  • 一般一月一次通报,每次通报会包含整改和下架两部分

  • 属地管局会通报和工信部也会通报,见后方资源地址

  • 部分地区管局在通报APP问题时,会同步要求企业进行通保备案及其他检查。

网信办检查

属地网信办偶有抽查,一般给一周时间反馈《整改报告》,没有强制要求多久改完。

  • 一般通过对接人联系企业

  • 网信办通报,见后方资源地址

查隐私政策

  • APP启动后弹窗,简要说明并附链接,有“同意”“不同意”按钮

  • 注册登录界面有隐私政策链接和是否同意的勾选

  • 应用内,用户点击4步必须看到隐私政策的内容

  • 不同意隐私政策不得立即退出,再次说明原因或提供仅浏览模式

  • 隐私政策格式参考35273附录和各大应用的实例

  • “用到的,必须披露”

查sdk

  • 主动接入的第三方sdk,要在隐私政策中披露

  • 已知的嵌套的sdk,最好也披露

  • 安卓组件可以不披露

  • 可以使用成熟工具或开源查,也可以自行收集整理第三方sdk库,与APP(dex、services、activity等)做对比

查个人信息

  • 35273中有归类的个人信息要做披露

  • APP必要收集的个人信息可以参照41391附录A

  • 41391中不建议收集的6类不可变更标识符,最好不要收集

  • 可以使用成熟工具或开源工具查

查权限

  • 需要披露的权限可参考41391附录D

  • 使用前必须先/同时说明目的

  • 使用过的必须披露,不使用的不能为了以后使用而在代码中留存

  • 可以用成熟工具或开源工具查,也可以对照检查manifest文件

其他

  • 能尽量少收集的就少收集

  • 用户的同意行为后台要有记录,应用必须给用户提供撤销同意的方法

  • 应用使用剪切板时,应该申请同意,不要私自读取

  • targetsdkversion<=23,部分渠道已经要求升到30

  • APP跳转要获得用户同意,不能私自乱蹦

  • 信通院:https://v.caict.ac.cn/#/home

  • 病毒中心:https://www.cverc.org.cn/index.htm

  • APP专项治理小组:https://www.pipchina.cn/h5/

  • 信通院sdk:https://sdk.caict.ac.cn/official/#/home

  • 工信部APP治理专项:https://www.miit.gov.cn/jgsj/xgj/APPqhyhqyzxzzxd/gzdt/index.html

  • 工信部通报:https://wap.miit.gov.cn/jgsj/xgj/gzdt/index.html

  • 北京通管局:https://bjca.miit.gov.cn/zwgk/tzgg/index.html

  • 四川通管局(川渝两地):https://scca.miit.gov.cn/zwgk/wlaqgl/index.html

  • 网信办:https://www.cac.gov.cn/index.htm

已在FreeBuf发表 0 篇文章

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/articles/database/403522.html
如有侵权请联系:admin#unsafe.sh