【干货】APP违法违规收集个人信息通报案例复现系列之二十八

admin 2022年6月21日00:52:47安全新闻评论13 views1676字阅读5分35秒阅读模式

为更正、删除个人信息或注销用户账号设置不必要或不合理条件


【评估依据】

中华人民共和国网络安全法》

《中华人民共和国个人信息保护法》

《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)

《信息安全技术个人信息安全规范》(GB/T35273-2020)

《常见类型移动互联网应用程序必要个人信息范围规定》

《关于开展 APP 侵害用户权益专项整治工作的通知(工信部信管函〔2019〕337号)》

《关于开展纵深推进 APP 侵害用户权益专项整治行动的通知(工信部信管函〔2020〕164号)》


【评估方法】

一般app要求用户提供额外的身份信息、花完app内虚拟货币、成为会员后无法注销等操作基本都属于设置障碍。金融类app除外,涉及金钱等敏感信息的,一般会需要用户验证自己的身份,验证步骤就不能太繁琐。如果需要客服操作的,应该对用户请求及时应答。


【注意要点】

一般6.1不能实现,6.2基本算是违规。不过6.2着重考虑的是“不合理条件“这一判断比较主观,有可能各家标准不一致。该条主要明确不得妨碍用户权利行使。


【违规案例】

案例来源:

https://mp.weixin.qq.com/s?__biz=Mzg3OTU5NDQ3Ng==&mid=2247489547&idx=1&sn=8782915e23659d310749cd7b9233244c&source=41#wechat_redirect

【干货】APP违法违规收集个人信息通报案例复现系列之二十八


复现样本下载链接:

https://www.wandoujia.com/apps/337297/history_v148

【干货】APP违法违规收集个人信息通报案例复现系列之二十八


【复现过程】


隐私政策访问链接如下:

https://wy.guahao.com/private_policy

【干货】APP违法违规收集个人信息通报案例复现系列之二十八

目前该隐私政策已经更新到2020年04月03日版本。

【干货】APP违法违规收集个人信息通报案例复现系列之二十八

隐私政策中有关于帐号注销的描述,具体为“如您需要撤销授权信息或者注销、删除个人账号信息,您可通过(https://wwwguahao.com/help/common)联系我们。为保障您的信息安全,我们可能需要您提供书面请求或其他方式证明您的身份,验证通过后即可处理您的请求。我们将会在15个工作日内针对您的的请求做出答复。如您不满意,可通过客服中心发起投诉。”

【干货】APP违法违规收集个人信息通报案例复现系列之二十八

登录https://wwwguahao.com/help/common网站没有直接看到可以帐号注销处,通过咨询在线客户,提供了注销帐号的方法如上所示,可以看到注销需要做一些前期工作,如解绑银行卡等。

【干货】APP违法违规收集个人信息通报案例复现系列之二十八

随后我们登录微医通报版本(V3.7.2.1)APP,多次尝试登录但都显示网络读取超时,确认手机网络没有问题,可以打开百度并访问时间确认网络不存在问题,猜测可能由于版本旧的问题已经不再让登录。

【复现结论】

目前该APP测试版本的隐私政策已更新,隐私政策中已有帐号注销的描述,但是由于旧版本帐号无法登录成功,导致无法确认是否存在“为注销用户账号设置不合理条件:需提交个人身份证正反面照片等信息,才允许注销。”,因此本通报内容已无法复现成功。

【整改建议】

对《个人信息安全规范》第7.8-第7.14条的部分沿用。结合前述条款规定和实践中常见问题,建议:

(1)便于用户操作,不应通过隐蔽入口、操作繁琐等方式影响用户权利的实现;

(2)用户行使该等权利时,如需核验身份信息,重新提供的个人信息不应多于注册、使用等服务环节收集的个人信息;

(3)不应设置注销单个账户视同多个产品或服务的条件;

(4)不应要求用户填写精准的历史操作记录作为必要注销条件;

(5)不应客服之间来回推诿,集团公司之间来回推诿;

(6)不应仅提示存在积分、参与活动、授权登陆解绑等影响权利行使的问题,而不提供解决具体问题的通道。


【参考链接】


https://www.freebuf.com/articles/neopoints/253807.html

https://blog.csdn.net/wutianxu123/article/details/113730098


原文始发于微信公众号(数据安全合规交流部落):【干货】APP违法违规收集个人信息通报案例复现系列之二十八

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月21日00:52:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【干货】APP违法违规收集个人信息通报案例复现系列之二十八 http://cn-sec.com/archives/1130966.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: