作者 | 漏洞404
编辑 | L
[漏洞404] 学习文章
网络安全需要你我共同努力
如需转载,请联系平台
最近在做的移动端APP项目的工作结束了,总结一下自己学习的APP隐私合规流程,包括自己在github上学习到的知识做一个APP隐私合规流程的小总结。
APP恢复上架流程图
APP 侵害用户权益专项整治行动恢复上架流程
App个人信息保护合规评估工具
免费隐私评估工具其实就是我之前在公众号发的那个隐私安全流程
参考链接:
https://mp.weixin.qq.com/s?__biz=Mzg5NTcxODQ4OA==&mid=2247485393&idx=1&sn=777a769dc6a2363bed9234f9e262b95b&chksm=c00d42e6f77acbf0d29ee7ef63c2961e4fc586bf4c7bc2ea1053577d12458bdfe68d0cea76e3&token=1715488222&lang=zh_CN#rdAPP常见个人信息保护问题合规指引
下面是一些国内手机大厂的信息保护问题合规指引,这些都是大厂的指标,对于新手学习隐私还是有很大的帮助的
oppo
https://open.oppomobile.com/new/developmentDoc/info?id=11106vivo
https://dev.vivo.com.cn/documentCenter/doc/534小米
https://dev.mi.com/distribute/doc/details?pId=1281华为
https://developer.huawei.com/consumer/cn/doc/app/FAQ-faqApp隐私合规注意事项
一: 未公开收集使用规则
-
在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;
-
在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则
-
隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;
-
隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。
二: 未明示收集使用个人信息的目的、方式和范围
-
未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;
-
收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;
-
在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;
-
有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。
三: 未经用户同意收集使用个人信息
-
App虽然具备隐私政策也在首次运行时通过弹窗等方式提示用户阅读隐私政策,但在用户可阅读并决定是否同意隐私政策前,App已要求用户提交个人信息(如用户手机号、网络(含三方登录)账号、IP地址等)或授权使用收集个人信息的权限(如电话、存储、位置等)
-
征得用户同意前就开始收集个人信息或打开可收集个人信息的权限 (例如,未经用户同意收集或打开收集以下信息的权限:IMEI、IMSI、设备MAC地址、软件安装列表、位置、联系人、通话记录、日历、短信、本机电话号码、图片、音视频信息或权限);
-
用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限;或用户明确拒绝与当前服务场景无关权限,频繁弹窗、反复申请,干扰用户正常使用;
-
实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;
-
以默认选择同意隐私政策等非明示方式征求用户同意;
-
未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;
-
收集用户个人信息用于定向推送或广告精准营销,未以显著方式标示且未经用户同意,且未提供关闭定向推送功能的选项;
-
以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;
-
非服务所必需或无合理场景,通过积分、奖励、优惠等方式欺骗误导用户提供身份证号码以及个人生物特征信息的行为
-
未向用户提供撤回同意收集个人信息的途径、方式;
-
违反其所声明的收集使用规则,收集使用个人信息;
四: 违反必要原则,收集与其提供的服务无关的个人信息
-
APP、SDK非服务所必需或无合理应用场景,特别是在静默状态下或在后台运行时,超范围收集个人信息
-
首次安装运行,用户未同意隐私政策前或同意隐私政策后非服务所必需或无应用场景时,App申请打开的可收集个人信息权限,用户拒绝后,应用自动退出或关闭
-
App首次安装及运行期间,收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;
-
因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;
-
APP运行和使用相关功能时,非服务所必需或无合理应用场景下,用户拒绝相关授权申请后,应用自动退出或关闭
-
App安装运行和使用期间,未及时明确告知用户索取权限的目的和用途,提前申请超出其业务功能等权限
-
App新增业务功能申请收集的个人信息超过用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;
-
收集个人信息的频度等超出业务功能实际需要;
-
仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;
-
要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用;
五: 未经同意向他人提供个人信息
-
既未向用户告知、未经用户同意,由客户端直接向第三方提供个人信息,包括App客户端及嵌入的第三方代码、插件等方式向第三方提供个人信息,经匿名化处理的除外。未告知用户或未经用户同意的情形包括但不限于:a)App首次运行,用户已阅读但未同意隐私政策;b)运行中App置于后台无业务场景;c)App运行中客户端发送至第三方的个人信息未以隐私政策等明显形式告知用户同意
-
既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息;
-
App接入第三方应用,未经用户同意,向第三方应用提供个人信息;
六: 未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息
-
未提供有效的更正、删除个人信息及注销用户账号功能;
-
为更正、删除个人信息或注销用户账号设置不必要或不合理条件;
-
虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;
-
更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的;
-
未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。
七:APP频繁自启动和关联启动
-
APP未向用户告知且未经用户同意,或无合理的使用场景,频繁自启动或关联启动第三方APP。
八 :欺骗误导用户下载APP及开屏广告骚扰用户
-
通过“偷梁换柱”“移花接木”等方式欺骗误导用户下载APP,特别是具有分发功能的移动应用程序欺骗误导用户下载非用户所自愿下载APP
-
App启动后显示弹窗、文字、整屏图片、视频广告等信息,存在以下骚扰用户行为:a) 开屏广告没有标识或标识不易发现;b)未提供可操作关闭或跳过的按钮或类似控件,致使用户必须完整观看或等待广告内容播放/显示结束;c)虽然提供了操作关闭或跳过的按钮或控件,但控件尺寸过小(且周边未设置安全区)、颜色过浅、位置隐蔽等不易识别和操作,或点击控件操作无效,致使用户无法或难以跳过或关闭;d)在开屏广告或显示页面未提供用于跳转的专门控件或链接,而是点击屏幕任意位置则跳转到广告相关产品或其他无关页面;或点击跳过/关闭控件区域也会跳转至广告相关产品或App无关页面
九:应用分发平台上的APP信息明示不到位
-
应用分发平台上未明示APP运行所需权限列表及用途,未明示APP收集、使用用户个人信息的内容、目的、方式和范围
十 :应用分发平台管理责任落实不到位
-
应用分发平台管理责任落实不到位。APP上架审核不严格、违法违规软件处理不及时和APP提供者、运营者、开发者身份信息不真实、联系方式虚假失效
十一:清朗·移动应用程序PUSH弹窗
-
弹窗信息标识近于无形、关闭按钮小如蝼蚁、页面伪装瞒天过海、诱导点击暗度陈仓
App隐私合规相关材料
-
《网络安全法》
-
《信息安全技术个人信息安全规范》
-
《关于开展纵深推进APP侵害用户权益专项整治行动》
-
《App违法违规使用个人信息自评估指南》
-
《App违法违规收集使用个人信息行为认定方法》
-
《关于开展纵深推进APP侵害用户权益专项整治行动的通知(工信部信管函〔2020〕164号)
-
《移动互联网应用程序个人信息保护管理暂行规定》
-
《互联网用户账号信息管理规定》
-
《国家网信办启动清朗·移动应用程序PUSH弹窗突出问题专项整治》
-
《app弹窗治理》
-
《用户感知提升和信息共享公开通知》
-
《国家标准|GB/T 35273-2020 (samr.gov.cn)》
下载链接
https://wwvg.lanpw.com/b04r1a7yj密码:a4xi
三方免费检测平台
vivo
https://pnc.vivo.com.cn/#/dashboardVIVO 的是一个自动化平台,当然需要用邮箱或者手机号码等注册一个账号进行检查,对于大部分app都是可以自动化测试,当然有一些是需要人工审核的,那么就需要用到我之前发的文章的平台进行自动化联动
上传apk或者ipa包后平台会对包自动进行分析,大概需要10-15分钟的样子具体还是得看网络来
完成之后就可以查看报告了
oppo
https://open.oppomobile.com/new/introduction?page_name=opdpOPPP这个比较麻烦,需要个人认证之类的,比如说个人开发者之类的,就是比较麻烦,如果要是不嫌弃麻烦的话可以用,但是非常不想用个人信息等之类的注册的可以不用,当然我觉得OPPO 也不会泄露用户信息,这个就看个人意愿了
三方隐私协议参考
腾讯
https://privacy.qq.com/document/priview/3fab9c7fc1424ebda42c3ce488322c8a淘宝
https://terms.alicdn.com/legal-agreement/terms/suit_bu1_taobao/suit_bu1_taobao201703241622_61002.html?spm=a1zaa.8161610.0.0.7e4115dfOC2q3V京东
https://ihelp.jd.com/n/help/tip/getTipsFacade.json?tipId=74招商银行
https://market.cmbchina.com/MPage/online/190717190011375/privacy.htm抖音
https://www.douyin.com/agreements/?id=6773901168964798477运满满司机
https://static.ymm56.com/customer-service-mobile/service-home/?amh-rpn=login#/service-home/question-detail?id=1766&categoryId=232&sceneCode=101110004&protocalType=10&userAgreement=true今日头条
https://www.toutiao.com/privacy_protection/微博
https://weibo.com/signup/v5/privacy#content中国移动
https://h.app.coc.10086.cn/cmcc-app/privacyPolicy/privacyPolicy.html和包
https://p.10086.cn/waph5/single/getProtocol?typeId=0双清单规范模板
一、个人信息收集清单模板:(功能页面)
| 序号 | 信息类型 | 信息名称 | 使用目的 | 使用场景 | 收集情况 | 信息内容 |
|---|---|---|---|---|---|---|
| 1 | 用户基本信息 | 姓名 | 创建账号 | 用户首次注册时 | 已收集,XXX条 | 张*三 |
| 2 | 手机号 | 创建账号 | 用户首次注册时 | |||
| 3 | 住址 | 完成收货 | 购买商品 | |||
| 4 | ||||||
| 5 | 用户身份证明 | 身份证号 | ||||
| 6 | 银行卡 | |||||
| 7 | 人脸信息 | |||||
| 8 | ||||||
| 9 | 用户过程使用信息 | 订单记录 | ||||
| 10 | 位置信息 | |||||
| 11 |
二、第三方共享个人信息清单:(隐私协议中)
A 内嵌SDK名单(Android、ios、小程序、公众号)
| 第三方公司名称 | 产品类型 | 共享信息名称 | 使用目的 | 使用权限 | 使用场景 | 共享方式 | 联系方式 | 隐私政策 | 终端类型 |
|---|
B 关联App/小程序名单
| 第三方公司名称 | 产品类型 | 共享信息名称 | 使用目的 | 使用场景 | 共享方式 | 联系方式 | 隐私政策 |
|---|
C 第三方合作商名单
| 第三方公司名称 | 产品类型 | 共享信息名称 | 使用目的 | 使用场景 | 共享方式 | 联系方式 | 隐私政策 |
|---|
常见问题处理方式
App频繁启动或关联启动(通常是推送类sdk引起)
融云小米应用上架问题处理方案
https://support.rongcloud.cn/ks/MTQzMg==
个推升级SDK到最新版本
https://docs.getui.com/getui/mobile/android/androidstudio/
话术方案(建议已经升级SDK也加上话术解释)
自启动和关联启动说明
1、为确保本应用处于关闭或后台运行状态下可正常接收到客户端推送的信息,本应用须使用(自启动)能力,
将存在一定频率通过系统发送广播唤醒本应用自启动或关联启动行为,是因实现功能及服务所必要的。
2、当您打开内容类推送消息,在征得您的明确同意后,会跳转打开相关内容。在未征得您同意的情况下,则不会有自启动或关联启动。
3、当您打开本App内部下载的文件后,会关联启动第三方App
自启动:为确保用户在App处于关闭或后台运行状态下可正常接收推送给用户的消息,须使用自启动能力,是因实现功能及服务所必须的。
关联启动:我们采用关联启动技术进行推送,因此需获得应用列表信息以实现合并链路推送。当一个设备有多个App的推送链路同时活跃时,
我们会随机合并成一条链路,以达到为用户省电省流量及提高推送成功率的目的。
获取应用列表(通常是分享类sdk引起)
话术方案(建议已经升级SDK也加上话术解释)
参考写法一:
您在使用我们的服务时,若您想分享您喜欢的内容至第三方App,我们需要判断是否安装了第三方App,以便为您提供正确的分享功能。
我们采用合并链路技术进行技术推送,在启动App初始化后,我们会读取已安装应用列表,当一个设备有多个APP的推送链路同时活跃时,
我们会随机合并成一条链路,以达到为您省电省流量的目的,因此需获得应用列表信息;同时我们提供智能推送功能,通过该信息推荐更
符合您需要的推送内容,减少无用推送信息对您的打扰。
参考写法二:
提供文件分享功能,支持通过手机号分享文件,当使用这个功能时,需要您授权同意读取用户终端内的通讯录。通讯录属于敏感个人信息,
我们所读取的信息仅用于上述用途。如果不同意,将会无法使用联系人分享功能。若需将文件分享至其他app,我们则需要收集您的已安装
应用列表,用于在社交分享时判断第三方应用是否已安装在本机。
参考写法三:
当您使用安卓或lOS版本平台APP时,我们为您提供分享和充值的应用服务。我们需从您的终端读取已安装应用列表,当您分享时用于在分享
文件时判断第三方应用是否已安装在本机
获取电话状态权限(通常是统计、推送、认证类sdk引起)
话术方案(建议已经升级SDK也加上话术解释)
获取用户设备的IMEI,通过IMEI对用户进行唯一标识,以便提供统计分析服务。
获取剪切板权限
话术方案(加上后App需要做撤回权限功能)
读取剪切板的场景:当您复制网页信息、标题、短信验证码,分享或接收图案、清收被分享信息时,我们可能会调用您的剪切板功能,
并读取最近一次复制的信息。剪切板信息仅会在您的端侧设备上进行处理,我们不会存储您的剪切板信息用于任何其他途径。
第三方SDK共享清单
SDK管理服务平台
https://sdk.caict.ac.cn/official/#/homeSDK名称:友盟统计链
公司名称:友盟同欣(北京)科技有限公司
使用目的:用于统计数据和效果分析,以便为用户提供更好的服务
使用权限:网络权限、设备信息、存储权限
收集个人信息类型:设备信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:4009901848
隐私权政策链接:
https://www.umeng.com/page/policy
SDK名称:友盟分享
公司名称:友盟同欣(北京)科技有限公司
使用目的:用于实现QQ好友、QQ空间、微信好友、微信朋友圈、钉钉分享
使用权限:网络权限、设备信息、存储权限
收集个人信息类型:设备信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:4009901848
隐私权政策链接:
https://www.umeng.com/page/policy
SDK名称:友盟U-APM
公司名称:友盟同欣(北京)科技有限公司
使用目的:用于唯一标识设备,以便提供设备应用性能监控服务;通过采集位置信息提供反作弊服务,剔除作弊设备,排查应用性能崩溃原因
使用权限:网络权限、设备信息、存储权限
收集个人信息类型:设备信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:4009901848
隐私权政策链接:
https://www.umeng.com/page/policy
SDK名称:高德地图定位SDK
公司名称:高德软件有限公司
使用目的:帮助用户获取定位位置
使用权限:网络权限、设备信息、存储权限、定位权限、蓝牙权限
收集个人信息类型:设备信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP)、地理位置信息(去标识化)
共享方式:SDK采集
联系方式:[email protected]
隐私权政策链接:
https://lbs.amap.com/pages/privacy/
SDK名称:微信分享SDK
公司名称:深圳市腾讯计算机系统有限公司
使用目的:分享功能
使用权限:网络权限,检索应用程序权限
收集个人信息类型:无
共享方式:SDK采集
联系方式:4009100100 或 95716
隐私权政策链接:
https://privacy.qq.com/policy/tencent-privacypolicy
SDK名称:支付宝支付SDK
公司名称:支付宝(杭州)信息技术有限公司
使用目的:支付功能
使用权限:网络权限
收集个人信息类型:
设备识别信息
(IMEI/MAC/WIFIMAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:95187
隐私权政策链接:
https://opendocs.alipay.com/open/54
SDK名称:融云即时通讯SDK
公司名称:北京云中融信网络科技有限公司
使用目的:推送消息
使用权限:网络权限、设备信息、存储权限
收集个人信息类型:设备识别信息(IMEI/ MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:400 - 919 - 9066
隐私权政策链接:
https://docs.rongcloud.cn/v4/views/im/noui/intro/privacy.html
SDK名称:echatSDK
公司名称:深圳市虹红科技有限公司
使用目的:在线客服
使用权限:网络权限、设备信息、存储权限、相机权限
收集个人信息类型:设备识别信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:18283887944
隐私权政策链接:
http://www.echatsoft.com/privacy/privacy.html
SDK名称:百度语音合成SDK
公司名称:百度在线网络技术(北京)有限公司
使用目的:语音播报
使用权限:网络权限、设备信息、存储权限
收集个人信息类型:设备识别信息
(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:4008-777-818
隐私权政策链接:
https://cloud.baidu.com/doc/APP/s/Gk2egm8jm
SDK名称:腾讯语音合成SDK
公司名称:深圳市腾讯计算机系统有限公司
使用目的:语音播报
使用权限:网络权限、设备信息、存储权限
收集个人信息类型:设备识别信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:4009100100 或 95716
隐私权政策链接:
https://cloud.tencent.com/document/product/301/11470
SDK名称:卓信ID
公司名称:中国信通院
使用目的:移动反欺诈、匿名标记
使用权限:网络权限、设备信息
收集个人信息类型:设备信息(设备制造商、设备型号、设备系统信息)、设别网络信息(联网方式和状态)、设备环境信息(设备屏幕亮度、电池状态、设备所在地区)、设备应用信息(设备常见应用版本等安装信息)
共享方式:SDK采集
联系方式:[email protected]
隐私权政策链接:
https://aid.mobileservice.cn/privacy
SDK名称:腾讯buglySDK
公司名称:深圳市腾讯计算机系统有限公司
使用目的:APP崩溃信息搜集与分析
使用权限:网络权限、设备信息、存储权限
收集个人信息类型:设备识别信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)、日志信息
共享方式:SDK采集
联系方式:4009100100 或 95716
隐私权政策链接:
https://privacy.qq.com/document/priview/fbd2c3f898df4c1c869925dd49d57827
SDK名称:一键登录SDK
公司名称:阿里巴巴集团控股有限公司
使用目的:授权登录使用
使用权限:网络权限、设备信息
收集个人信息类型:设备识别信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:95187
隐私权政策链接:https://terms.aliyun.com/legal-agreement/terms/suit_bu1_ali_cloud/suit_bu1_ali_cloud202012111724_21199.html?spm=a2c4g.11186623.2.10.1a1f3c6aDTDgn2
SDK名称:阿里mpass集成插件-实人认证
公司名称:阿里巴巴集团控股有限公司
使用目的:用户实名认证
使用权限:读取/写入外部存储权限、网络权限
收集个人信息类型:设备识别信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)、读取系统日志
共享方式:SDK采集
联系方式:95187
隐私权政策链接:
http://terms.aliyun.com/legal-agreement/terms/suit_bu1_ali_cloud/suit_bu1_ali_cloud201902141711_54837.html?spm=5176.20601824.J_9220772140.90.38e1f861LBsQSU
SDK名称:utdid
公司名称:阿里巴巴集团控股有限公司
使用目的:生成设备ID,匿名标记
使用权限:存储权限、网络权限
收集个人信息类型:设备识别信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:95187
隐私权政策链接:
http://terms.aliyun.com/legal-agreement/terms/suit_bu1_ali_cloud/suit_bu1_ali_cloud201902141711_54837.html?spm=5176.20601824.J_9220772140.90.38e1f861LBsQSU
SDK名称:httpdns
公司名称:阿里巴巴集团控股有限公司
使用目的:网页防护
使用权限:存储权限、使用网络权限
收集个人信息类型:设备识别信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置),读取系统日志
共享方式:SDK采集
联系方式:95187
隐私权政策链接:http://terms.aliyun.com/legal-agreement/terms/suit_bu1_ali_cloud/suit_bu1_ali_cloud201902141711_54837.html?spm=5176.20601824.J_9220772140.90.38e1f861LBsQSU
SDK名称:阿里云视频点播-上传SDK
公司名称:阿里巴巴集团控股有限公司
使用目的:视频发布
使用权限:网络权限、设备信息、存储权限
收集个人信息类型:设备识别信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:95187
隐私权政策链接:https://terms.aliyun.com/legal-agreement/terms/suit_bu1_ali_cloud/suit_bu1_ali_cloud202012111724_21199.html?spm=a2c4g.11186623.2.10.1a1f3c6aDTDgn2
SDK名称:融云即时通讯SDK
公司名称:北京云中融信网络科技有限公司
使用目的:消息推送
使用权限:读取/写入外部存储权限、网络权限
收集个人信息类型:设备识别信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:400 - 919 - 9066
隐私权政策链接:
https://docs.rongcloud.cn/v4/views/im/noui/intro/privacy.html
SDK名称:微信登录SDK
公司名称:腾讯
使用目的:授权登录
使用权限:存储权限,使用网络权限
收集个人信息类型:设备识别信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)、从微信获取您授权共享的账户信息(头像、昵称、地区、性别)
共享方式:SDK采集
联系方式:4009100100 或 95716
隐私权政策链接:
https://pay.weixin.qq.com/index.php/public/apply_sign/protocol_v2
SDK名称:微信支付SDK
公司名称:腾讯
使用目的:订单支付
使用权限:存储权限、网络权限
收集个人信息类型:设备识别信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:4009100100 或 95716
隐私权政策链接:
https://pay.weixin.qq.com/index.php/public/apply_sign/protocol_v2
SDK名称:支付宝登录SDK
公司名称:阿里巴巴集团控股有限公司
使用目的:授权登录
使用权限:存储权限、网络权限
收集个人信息类型:设备识别信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)、从支付宝获取您授权共享的账户信息(头像、昵称、地区、性别)
共享方式:SDK采集
联系方式:95187
隐私权政策链接:
https://opendocs.alipay.com/apis/01g6qm
SDK名称:阿里移动热修复
公司名称:阿里巴巴集团控股有限公司
使用目的:App热更新
使用权限:存储权限、网络权限
收集个人信息类型:设备识别信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:95187
隐私权政策链接:http://terms.aliyun.com/legal-agreement/terms/suit_bu1_ali_cloud/suit_bu1_ali_cloud201902141711_54837.html?spm=5176.20601824.J_9220772140.90.38e1f861LBsQSU
SDK名称:华为PUSH
公司名称:华为技术有限公司
使用目的:推送消息
使用权限:存储权限、网络权限、设备信息
收集个人信息类型:设备识别信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:950808
隐私权政策链接:
https://developer.huawei.com/consumer/cn/doc/development/HMSCore-Guides/privacy-statement-0000001050042021
SDK名称:小米PUSH
公司名称:小米科技有限责任公司
使用目的:推送消息
使用权限:存储权限、网络权限、设备信息
收集个人信息类型:设备识别信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:[email protected]
隐私权政策链接:
https://dev.mi.com/console/doc/detail?pId=1822
SDK名称:VIVO PUSH
公司名称:维沃移动通信有限公司
使用目的:推送消息
使用权限:存储权限、网络权限、设备信息
收集个人信息类型:设备识别信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:0769-89889888
隐私权政策链接:https://www.vivo.com.cn/about-vivo/privacy-policy/
SDK名称:OPPO PUSH
公司名称:广东欧珀移动通信有限公司
使用目的:推送消息
使用权限:存储权限、网络权限、设备信息
收集个人信息类型:设备识别信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:[email protected]
隐私权政策链接:
https://privacy.oppo.com/cn/policy/
SDK名称:腾讯语音合成SDK
公司名称:腾讯
使用目的:语音播报信息
使用权限:存储权限、网络权限
收集个人信息类型:设备识别信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:4009100100 或 95716
隐私权政策链接:
https://cloud.tencent.com/document/product/301/11470
SDK名称:HMS(统一扫码服务)
公司名称:华为
使用目的:识别二维码
使用权限:拍照权限、存储权限、网络权限
收集个人信息类型:设备识别信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:950808
隐私权政策链接:
https://developer.huawei.com/consumer/cn/devservice/term/
SDK名称:腾讯TBS
公司名称:腾讯
使用目的:WEB浏览器框架
使用权限:存储权限、网络权限
收集个人信息类型:设备识别信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:4009100100 或 95716
隐私权政策链接:
https://x5.tencent.com/tbs/policy.html
SDK名称:极光Jpush
公司名称:深圳市和讯华谷信息技术有限公司
使用目的:消息推送
使用权限:存储权限、网络权限
收集个人信息类型:设备识别信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:400-888-2376
隐私权政策链接:
https://www.jiguang.cn/license/privacy
极光推送标准版SDK
公司名称:深圳市和讯华谷信息技术有限公司 功能:用于实现消息推送(或其他推送)功能 收集个人信息的类型:设备信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)、应用信息(应用崩溃信息、通知开关状态、软件列表等相关信息)、网络信息(IP地址,WiFi信息,基站信息等相关信息)、设备参数及系统信息(设备类型、设备型号、操作系统及硬件相关信息)
共享方式:SDK采集
联系方式:400-888-2376 极光隐私政策链接接:https://www.jiguang.cn/license/privacy
NoHttp
使用目的:网络请求
包名:com.yanzhenjie.nohttp.*
使用权限:存储权限、网络访问权限
收集个人信息类型:无
共享方式:SDK采集
备注:会使用存储权限,目的优化网络请求,绝对不会收集个人信息,存储或上传云端等操作
项目链接接:
https://github.com/yanzhenjie/NoHttp
Glide 使用目的:页面加载图片
包名:com.bumptech.glide*
使用权限:读取/写入存储权限,网络访问权限
收集个人信息类型:无
备注:会使用存储权限,目的优化图片加载速度,绝对不会收集个人信息,存储或上传云端等操作
项目链接:
https://github.com/bumptech/glide
PictureSelector 使用目的:
使用相册选择,拍照功能
包名:com.luck.picture.lib*
使用权限:存储权限、拍照权限
收集个人信息类型:无
项目链接:
https://github.com/LuckSiege/PictureSelector
SDK名称:有赞"App开店"SDK
公司:杭州有赞科技有限公司 使用目的:通过接入App开店SDK为App赋予商城开店及店铺营销能力,用于移动电商方案;位置和网络信息用于创建智能标签,实现就近店铺选择功能
使用权限:存储权限,位置权限,网络访问权限
收集个人信息类型:设备信息(IMEI/MAC/WIFI MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
联系方式:0571-8998 8550
隐私协议地址:
https://doc.youzanyun.com/resource/develop-guide/35675/40372
xUtils3
使用目的:网络请求
包名:org.xutils*
使用权限:存储权限,网络访问权限
收集个人信息类型:无
共享方式:SDK采集
备注:会使用存储权限,目的优化网络请求,绝对不会收集个人信息,存储或上传云端等操作
项目链接:
https://github.com/wyouflf/xUtils3
中国移动号码认证
公司名称:中移(苏州)软件技术有限公司
使用目的:移动用户一键登录
使用权限:网络权限、设备信息、存储权限
收集个人信息类型:设备信息(IMEI/MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:4001-10086-8转4
隐私权政策链:
https://ecloud.10086.cn/op-help-center/doc/article/27419
中国联通号码认证
公司名称:中国联合网络通信集团有限公司
使用目的:联调用户一键登录
使用权限:网络权限、设备信息、存储权限
收集个人信息类型:设备信息(IMEI/MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:4000096800
隐私权政策链:
https://onlinebusiness.10010.com/product/5302?chnl=none
中国电信号码认证
公司名称:中国电信集团有限公司
使用目的:电信用户一键登录
使用权限:网络权限、设备信息、存储权限
收集个人信息类型:设备信息(IMEI/MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:[email protected]
隐私权政策链:
https://id.189.cn/api?initialSrc=/html/api_detail_109.html
金融级实人认证SDK
公司名称:阿里巴巴集团控股有限公司
使用目的:身份认证
使用权限:网络权限、设备信息、存储权限
收集个人信息类型:人脸信息、设备信息(IMEI/MAC/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI/IP/地理位置)
共享方式:SDK采集
联系方式:95187
隐私权政策链:
https://terms.aliyun.com/legal-agreement/terms/suit_bu1_ali_cloud/suit_bu1_ali_cloud202107281509_18386.html?spm=a2c4g.11186623.0.0.37c330e5MTR26n
常见问题处理方式
App频繁启动或关联启动(通常是推送类sdk引起)
融云小米应用上架问题处理方案:
https://support.rongcloud.cn/ks/MTQzMg==
个推升级SDK到最新版本
https://docs.getui.com/getui/mobile/android/androidstudio/
话术方案(建议已经升级SDK也加上话术解释)
-
自启动和关联启动说明
1、为确保本应用处于关闭或后台运行状态下可正常接收到客户端推送的信息,本应用须使用(自启动)能力,
将存在一定频率通过系统发送广播唤醒本应用自启动或关联启动行为,是因实现功能及服务所必要的。
2、当您打开内容类推送消息,在征得您的明确同意后,会跳转打开相关内容。在未征得您同意的情况下,则不会有自启动或关联启动。
3、当您打开本App内部下载的文件后,会关联启动第三方App
-
自启动:为确保用户在App处于关闭或后台运行状态下可正常接收推送给用户的消息,须使用自启动能力,是因实现功能及服务所必须的。
-
关联启动:我们采用关联启动技术进行推送,因此需获得应用列表信息以实现合并链路推送。当一个设备有多个App的推送链路同时活跃时,
我们会随机合并成一条链路,以达到为用户省电省流量及提高推送成功率的目的。
获取应用列表(通常是分享类sdk引起)
话术方案(建议已经升级SDK也加上话术解释)
-
参考写法一:
您在使用我们的服务时,若您想分享您喜欢的内容至第三方App,我们需要判断是否安装了第三方App,以便为您提供正确的分享功能。
我们采用合并链路技术进行技术推送,在启动App初始化后,我们会读取已安装应用列表,当一个设备有多个APP的推送链路同时活跃时,
我们会随机合并成一条链路,以达到为您省电省流量的目的,因此需获得应用列表信息;同时我们提供智能推送功能,通过该信息推荐更
符合您需要的推送内容,减少无用推送信息对您的打扰。参考写法二:
提供文件分享功能,支持通过手机号分享文件,当使用这个功能时,需要您授权同意读取用户终端内的通讯录。通讯录属于敏感个人信息,
我们所读取的信息仅用于上述用途。如果不同意,将会无法使用联系人分享功能。若需将文件分享至其他app,我们则需要收集您的已安装
应用列表,用于在社交分享时判断第三方应用是否已安装在本机。参考写法三:
当您使用安卓或lOS版本平台APP时,我们为您提供分享和充值的应用服务。我们需从您的终端读取已安装应用列表,当您分享时用于在分享
文件时判断第三方应用是否已安装在本机
获取电话状态权限(通常是统计、推送、认证类sdk引起)
话术方案(建议已经升级SDK也加上话术解释)
获取用户设备的IMEI,通过IMEI对用户进行唯一标识,以便提供统计分析服务。
获取剪切板权限
话术方案(加上后App需要做撤回权限功能)
读取剪切板的场景:当您复制网页信息、标题、短信验证码,分享或接收图案、清收被分享信息时,我们可能会调用您的剪切板功能,
并读取最近一次复制的信息。剪切板信息仅会在您的端侧设备上进行处理,我们不会存储您的剪切板信息用于任何其他途径。
总结
首先还是先声明一下以上内容不是我写的也不是我总结出来的,这个是我从去年开始从事app安全相关工作:app客户端评估、app隐私、app渗透测试等相关的工作的时候经过不断的去找学习资料,也看了工作中其他的大佬交接的文档不断的学习过程中发现是最可行也是比较好的,合适小白从零开始入手app安全隐私的,加上目前在百度或者互联网上寻找app隐私相关的学习资料实在太少了,外加目前如果有app相关的项目的话一般都会要求做隐私,这个也是为了刚刚开始要做app隐私的新人如果能找到我这篇文章也算给出一条明路学习的方向,而且上面的所有内容我基本都去复盘复现了一下,后面附属上github链接地址
https://github.com/zhengjim/camille/wiki/
原文始发于微信公众号(漏洞404):小白APP隐私合规全流程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论