为贯彻落实《中华人民共和国个人信息保护法》《常见类型移动互联网应用程序必要个人信息范围规定》《App违法违规收集使用个人信息行为认定方法》等有关要求,针对App违法违规收集使用个人信息的突出问题,结合当前移动互联网技术和应用现状,国家市场监督总局、国家标准化管理委员会于2022年4月15日正式发布《信息安全技术移动互联网应用程序(App)收集个人信息基本要求(GB/T 41391-2022)》(以下简称“《基本要求》”),该标准将于2022年11月1日正式实施。
适用范围
核心概念
App、业务功能与必要个人信息之间的关系
主要内容
《基本要求》给出了确定“必要个人信息”的方法,即当App类型属于39类常见服务类型时,应按照App对应服务类型确定必要个人信息范围;当App类型不属于附录A中的常见服务类型时,依据业务功能划分App的基本业务功能和扩展业务功能,再将保障App基本业务功能正常运行所必需的个人信息确定为必要个人信息。
确定App基本业务功能与必要个人信息的流程
系统权限申请使用
第三方管理
其他要求
标准应用
《基本要求》适用于支撑主管监管部门开展App个人信息安全治理、指导第三方机构进行App个人信息安全测评和认证,也适用于App运营者规范其个人信息收集活动,建立个人信息保护合规体系,防范违法违规处理个人信息风险,落实个人信息保护法规政策的有关要求等。
梆梆安全助力移动应用合规
梆梆安全移动应用合规平台,借助深度定制化的检测沙箱、利用自动化脱壳、应用自动化遍历及人工深度辅助测试等技术,对应用的合规情况、动态行为、软件成分、安全漏洞进行采集与分析,帮助用户发现应用违规行为并输出合规评估报告,保障应用上架后符合监管单位与相关机构的合规要求。
可依据检测规范进行全自动化、自动化+人工辅助检测,输出检测结果,提供截图堆栈等证据信息,技术人员可进行审核确认,给出建设性整改建议,最终输出完整的合规检测报告,满足合规监管、企业自查自纠等应用检测场景。
借助深度定制的检测沙箱识别App、SDK的行为,对应用进行启动行为检测、隐私行为检测,并可识别常见个人信息的明文传输、存储行为,识别检测传输、存储行为的安全性。
通过对应用进行自动化脱壳、反编译等技术分析应用内部SDK 特征信息,与平台内置 SDK 特征库进行对比,识别App 中集成的商业 SDK 以及开源 SDK。
通过安全检测引擎检测程序源文件、本地数据存储、内部数据交互、通信数据传输、恶意攻击防范能力等风险类型,全面评估被测应用的安全情况,准确定位问题根源,并呈现详细的问题描述及解决方案。
梆梆安全倡导以安全服务为核心,协助客户在事前、事中及事后发现并处理各种个人信息、数据安全问题及风险,业务覆盖政企、金融、运营商、能源、旅游、互联网、公安、医疗、IoT等,服务超10万家企业及开发者用户,安全技术累计安装在10亿个移动终端上的100万+移动应用软件。
未来,梆梆安全将不断创新与提升技术实力,始终秉承“稳如泰山,值得托付”的服务观,通过专业的安全服务为政府、企业、开发者和消费者等客户打造安全稳固可信的网络空间生态环境。
推荐阅读
Recommended
>北京市委网信办发布网络安全技术支撑单位遴选结果,梆梆安全成功入选
> 再爆“盗脸”安全事件,梆梆安全深度解析人脸识别攻击与防护
原文始发于微信公众号(梆梆安全):重磅解读 |《移动互联网应用程序(APP)收集个人信息基本要求》(GB/T 41391-2022)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论