APP隐私合规简述

admin
admin
admin
108716
文章
90
评论
2024年6月29日10:05:55评论0 views字数 2263阅读7分32秒阅读模式

背景及必要性

  • 自2019年1月23日四部门联合发布专项治理公告,至2022年4月15日国标41391发布,APP合规隐私监管体系已渐趋完善,逐渐形成企业自查、监管抽查、平台检查、第三方协查的基本形态。

  • 2019年3月,企业根据监管要求自查整改;2019年5月开始,网信、工信等监管部门开始通报下架违规应用;2020年7月开始,分发平台审核管理责任被加强,各大平台组建APP隐私检查能力和审核机制,APP上架前需要先通过平台的检查;从20年后,APP隐私合规检测工具大开花,例如:bangbangaijiamiqianxintengxun。

  • 对于APP运营者来说,APP同时受到用户、平台、监管部门三方监督,隐私保护不合格在上架和运营中都会存在阻力,严重情况下还会引发诉讼、下架、停运的风险。

政策发展

APP合规必看清单
《164号文-工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》
《191号文-APP违法违规收集使用个人信息行为认定方法》
《337号文-工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》
《524行动-双清单-工业和信息化部关于开展信息通信服务感知提升行动的通知》
《APP收集使用个人信息自评估指南》
《APP系统权限申请使用指南》
《GBT 35273-2020 信息安全技术 个人信息安全规范》
《GBT 41391-2022 信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》

APP隐私合规简述

监督检查与响应

APP隐私合规简述

隐私合规响应团队

  • 合规/法务:负责解读监管要求,隐私合规测试,指导APP隐私设计和整改方向、编制隐私政策

  • 研发:负责按照合规/法务要求执行落实隐私设计

  • 运营/GR/客服:负责接收整改通知、投诉等,并与分发平台/监管部门/用户进行沟通

  • 流程建议5天内响应完毕

    1. 运营/GR/客服接收整改要求后,反馈给合规/法务;

    2. 由合规/法务复现问题、解读整改要求、并指导研发修改;

    3. 研发修改APP、合规/法务修改隐私政策后,由合规/法务进行复测,通过后反馈。

渠道检查

目前各大分发平台在应用上架前均会对APP进行隐私常规检查(扫一遍隐私政策、跑一遍基本功能),发现问题后,应用会被拒审打回修改,基本不规定整改时间,谁要上架谁着急。
注意:

  • 不清楚就问渠道要调用栈或详细数据;

  • 渠道检查出哪些问题就改哪些问题;

  • 多数sdk使用、个人信息收集的问题可以通过修改隐私政策解决;

  • 渠道会误报

工信部检查

首次通知5天改完并反馈整改报告和新包,没改完的就公开通报;通报后,还是没有改好的,直接全面下架;下架40天后才能再次上架。

  • 首次整改通知通常会通过渠道下发给企业,或对接人

  • 一般一月一次通报,每次通报会包含整改和下架两部分

  • 属地管局会通报和工信部也会通报,见后方资源地址

  • 部分地区管局在通报APP问题时,会同步要求企业进行通保备案及其他检查。

网信办检查

属地网信办偶有抽查,一般给一周时间反馈《整改报告》,没有强制要求多久改完。

  • 一般通过对接人联系企业

  • 网信办通报,见后方资源地址

APP合规基础检查

查隐私政策

  • APP启动后弹窗,简要说明并附链接,有“同意”“不同意”按钮

  • 注册登录界面有隐私政策链接和是否同意的勾选

  • 应用内,用户点击4步必须看到隐私政策的内容

  • 不同意隐私政策不得立即退出,再次说明原因或提供仅浏览模式

  • 隐私政策格式参考35273附录和各大应用的实例

  • “用到的,必须披露”

查sdk

  • 主动接入的第三方sdk,要在隐私政策中披露

  • 已知的嵌套的sdk,最好也披露

  • 安卓组件可以不披露

  • 可以使用成熟工具或开源查,也可以自行收集整理第三方sdk库,与APP(dex、services、activity等)做对比

查个人信息

  • 35273中有归类的个人信息要做披露

  • APP必要收集的个人信息可以参照41391附录A

  • 41391中不建议收集的6类不可变更标识符,最好不要收集

  • 可以使用成熟工具或开源工具查

查权限

  • 需要披露的权限可参考41391附录D

  • 使用前必须先/同时说明目的

  • 使用过的必须披露,不使用的不能为了以后使用而在代码中留存

  • 可以用成熟工具或开源工具查,也可以对照检查manifest文件

其他

  • 能尽量少收集的就少收集

  • 用户的同意行为后台要有记录,应用必须给用户提供撤销同意的方法

  • 应用使用剪切板时,应该申请同意,不要私自读取

  • targetsdkversion<=23,部分渠道已经要求升到30

  • APP跳转要获得用户同意,不能私自乱蹦

常用地址

  • 信通院:https://v.caict.ac.cn/#/home

  • 病毒中心:https://www.cverc.org.cn/index.htm

  • APP专项治理小组:https://www.pipchina.cn/h5/

  • 信通院sdk:https://sdk.caict.ac.cn/official/#/home

  • 工信部APP治理专项:https://www.miit.gov.cn/jgsj/xgj/APPqhyhqyzxzzxd/gzdt/index.html

  • 工信部通报:https://wap.miit.gov.cn/jgsj/xgj/gzdt/index.html

  • 北京通管局:https://bjca.miit.gov.cn/zwgk/tzgg/index.html

  • 四川通管局(川渝两地):https://scca.miit.gov.cn/zwgk/wlaqgl/index.html

  • 网信办:https://www.cac.gov.cn/index.htm

    来源:https://www.freebuf.com/

原文始发于微信公众号(船山信安):APP隐私合规简述

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月29日10:05:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   APP隐私合规简述http://cn-sec.com/archives/2898515.html

发表评论

匿名网友 填写信息