征得用户同意前就开始收集个人信息或打开可收集个人信息的权限
【评估依据】
《中华人民共和国网络安全法》
《中华人民共和国个人信息保护法》
《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)
《信息安全技术个人信息安全规范》(GB/T35273-2020)
《关于开展 APP 侵害用户权益专项整治工作的通知(工信部信管函〔2019〕337号)》
《关于开展纵深推进 APP 侵害用户权益专项整治行动的通知(工信部信管函〔2020〕164号)》
【评估方式】
启动APP,但不做任何操作,隐私政策也不能点击。因为安卓系统在打开app的时候会自动打开所有权限,所以安卓系统测试之前需要手动关闭所有权限。
【注意要点】
APP开发者需要注意,在用户没有同意前是不能私自打开除了“修改SD卡内容”“查看访问wlan”权限之外的其他权限,也不能申请。很多APP为了实现尽快开启app业务的目的,会提前申请或打开某些权限,这样在评估过程中是会被判为不合规的。
【评估难点】
明确收集使用个人信息的起始点,需要APP行为检测工具,在APP静默的状态下检测。
【违规案例】
样本下载链接:
https://www.wandoujia.com/apps/5947437/history_v150
复现过程】
隐私政策中有对个人信息收集规则的说明。
下面通过Android App隐私合规检测辅助工具-Camille进行动态监测APP的隐私权限申请使用过程,该工具下载的链接为:
https://github.com/zhengjim/camille.git
运行Camille并把结果保存在XLS表格中,运行该APP,在没有授权结果下,该APP的收集个人信息如下:
【复现结论】
通过动态监测脚本获取的内容,可以得知APP在未征得用户同意前,就已经访问精确位置、读取IP地址、获取Android ID、读取MAC地址、读取IMEI等相关内容了,因此可以判定该APP存在征得用户同意前就开始收集个人信息或打开可收集个人信息的权限的违规行为。
【整改建议】
在未征得用户同意前,不应收集用户个人信息。“用户同意”作为《网络安全法》规定的收集用户信息的法定基础,也是在我国现行网络安全生态下收集用户信息的合法来源。运营者要合法合规收集使用个人信息,就需要能够证明获得用户同意,且能够证明用户同意的时间点先于收集使用行为。
【参考链接】
https://www.freebuf.com/articles/neopoints/253807.html
https://blog.csdn.net/wutianxu123/article/details/113730098
原文始发于微信公众号(数据安全合规交流部落):【干货】APP违法违规收集个人信息通报案例复现系列之九
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论