域名預(yù)訂/競價，好“米”不錯過

本月初，國家互聯(lián)網(wǎng)信息辦公室發(fā)布消息，為防范國家數(shù)據(jù)安全風(fēng)險，維護(hù)國家安全，保障公共利益，依據(jù)《中華人民共和國國家安全法》、《中華人民共和國網(wǎng)絡(luò)安全法》，網(wǎng)絡(luò)安全審查辦公室按照《網(wǎng)絡(luò)安全審查辦法》，對多款A(yù)pp實施網(wǎng)絡(luò)安全審查, 并通報了多款存在嚴(yán)重違法違規(guī)收集使用個人信息問題的App，App隱私合規(guī)問題再一次被推上風(fēng)口浪尖。

7月16日，通付盾云大講堂分享了App隱私合規(guī)檢測相關(guān)內(nèi)容。目前市場上App數(shù)量龐大，安全問題頻發(fā)，至少30%的App存在過度收集使用個人隱私信息或者權(quán)限的行為。通付盾北斗團(tuán)隊通過解讀了現(xiàn)階段的隱私相關(guān)政策法規(guī)，總結(jié)出24項檢測規(guī)則，并給出了針對隱私合規(guī)相關(guān)的檢測和自查建議。

對于權(quán)限、隱私相關(guān)的2 4 項檢測標(biāo)準(zhǔn)：

收集使用個人信息的隱私政策

是否存在隱私政策等收集使用規(guī)則檢測

主動提示用戶閱讀隱私政策檢測

隱私政策訪問規(guī)范檢測

隱私政策閱讀規(guī)范檢測

公開App運營者的基本情況檢測

是否公開收集使用個人信息的其他規(guī)則檢測

個人信息使用規(guī)范

明示第三方使用規(guī)范檢測

收集使用個人敏感信息的權(quán)限申請規(guī)范檢測

收集使用個人信息的內(nèi)容規(guī)范檢測

收集使用個人信息申請規(guī)范

收集個人信息的不強(qiáng)制不捆綁原則檢測

收集個人信息在用戶拒絕后的權(quán)限使用規(guī)范檢測

收集個人信息的權(quán)限申請頻次規(guī)范檢測

收集或打開的可收集個人信息權(quán)限范圍規(guī)范檢測

收集個人信息的自主肯定性檢測

收集個人信息的合法性檢測

撤回同意收集個人信息的途徑、方式的規(guī)范檢測

收集個人信息必要性的檢測

收集個人信息的最小必要性檢測

非必要信息的可拒絕性檢測

收集用戶個人信息的自愿性檢測

收集個人信息的頻度檢測

設(shè)備識別碼越權(quán)收集檢測

個人信息主體權(quán)利檢測

是否提供有效的注銷用戶賬號功能檢測

是否提供有效的更正或刪除個人信息檢測

是否建立并公布個人信息安全投訴、舉報渠道檢測

通付盾北斗團(tuán)隊對主流和近期被通報App做了隱私合規(guī)分析，列出了6個普遍存在的App 隱私合規(guī) 問題 ，這些地方特別容易出錯被通報:

（1）超范圍 違規(guī)收集 和使用 個人信息或者權(quán)限

App違反《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》、《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》等法規(guī)，沒有在隱私政策中申明使用的權(quán)限，或超出業(yè)務(wù)范圍要求收集個人信息或者權(quán)限。例如下圖所示，應(yīng)用在首次啟動時，隱私政策與用戶協(xié)議同意按鈕點擊之前申請獲取了位置信息和設(shè)備識別碼，屬于違規(guī)收集。

（ 2 ） App隱私政策需要公開收集使用個人信息的存放區(qū)域，是否共享等

App如有跨境業(yè)務(wù)，比如銀行類App的跨境業(yè)務(wù)，App應(yīng)該對個人信息存放地域（境內(nèi)、境外哪個國家或地區(qū)）、存儲期限（法律規(guī)定范圍內(nèi)最短期限或明確的期限）、超期處理方式進(jìn)行明確說明，并保障數(shù)據(jù)安全。

（ 3 ） App以默認(rèn)選擇同意隱私政策等非明示方式征求用戶同意

首次運行App或用戶注冊時，App不應(yīng)該采用默認(rèn)勾選隱私政策等非明示方式征求用戶同意，如下圖這款A(yù)pp,在注冊時候，默認(rèn)勾選了“我已閱讀并同意《用戶協(xié)議》和《隱私協(xié)議》”

（ 4 ）App以及 第三方 SDK 收集使用個人信息規(guī)范

App應(yīng)該在隱私政策中逐一列出App(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、范圍等，如下圖：

（ 5 ） 設(shè)備識別碼越權(quán)收集檢測

根據(jù)《移動互聯(lián)網(wǎng)應(yīng)用程序（App）系統(tǒng)權(quán)限申請使用指南》規(guī)定，除僅用于安全風(fēng)控場景外，App不應(yīng)收集不可變更的唯一設(shè)備識別碼（如IMEI、MAC地址）。

（ 6 ）App是否提供有效的注銷用戶賬號功能

App應(yīng)該提供有效的注銷賬號的途徑（如在線操作、客服電話、電子郵件等），并在用戶注銷賬號后，及時刪除其個人信息或進(jìn)行匿名化處理，法律法規(guī)另有規(guī)定的除外。受理注銷賬號請求后，App運營者是否在承諾時限內(nèi)（承諾時限不得超過15個工作日，無承諾時限的，以15個工作日為限）完成核查和處理。

通付盾App隱私合規(guī)檢測系統(tǒng)是一款專門針對App運行全過程的檢測系統(tǒng)，系統(tǒng)采用了基于以符號執(zhí)行為核心的靜態(tài)分析引擎和以運行態(tài)沙盒為核心的動態(tài)檢測引擎，旨在幫助用戶快速、準(zhǔn)確地檢測App中存在的隱私合規(guī)問題，為移動應(yīng)用隱私合規(guī)提供保障，幫助共建健康和諧的移動應(yīng)用市場。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！