通付盾帶您了解6個普遍存在的App隱私合規問題

本月初，國家互聯網信息辦公室發布消息，為防范國家數據安全風險，維護國家安全，保障公共利益，依據《中華人民共和國國家安全法》、《中華人民共和國網絡安全法》，網絡安全審查辦公室按照《網絡安全審查辦法》，對多款App實施網絡安全審查, 并通報了多款存在嚴重違法違規收集使用個人信息問題的App，App隱私合規問題再一次被推上風口浪尖。

7月16日，通付盾云大講堂分享了App隱私合規檢測相關內容。目前市場上App數量龐大，安全問題頻發，至少30%的App存在過度收集使用個人隱私信息或者權限的行為。通付盾北斗團隊通過解讀了現階段的隱私相關政策法規，總結出24項檢測規則，并給出了針對隱私合規相關的檢測和自查建議。

對于權限、隱私相關的24項檢測標準：

收集使用個人信息的隱私政策

是否存在隱私政策等收集使用規則檢測

主動提示用戶閱讀隱私政策檢測

隱私政策訪問規范檢測

隱私政策閱讀規范檢測

公開App運營者的基本情況檢測

是否公開收集使用個人信息的其他規則檢測

個人信息使用規范

明示第三方使用規范檢測

收集使用個人敏感信息的權限申請規范檢測

收集使用個人信息的內容規范檢測

收集使用個人信息申請規范

收集個人信息的不強制不捆綁原則檢測

收集個人信息在用戶拒絕后的權限使用規范檢測

收集個人信息的權限申請頻次規范檢測

收集或打開的可收集個人信息權限范圍規范檢測

收集個人信息的自主肯定性檢測

收集個人信息的合法性檢測

撤回同意收集個人信息的途徑、方式的規范檢測

收集個人信息必要性的檢測

收集個人信息的最小必要性檢測

非必要信息的可拒絕性檢測

收集用戶個人信息的自愿性檢測

收集個人信息的頻度檢測

設備識別碼越權收集檢測

個人信息主體權利檢測

是否提供有效的注銷用戶賬號功能檢測

是否提供有效的更正或刪除個人信息檢測

是否建立并公布個人信息安全投訴、舉報渠道檢測

通付盾北斗團隊對主流和近期被通報App做了隱私合規分析，列出了6個普遍存在的App隱私合規問題，這些地方特別容易出錯被通報:

（1）超范圍違規收集和使用個人信息或者權限

App違反《常見類型移動互聯網應用程序必要個人信息范圍規定》、《App違法違規收集使用個人信息行為認定方法》等法規，沒有在隱私政策中申明使用的權限，或超出業務范圍要求收集個人信息或者權限。例如下圖所示，應用在首次啟動時，隱私政策與用戶協議同意按鈕點擊之前申請獲取了位置信息和設備識別碼，屬于違規收集。

（2）App隱私政策需要公開收集使用個人信息的存放區域，是否共享等

App如有跨境業務，比如銀行類App的跨境業務，App應該對個人信息存放地域（境內、境外哪個國家或地區）、存儲期限（法律規定范圍內最短期限或明確的期限）、超期處理方式進行明確說明，并保障數據安全。

（3）App以默認選擇同意隱私政策等非明示方式征求用戶同意

首次運行App或用戶注冊時，App不應該采用默認勾選隱私政策等非明示方式征求用戶同意，如下圖這款App,在注冊時候，默認勾選了“我已閱讀并同意《用戶協議》和《隱私協議》”

（4）App以及第三方SDK收集使用個人信息規范

App應該在隱私政策中逐一列出App(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、范圍等，如下圖：

（5）設備識別碼越權收集檢測

根據《移動互聯網應用程序（App）系統權限申請使用指南》規定，除僅用于安全風控場景外，App不應收集不可變更的唯一設備識別碼（如IMEI、MAC地址）。

（6）App是否提供有效的注銷用戶賬號功能

App應該提供有效的注銷賬號的途徑（如在線操作、客服電話、電子郵件等），并在用戶注銷賬號后，及時刪除其個人信息或進行匿名化處理，法律法規另有規定的除外。受理注銷賬號請求后，App運營者是否在承諾時限內（承諾時限不得超過15個工作日，無承諾時限的，以15個工作日為限）完成核查和處理。

通付盾App隱私合規檢測系統是一款專門針對App運行全過程的檢測系統，系統采用了基于以符號執行為核心的靜態分析引擎和以運行態沙盒為核心的動態檢測引擎，旨在幫助用戶快速、準確地檢測App中存在的隱私合規問題，為移動應用隱私合規提供保障，幫助共建健康和諧的移動應用市場。

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據。

關鍵詞：