据工信微报近期消息,依据《个人信息保护法》、《网络安全法》、《电信条例》和《电信和互联网用户个人信息保护规定》等法律法规,工信部组织第三方检测机构对生活服务类移动互联网应用程序(app)及第三方软件开发工具包(sdk)进行检查,共发现 46 款 app(sdk) 存在侵害用户权益行为,并予以通报整改。
同期,国家计算机病毒应急处理中心近期通过互联网监测发现 17 款移动 app 存在隐私不合规行为,违反网络安全法、个人信息保护法相关规定,涉嫌超范围采集个人隐私信息。
一、用户信息获取,需有理有据
综合分析 46 款被通报的 app(sdk)侵害用户权益行为,主要集中在违规收集用户个人信息和不合理索取用户权限。
信息获取,缺乏边界
常见的违规搜集用户个人信息,包括在 app(sdk)安装和运行时,向用户索取与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭;在用户明确拒绝权限申请后,频繁申请开启通讯录、定位、短信、录音、相机等与当前服务场景无关的权限,骚扰用户。以及在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限,或超出其业务功能或服务外,申请通讯录、定位、短信、录音、相机等权限。
如通报中某直播 app,在其相关版本中,出现了向用户索取与当前服务场景无关的权限。
权限获取,缺乏理由
不合理索取用户权限,主要体现在 app 在没有明确告知收集使用个人信息的目的、方式和范围并获得用户同意前,收集用户个人信息。另外值得注意的是,即使 app 征得用户同意收集部分信息,但是收集用户非服务所必需或无合理应用场景,超范围或超频次收集个人信息,如通讯录、位置、身份证、人脸等也属于违规范围。
以某阅读 app 为例,在其某版本中出现了超频次、超范围,甚至强制性地索取用户权限和相关信息。
二、隐私合规检测,防患于未然
近年来,随着移动互联网技术的快速更迭,同类型移动应用(app)竞争日益激烈,快速上线成为了许多移动应用的关键考核指标。
而在这个过程中,原本测试阶段因业务需要而申请使用的系统权限,可能会出现遗漏、或者未遵从最小化需要原则而导致权限滥用和过度调取。
此外,移动应用(app)开发者因业务需要依赖系统本身接口或第三方提供的各类依赖、接口、协议在使用过程中存在存在漏洞和风险。最终导致移动应用(app)在上架之后出现系统权限设置未做及时调整。
进而在第三方检测中出现违规、过度采集等问题,产生下架风险。
针对以上问题,网易易盾提供了一套 saas 化和私有化部署的隐私合规检测方案,帮助客户完成整改,并持续优化移动应用(app)隐私合规性。
saas 模式是指通过智能自动化检测和人工审核相结合的方式,快速高效交付检测报告,并提供合规专家一对一整改指导;而私有化部署则是通过部署易盾 app 合规检测工具,无限次、全流程、自助化检测隐私合规问题。
三、隐私检测实践,把好每一关
某娱乐社交客户在进行易盾隐私合规整改前存在如下问题:
1.集成多个第三方 sdk,相关 sdk 初始化较随意,未做相关限制;
2.涉及系统权限均在启动时获取;
3.账号管理不当,无相关注销功能;
网易易盾隐私合规团队个性化的整改方案:
1.协助客户整理所有第三方 sdk 接入应用场景、使用目的等,根据 app 功能分块处理第三方 sdk,在需要使用到的场景下才进行初始化;
2.从最小必要原则出发,筛选非必要 sdk 并移除相关代码;
3.对于第三方 sdk 采集用户信息的行为严格把关,与业务无关信息绝不采集;
4.规范权限获取,在合理必要场景下进行获取并且提前弹窗明确告知用户相关使用目的,在征得用户明示同意后才进行相关权限的获取。
除了以上策略外,网易易盾还与客户一起梳理账号流程规范、制定相应规则,并在 app 中提供相关入口,充分保障用户相关权益。
最终顺利通过监管单位整改要求,android 全渠道应用市场和 appstore 顺利上架,应用隐私合规问题得到全面保障。
四、写在最后
目前,网易易盾移动应用安全检测服务,已经覆盖移动应用(app)事前评测、加固,事中检测,事发响应的全流程闭环安全防护体系。
保障客户移动应用(app)符合《互联网信息服务管理办法》、 《gbt 22239-2018信息安全技术网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《gbt25070-2019信息安全技术网络安全等级保护安全设计技术要求》、《app违法违规收集使用个人信息行为认定方法》等政策法规和行业标准规范,最大化保证应用的安全运营及业务的可持续化。
伴随着我国个人信息保护相关相关法规的日趋完善和个人信息安全保护的重视程度的提升,各类娱乐社交、生活等移动应用(app)需要提前做好用户权益保护,对于用户个人信息索取和获取需要做到合法、合规。