​APP合规实践3000问之二

阅读量238562

发布时间 : 2022-03-10 17:30:58

上一篇文章《App合规实践3000问》发出后得到了大家的热烈反响,盼望着,盼望着,我们带着合规实践3000问第二篇大步走来了。

看着上一篇大家都在讨论说才7个问题,离3000还有很遥远的距离,我们的心里在滴血,那其实是10个问题!作为头秃的码字作者,3个问题也是很宝贵的。这次我们依然会再讲解10个问题。

 

Q1 在接入SDK服务时有什么注意事项?

SDK使APP开发者的开发工作更加高效便捷,但由于第三方不可控也会导致大家频频踩雷。看到大家都在不约而同地求问SDK避雷妙招,我们只能真诚地建议在接入SDK时要擦亮眼睛,细细盘问,做好尽职调查。尽职调查可从合作方安全管理能力以及作为数据控制者、数据处理者等不同层面来评估,举例如下:

在签署相关合作协议时,我们建议将与第三方共享的字段详细列在合同或者安全补充协议中,同时把SDK的信息以及收集使用个人信息的目的、方式、范围等整理形成台账,并将第三方共享信息也列在隐私政策中,这里需注意SDK供应商名称应与合同签订主体保持一致,保障用户可以方便快捷地了解APP所接入的第三方SDK信息。

另外,SDK供应商针对合规要求也会有相应的合规配置,这里也建议大家及时更新SDK版本,并且向供应商咨询如何进行合规的配置。

 

Q2 你是否了解APP适老化及无障碍改造?

APP适老化及无障碍改造最近被频频提及,其实早在2020年,监管部门就陆续印发了多个相关文件推进APP适老化及无障碍改造进程,如工信发布《关于进一步抓好互联网应用适老化及无障碍改造专项行动实施工作的通知》《互联网应用适老化及无障碍改造专项行动方案》等文件。目前优先推动国家相关机关、新闻媒体、社交通讯、生活购物等类型服务,共115家网站、43家APP首批参与改造,例如一些大字版、关怀版APP。

APP适老化及无障碍改造主要面向的用户群体:

1 适老化:针对老年人的关怀;

2 无障碍:针对残障人士,比如视力障碍、听力障碍、肢体障碍人士的关怀。

 

Q3 APP适老化及无障碍改造有哪些改造要点?

科技需要体现人文关怀,更需要有温度。在工信部印发的《互联网应用适老化和无障碍改造专项行动方案》中,推出了字体放大、语音引导、一键直连人工客服等多种具有特色的功能:

1 针对老年人:大字体、大图标、高对比度文字;界面简单、操作方便,可实现一键操作、文本输入提示等多种无障碍功能;提升方言识别能力,方便不会普通话的老人使用智能设备。

2 针对视力障碍人士:推动网站和手机APP与读屏软件做好兼容,解决“验证码”操作困难、按钮标签和图片信息不可读的问题。

3 针对听力障碍人士:鼓励加配字幕,提高与助听器等设备的兼容性。推动企业提供在线客服等其他可替代电话客服的服务方式。

4 针对肢体障碍人士:引导网站和手机APP支持自定义手势,简化交互操作。

5 还需去广告,禁止任何形式的诱导式按键。

 

Q4 APP使用大数据和推荐算法要注意哪些问题?

《个人信息保护法》第二十四条规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。即用户有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

3月1日正式施行的《互联网信息服务算法推荐管理规定》针对算法推荐服务提出,其提供者应呈现符合主流价值的信息内容,传播正能量,禁止造假、操纵榜单等不正当竞争行为,不得根据消费者的偏好、交易习惯等特征,利用算法在交易价格等条件上实施不合理的差别待遇等违法行为,应定期对算法模型进行审核,不得设置诱导用户沉迷、过度消费等行为。同时需以显著方式告知用户其提供算法推荐服务的情况,并且提供便捷的关闭算法推荐服务的选项。针对未成年人保护方面,不得利用算法推荐服务诱导未成年人沉迷网络。去年10月,腾讯、华为等20余家App运营企业承诺将严守用户个人隐私边界,保护用户公平交易权。

互联网信息服务算法备案系统也在3月1日正式上线运行啦,具有舆论属性或者社会动员能力的算法推荐服务提供者需在提供算法推荐服务之日起十个工作日内通过系统备案上报。

 

Q5 APP对于外链应该如何操作?

2021年“互联网行业专项整治行动“中重点整治了恶意对其他互联网企业服务或产品的网址链接实施屏蔽等不兼容行为。

主要涉及场景有:针对具有外部网址访问功能的即时通信软件,无正当理由限制其他互联网企业服务或产品的网址链接的识别、解析、正常访问;具有信息发布功能的应用软件,无正当理由对具有相同条件的其他互联网企业服务或产品的网址链接实施歧视性屏蔽措施。例如,对于用户分享的同种类型产品或服务的网址链接,展示和访问形式应保持一致。

 

Q6 应用商店也会对隐私合规进行审核么?

可能大家也感觉到现在APP在上架或更新时,应用商店审核变得更加严格,并且还会进行不定期回扫,对已上架的APP进行巡检。各家应用商店也整理出了合规指引,对工信部的164号文进行详细解读。例如,违规收集个人信息:未经明示或未经用户同意就收集信息。有以下典型场景:

典型场景1 在用户点击同意隐私政策前收集用户信息,包括MAC地址、IMEI、应用列表等在内的用户设备信息。

典型场景2 隐私政策中明示个人信息收集使用的目的、方式和范围不全,用户同意隐私政策后实际存在收集使用。比如,未清晰明示APP或接入三方SDK收集IMEI、MAC、应用列表、通讯录和短信等的目的方式范围。

典型场景3 APP在征求用户同意环节,设置为默认勾选。

 

Q7 小程序也要遵守隐私合规要求么?

小程序具有无需下载、无需安装、不占内存的优势,给用户带来便利的同时,其隐私合规问题也逐渐受到关注。海南网信办在2021年开展了小程序过度收集使用个人信息专项治理,并对相关检查情况进行了通报。此外,微信2021年10月也通过官方公告补充小程序、插件用户隐私保护指引说明。

小程序的隐私合规也应该向APP对齐,比如违规收集用户个人信息方面、违规使用用户个人信息方面,不合理索取用户权限方面,为用户账号注销设置障碍方面等。隐私政策也应保证独立性和易读性,在用户进入主功能页面后,通过4次以内的点击能够访问到,并且应由用户自主选择是否同意。

 

Q8 APP上架合规要进行哪些工作?

为保障APP正常上架,安全合规是极为重要的一个环节。除常规的隐私合规自查点,例如,需要核对APP内隐私政策版本是否为最终版,描述是否符合产品功能(具体的隐私政策文本细节在前篇已经讲解过,在此不做过多赘述);借助检测工具自查用户同意隐私政策前是否收集了用户信息;自查APP声明的权限是否和实际功能相符;自查APP使用了哪些SDK,是否与隐私政策中列出的SDK目录相符合等。我们还可能需要依照《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》出具安全评估报告。

应用商店会要求具有舆论属性或社会动员能力的APP提交盖章的安全评估报告及全国互联网安全服务管理平台的通过截图。安全评估报告在全国互联网安全服务管理平台有详细模板,评估内容包括但不限于安全管理机构、内容审核、举报投诉等,可采取自查或者第三方检查等方法,安全评估报告需上传至全国互联网安全服务管理平台备案审核。

 

Q9 没有资源应该如何进行隐私合规检查?

可能有的公司并没有研发能力去开发工具做自查,也没有足够的经费去请第三方做检测。这时候可以依赖我们手机自带的隐私行为记录。除前段时间被疯狂讨论的iOS15有隐私行为记录,国内的终端厂商也有相关的隐私保护功能,例如小米的照明弹功能、华为的权限访问记录。

但由于各家终端厂商的计算逻辑可能并不相同,导致不同的手机型号可能会出现不同的检测结果。

我们也在致力于开发便捷可用的傻瓜式检测工具,希望有兴趣的伙伴们能来和我们一起多多探讨~

 

Q10 应该去哪里获取监管动态呢?

时刻关注监管动态是每一个合规人的日常状态,监管日渐趋严,及时了解近期监管内容才能做到有准备、不匆忙。监管官网、官方公众号、业内资讯网站等都是能及时获取最新监管动态的途径,比如,工信、网信以及CNCERT、TAF、信安标委等官方网站,另外还可关注工信微报、网信中国、APP个人信息保护治理等官方公众号以及安全内参、freebuf等业内媒体。

例如,中国网络空间安全协会在2021年末发布了《应用商店APP个人信息收集使用上架审核和管理规范(征求意见稿)》,提到的拟建立APP开发者信用档案,被通报五次以上或者下架三次以上的开发者,五年内不得从事APP开发和运营。如不及时关注,可能会对企业产生重大影响。

以上为本期合规实践三千问的十个问题,若大家有感兴趣的合规问题可以评论区告诉我们,期待大家的反馈,我们会在下一期进行集中探讨,下期再见~

本文由陌陌安全原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/269871

安全客 - 有思想的安全新媒体

分享到:微信
+15赞
收藏
陌陌安全
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66