APP合规实践3000问之三

阅读量94496

发布时间 : 2022-08-16 15:30:21

 

随着陆续出台的一系列规定要求,监管粒度在持续更新和细化,包括41391《移动互联网应用程序(APP)收集个人信息基本要求》(以下简称《基本要求》)、网信发布的《应用程序信息服务管理规定》、《用户账号信息管理规定》以及工信即将修订的《电信和互联网用户个人信息保护规定》,我们现在就来逐一聊一聊~

Q1 GB/T41391-2022 《信息安全技术 移动互联网应用程序(APP)收集个人信息基本要求》概述

4月发布的《基本要求》即将于11月1日正式实施,这项标准作为APP个人信息保护方面的国家标准,明确了收集个人信息、必要个人信息的基本规定,包含告知用户同意、获取系统权限及第三方收集管理等要求。

《基本要求》也是对去年发布的常见39类APP必要个人信息范围规定的细化,提出了12种特定类型个人信息的收集要求,在现有监管要求、标准规范的基础上,通过附录形式明确各常见服务类型APP必要个人信息范围、可收集个人信息权限范围、常见服务类型与系统权限相关程度等,促进企业在实践过程中落实《常见类型移动互联网应用程序必要个人信息范围规定》、《App违法违规收集使用个人信息行为认定方法》等监管要求。对于APP运营企业而言,要确保不收集无关个人信息,不强制收集非必要但有关联的个人信息。

Q2 APP运营企业如何做?

对于已经开发的APP,应全面梳理APP及接入的第三方所收集的个人信息、申请的系统权限、各项个人信息类型、系统权限所用于的业务功能或使用目的,以及该个人信息/权限是否为实现相关功能或目的所必需;对于准备开发的APP,应在APP开发前梳理所提供的业务功能、所涉及的服务类型来确定APP类型,若判断属于常见39类,可以根据《基本要求》附录A来确定APP的基本业务功能、必要个人信息范围,若不属于常见39类,需要根据《基本要求》第5章来合理拆分基本业务功能、扩展业务功能。

Q3 必要个人信息的理解

《基本要求》附录B中重点明确了必要个人信息的含义,APP基本业务功能所必须的个人信息为必要个人信息,扩展业务功能所需收集的信息为非必要个人信息,即当且仅当没有该个人信息的参与,APP的基本业务功能无法实现或无法正常运行的为必要个人信息。

当用户同意收集APP必要个人信息时,应保障用户可拒绝或撤回同意收集非必要个人信息,且不应因用户拒绝、撤回同意提供非必要个人信息或关闭退出扩展业务功能,而拒绝用户使用该APP的基本业务功能。做到“无关的不收集,非必要的不强制”。

Q4 系统权限的申请和使用要求

《基本要求》附录D明确了可收集个人信息权限的范围,给出了30个安卓和15个iOS的可收集个人信息的权限及其功能、可访问的个人信息、对应的业务功能示例,从APP业务功能出发限定所能收集的权限范围;附录E列出了与常见服务类型相关程度较低的安卓系统权限表,APP提供者应识别APP提供的服务类型,根据该表综合判断APP申请权限的相关性和合理性,做到“无关者不收集”。

APP在申请可收集个人信息权限时,应仅声明和申请实现APP服务目的最小范围的系统权限,不应申请与APP业务功能无关的系统权限。开发人员可能很容易忽略在应用程序清单文件(Android的manifest.xml文件,iOS的info.plist文件)声明的权限,应注意避免存在声明的权限实际并未用到的情况。网络安全标准实践指南—《移动互联网应用程序(APP)系统权限申请使用指南》中也对权限的申请使用有具体要求。

Q5 设备信息主要关注哪些,收集应注意什么?

对于Android客户端,APP可通过申请READ_PHONE_STATE(电话权限)来获取IMEI等设备信息,除35273《个人信息安全规范》中附录A列举的设备信息,《基本要求》附录F里重点列举了六个不可变更的唯一设备标识码,包括IMEI/IMSI/MEID/SN/MAC地址/ICCID,对于不可变更的唯一设备识别码,APP不应收集。定向推送信息和用户画像场景采用唯一设备识别码标识用户时,应使用可变更的唯一设备识别码,且不应将其与用户身份信息或不可变更的唯一设备识别码关联,并且应控制收集频率。

Q6 剪切板、传感器怎样合规使用?

剪切板、传感器也是《基本要求》里提到的12种特定类型个人信息之一,由于这两个权限不需要做特别申请,用户可能感知不明显,很容易被忽略,应注意在合理场景满足最小必要原则(包括控制收集频率、范围、精度等),同时需要在隐私政策中进行声明。

Q7 第三方管理的若干要求

《基本要求》中明确了对接入的第三方应用、嵌入的第三方SDK的安全管理要求。第三方指移动互联网应用程序运营者之外的其他法人实体,包括关联公司,但第三方不包括与APP运营者属于同一企业集团,遵守同一套管理制度、统一进行安全和运维管理的其他法人实体。同时对APP接入第三方应用和APP嵌入第三方SDK指出了两种管理模式,提出了不同的合规管理要求,如下图所示。

另外,网络安全标准实践指南——《移动互联网应用程序(APP)使用软件开发工具包(SDK)安全指引》也详细规范了APP 使用 SDK 的相关方和责任、常见 SDK 类型、常见安全问题、基本原则和安全措施。

Q8 自启和关联启动

除了关注SDK是否存在自启动、关联启动,APP在非服务所必需或者无合理场景下,也不应自启动或者关联启动其他APP。自启和关联启动可能会引起已经退出应用后还在收集信息,应注意应用后台收集信息的情况,当APP在静默状态或在后台运行时,除必要场景外不应收集用户个人信息,例如像导航类APP在使用时切换到后台后,可以基于导航功能收集定位信息。

Q9 网络直播之未成年人监管

《基本要求》中提出收集不满14周岁未成年人个人信息,应制定专门的个人信息处理规则如下图所示,并应取得未成年人的父母或者其他监护人的单独同意,详情如下图所示。

近期针对未成年人监管持续收紧,5月国家广电总局发布了《关于规范网络直播打赏加强未成年人保护的意见》,要求网站平台应在该意见发布1个月内全部取消打赏榜单,加强对礼物名称、外观等规范设计,加强新技术新应用上线的安全评估,不得上线运行以打赏金额作为唯一评判标准的各类功能应用。每日20时至22时,单个账号直播间“连麦PK”次数不得超过2次,不得设置“PK惩罚”环节,不得为“PK惩罚”提供技术实现方式,每日22时后,对“青少年模式”下的各项服务强制下线。此外,7月中央网信办深入开展为期2个月的“暑期未成年⼈⽹络环境整治”专项行动,严查诱导未成年人参与直播打赏行为。

Q10 实名认证的注意事项

在《应用程序信息服务管理规定》、《用户账号信息管理规定》中均提到,应用程序提供者为用户提供信息发布、即时通讯等服务的,应当对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。用户不提供真实身份信息,或者冒用组织机构、他人身份信息进行虚假注册的,不得为其提供相关服务。

微信公众平台在4月发布了公告指引《关于小程序违规收集手机号行为的规范》,避免注册流程需绑定手机号的小程序违规。例如不得在非必要情况下强制用户授权手机号,要求用户在进入小程序后可体验相关业务,不得在未展示任何信息的情况下强制授权手机号;用户正常浏览小程序版块或页面过程中,不得强制授权手机号;涉及需要授权手机号的场景,应明确向用户说明授权原由。

本期分享暂且告一段落,若大家有感兴趣的合规问题可在评论区留言讨论,我们在下一期进行集中探讨,期待大家的反馈,下期再见~

本文由陌陌安全原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/278000

安全客 - 有思想的安全新媒体

分享到:微信
+11赞
收藏
陌陌安全
分享到:微信

发表评论

陌陌安全

https://security.immomo.com/

  • 文章
  • 63
  • 粉丝
  • 3

相关文章

热门推荐

文章目录
内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66