7月16日，通付盾云大講堂分享了App隱私合規(guī)檢測相關(guān)內(nèi)容。目前市場上App數(shù)量龐大，安全問題頻發(fā)，至少30%的App存在過度收集使用個(gè)人隱私信息或者權(quán)限的行為。通付盾北斗團(tuán)隊(duì)通過解讀了現(xiàn)階段的隱私相關(guān)政策法規(guī)，總結(jié)出24項(xiàng)檢測規(guī)則，并給出了針對隱私合規(guī)相關(guān)的檢測和自查建議。

對于權(quán)限、隱私相關(guān)的24項(xiàng)檢測標(biāo)準(zhǔn)：

收集使用個(gè)人信息的隱私政策

是否存在隱私政策等收集使用規(guī)則檢測

主動(dòng)提示用戶閱讀隱私政策檢測

隱私政策訪問規(guī)范檢測

隱私政策閱讀規(guī)范檢測

公開App運(yùn)營者的基本情況檢測

是否公開收集使用個(gè)人信息的其他規(guī)則檢測

個(gè)人信息使用規(guī)范

明示第三方使用規(guī)范檢測

收集使用個(gè)人敏感信息的權(quán)限申請規(guī)范檢測

收集使用個(gè)人信息的內(nèi)容規(guī)范檢測

收集使用個(gè)人信息申請規(guī)范

收集個(gè)人信息的不強(qiáng)制不捆綁原則檢測

收集個(gè)人信息在用戶拒絕后的權(quán)限使用規(guī)范檢測

收集個(gè)人信息的權(quán)限申請頻次規(guī)范檢測

收集或打開的可收集個(gè)人信息權(quán)限范圍規(guī)范檢測

收集個(gè)人信息的自主肯定性檢測

收集個(gè)人信息的合法性檢測

撤回同意收集個(gè)人信息的途徑、方式的規(guī)范檢測

收集個(gè)人信息必要性的檢測

收集個(gè)人信息的最小必要性檢測

非必要信息的可拒絕性檢測

收集用戶個(gè)人信息的自愿性檢測

收集個(gè)人信息的頻度檢測

設(shè)備識(shí)別碼越權(quán)收集檢測

個(gè)人信息主體權(quán)利檢測

是否提供有效的注銷用戶賬號(hào)功能檢測

是否提供有效的更正或刪除個(gè)人信息檢測

是否建立并公布個(gè)人信息安全投訴、舉報(bào)渠道檢測

通付盾北斗團(tuán)隊(duì)對主流和近期被通報(bào)App做了隱私合規(guī)分析，列出了6個(gè)普遍存在的App隱私合規(guī)問題，這些地方特別容易出錯(cuò)被通報(bào):

(1)超范圍違規(guī)收集和使用個(gè)人信息或者權(quán)限

App違反《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》、《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》等法規(guī)，沒有在隱私政策中申明使用的權(quán)限，或超出業(yè)務(wù)范圍要求收集個(gè)人信息或者權(quán)限。例如下圖所示，應(yīng)用在首次啟動(dòng)時(shí)，隱私政策與用戶協(xié)議同意按鈕點(diǎn)擊之前申請獲取了位置信息和設(shè)備識(shí)別碼，屬于違規(guī)收集。

(2)App隱私政策需要公開收集使用個(gè)人信息的存放區(qū)域，是否共享等

App如有跨境業(yè)務(wù)，比如銀行類App的跨境業(yè)務(wù)，App應(yīng)該對個(gè)人信息存放地域(境內(nèi)、境外哪個(gè)國家或地區(qū))、存儲(chǔ)期限(法律規(guī)定范圍內(nèi)最短期限或明確的期限)、超期處理方式進(jìn)行明確說明，并保障數(shù)據(jù)安全。

(3)App以默認(rèn)選擇同意隱私政策等非明示方式征求用戶同意

首次運(yùn)行App或用戶注冊時(shí)，App不應(yīng)該采用默認(rèn)勾選隱私政策等非明示方式征求用戶同意，如下圖這款A(yù)pp,在注冊時(shí)候，默認(rèn)勾選了“我已閱讀并同意《用戶協(xié)議》和《隱私協(xié)議》”

(4)App以及第三方SDK收集使用個(gè)人信息規(guī)范

App應(yīng)該在隱私政策中逐一列出App(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個(gè)人信息的目的、方式、范圍等，如下圖：

(5)設(shè)備識(shí)別碼越權(quán)收集檢測

根據(jù)《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)系統(tǒng)權(quán)限申請使用指南》規(guī)定，除僅用于安全風(fēng)控場景外，App不應(yīng)收集不可變更的唯一設(shè)備識(shí)別碼(如IMEI、MAC地址)。

(6)App是否提供有效的注銷用戶賬號(hào)功能

App應(yīng)該提供有效的注銷賬號(hào)的途徑(如在線操作、客服電話、電子郵件等)，并在用戶注銷賬號(hào)后，及時(shí)刪除其個(gè)人信息或進(jìn)行匿名化處理，法律法規(guī)另有規(guī)定的除外。受理注銷賬號(hào)請求后，App運(yùn)營者是否在承諾時(shí)限內(nèi)(承諾時(shí)限不得超過15個(gè)工作日，無承諾時(shí)限的，以15個(gè)工作日為限)完成核查和處理。

通付盾App隱私合規(guī)檢測系統(tǒng)是一款專門針對App運(yùn)行全過程的檢測系統(tǒng)，系統(tǒng)采用了基于以符號(hào)執(zhí)行為核心的靜態(tài)分析引擎和以運(yùn)行態(tài)沙盒為核心的動(dòng)態(tài)檢測引擎，旨在幫助用戶快速、準(zhǔn)確地檢測App中存在的隱私合規(guī)問題，為移動(dòng)應(yīng)用隱私合規(guī)提供保障，幫助共建健康和諧的移動(dòng)應(yīng)用市場。