《个人信息保护法》两周年，近700份处罚决定后，仍有头部企业明文传输个人信息！-爱加密移动应用安全保护平台|app防反编译|app加壳|app防破解

《个人信息保护法》两周年，近700份处罚决定后，仍有头部企业明文传输个人信息！

发布时间：2023-11-03

2021年11月1日，《中华人民共和国个人信息保护法》（以下简称《个保法》）生效实施，爱加密基于公开数据对两年间监管机构动态、相关法规、国家标准进行盘点，并展示目前头部企业在个人信息方面存在的问题。

多类标准助法规细化

目前全国信息安全标准化技术委员会已出台了多项国家标准，如《移动互联网应用程序（App）收集个人信息基本要求》，该标准强调了“必要个人信息”的定义：指保障App基本业务功能正常运行所必需的个人信息，即当没有该等个人信息的参与，该App的基本业务功能无法实现或无法正常运行。

《个人信息安全影响评估指南》强调了"个人权益影响分析"，指个人信息处理活动是否会对个人信息主体合法权益产生影响，以及可能产生何种影响，主要包括四个维度：限制个人自主决定权、引发差别性待遇、个人名誉受损或遭受精神压力、人身财产受损。

2年间还有众多地标、团标、行标问世，如《寄递服务用户个人信息保护要求》《信息安全个人信息保护规范》等。众多标准为企业提供指导，引导企业建设个人信息保护体系，确保个人信息安全。

作为国内知名的移动信息安全综合服务提供商，爱加密凭借雄厚的技术实力参编国家计算机病毒应急处理中心、中国电子标准研究院、中国信息通信研究院等单位牵头计划发布的《终端App个人信息保护》、《移动应用程序（App）个人信息保护合规指南》、《移动互联网应用程序（App）个人信息安全测评规范》、《移动互联网应用SDK个人信息安全评估方法》等各类国家标准、地方标准、行业标准、团体标准。

强调各角色义务与责任

《未成年人网络保护条例》（下文简称《条例》）于2023年10月24日正式发布，这是我国出台的第一部专门性的未成年人网络保护综合法规。

2020年实施的《未成年人保护法》中，便有网络保护专章，明确规定了政府、学校、家庭、网络信息服务提供者在未成年人网络保护的职责。

《条例》补充了相关规定，其中第四章为个人信息保护专章，在个人信息保护方面强调了监护人、个人信息处理者及网络服务提供者等角色的义务，将各方角色在个人信息保护方面的责任细化，为后续精细化管理提供了思路和工具。

如第三十二条：个人信息处理者应当严格遵守国家网信部门和有关部门关于网络产品和服务必要个人信息范围的规定，不得强制要求未成年人或者其监护人同意非必要的个人信息处理行为，不得因为未成年人或者其监护人不同意处理未成年人非必要个人信息或者撤回同意，拒绝未成年人使用其基本功能服务。

监管机构高度关注

清华大学智能法治研究院曾统计《个保法》类行政处罚文书，截止2023年9月共有639篇行政处罚文书，不包括工信部和各省级通信管理局通报。

工信部持续开展APP侵害用户权益专项整治行动，已通报30批侵害用户权益行为的APP，各地方通信局也在针对此类情况长期通报。

北京网信办、上海网信办针对群众生活与使用场景，开展场景化、主题化执法行动，先后聚焦扫码点餐、金融理财等场景，进行个人信息培训与执法。

国家网信办于2023年9月查实，某公司多款App存在违反必要原则收集个人信息等违法行为，国家网信办对其处人民币5000万元罚款，为目前个人信息领域最大罚单，请各企业提高重视度。

根据南方都市报数字经济治理研究中心调研结果，我们可发现社会群众对《个保法》出台后的企业合规、行政执法、司法救济的感知极为清晰，可见在监管机构的不断努力下，我国个人信息领域改善明显。

头部企业依旧存在问题

在《个保法》问世并被各类法律于国家标准细化后，仍有部分头部企业存在严重问题！南方财经于10月31日对20个大型平台企业的代表性App进行测试，部分App隐私政策对于所采集的个人信息种类，存在“等”、“相关信息”类概括性表述，有悖于“准确、完整”的立法要求。对此类情况，爱加密拥有检测能力并可告知企业与监管机构风险等级，已全面覆盖四部委119号文、工信部164号文、网信办191号文及14号文等文件要求。

此外，南财的调研中还发现约15%App传输的数据包中发现部分未加密的个人信息，部分App进行登录、个人信息授权等操作时，采用明文的方式传递数据包，即对手机号、姓名、身份证号等个人信息，不采取任何加密措施进行传输，被截获后极易用于不法领域。

爱加密可针对GB/T 35273 进行检测，告知企业与监管机构该App是否存在明文传输情况。并可通过自主研发抓包工具，在APP运行过程中，对传输的个人信息进行抓取，包括：个人信息内容、关键词、传输发生主体类型及名称、传输次数、网络数据类型、目标地址、接口、代码片段，协助企业与监管机构了解具体信息。