个人信息安全问题一直是近几年的热门话题,在各类 APP 为人们生活带来便捷的同时,APP背后的个人隐私安全问题也日益突出,如超范围收集个人信息、强制授权、过度索权的现象屡禁不止。
国家各级监管部门加大打击侵害消费者个人信息违法行为的力度,市场监管总局开展了侵害消费者个人信息违法行为专项执法行动;全国公安机关网安部门围绕APP违法违规收集个人信息问题,深入推进了“净网2021”专项行动,集中查办一批违法互联网企业,震慑非法采集个人信息行为;中央网信办在加强个人信息保护方面,开展了立法先行、标准支撑、专项治理、大力宣传等四项工作;工业和信息化部就APP违规收集个人信息、过度索权、频繁骚扰用户等侵害用户权益问题开展了信息通信领域APP侵害用户权益专项整治行动。
2022年315晚会通报
随着被通报、被整改、被下架的APP屡见不鲜,为保证业务的正常运行,APP开发企业应该在应用发布前进行个人信息的安全性和合规性评估,以保证满足合规要求。爱加密,具备强大的安全检测技术和合规能力,可提供专业的个人信息安全合规评估服务。
评估依据
1、全国人大常委会《中华人民共和国网络安全法》
2、全国人大常委会《个人信息保护法》
3、全国信息安全标准化技术委员会《GB/T 35273-2020-信息安全技术 个人信息安全规范》
4、全国信息安全标准化技术委员会《GBT 41391-2022-信息安全技术 移动互联网应用程序(APP)收集个人信息基本要求》
5、全国信息安全标准化技术委员会《信息安全技术 移动互联网应用程序(APP)收集个人信息基本规范(征求意见稿)》
6、全国信息安全标准化技术委员会《移动互联网应用程序(APP)收集使用个人信息自评估指南》
7、全国信息安全标准化技术委员会《网络安全标准实践指南—移动互联网应用程序(APP)个人信息保护常见问题及处置指南》
8、全国信息安全标准化技术委员会《移动互联网应用程序(APP)系统权限申请使用指南》
9、APP专项治理工作组《APP违法违规收集使用个人信息自评估指南》
10、APP专项治理工作组《APP申请安卓系统权限机制分析与建议》
11、四部委《APP违法违规收集使用个人信息行为认定方法》
12、四部委《常见类型移动互联网应用程序必要个人信息范围规定》
13、工业和信息化部《关于开展APP侵害用户权益专项整治工作的通知(工信部信管函〔2019〕337号)》
14、工业和信息化部《关于开展纵深推进APP侵害用户权益专项整治行动的通知(工信部信管函〔2020〕164号)》
15、国家互联网信息办公室《个人信息出境安全评估办法(征求意见稿)》
16、国家互联网信息办公室《儿童个人信息网络保护规定》
17、电信终端产业协会-工信部团体标《移动智能终端与应用软件用户个人信息保护实施指南》
18、电信终端产业协会-工信部团体标《APP收集使用个人信息最小必要评估规范》
19、电信终端产业协会-工信部团体标《APP用户权益保护测评规范》
20、电信终端产业协会-工信部团体标《移动互联网应用程序(APP)用户权益保护测评规范》
21、全国信息安全标准化技术委员会《移动互联网应用程序(APP)使用软件开 发工具包(SDK)安全指引》-只针对SDK检测
22、中国信通院《小程序个人信息保护研究报告》-只针对小程序检测
评估方式
本地核查
隐私政策文本、实际运行状态
以本地核查的方式查看APP隐私政策文本描述和人工遍历全部业务功能、调用接口行为信息和个人信息权限代码声明列表核验,通过进行点击触发对比收集使用的个人信息,核查是否私自、超范围收集使用个人信息。
行为监控
实际运行获取的个人信息、声明列表获取的个人信息权限。
自动化检测
SDK集成情况
以自动化检测(个人信息检测平台)的方式检测APP个人信息是否存在SDK收集使用个人信息行为,通过查看自动化检测所输出的报告描述,核查实际合规情况。
渗透测试
明文传输和本地存储
以渗透测试检测的方式检测APP数据传输、数据存储所使用的安全措施,通过查看渗透测试所输出的报告描述,对比隐私政策文本个人信息安全保护措施和能力要求是否对实际防护情况进行相应描述。
协助整改
权限目的、个人信息用于用户画像、个性化展示情况、注销模块
以远程或现场协助整改的方式,首先提供一对一个人信息检测不合规项解读,然后提供对应不合规项国家监管层面的合规标准以及市场大众的合规设计案例,同时通过工具监控代码调用行为信息,帮助开发定位问题所在,快速有效的完成合规整改。
服务优势
1、结合监管通报点人工解读政策
对APP进行深入探测,提取APP里与隐私政策相关的信息,结合人工遍历业务功能、工具动态监控等先进技术,帮助开发者、法务完善隐私政策。
2、标准整合输出合规模板
按照目前已知所有监管部门发布的个人信息相关标准进行逐一分析理解研发检测。
3、保留截图方便自查自改
对于每一项检测结果,截图保留证据,方便在自查自改时作为参考。
4、权限和行为使用审查
对APP所使用的权限和API接口进行完整分析,提醒开发者所使用的个人信息权限和调用API接口情况,为开发者自查自改提供重要线索。
5、协助整改
提供线上或线下的报告解读,结合法律法规和实践经验,进行“方便、快速、安心、精准”的自查自改。