梆梆资讯

梆梆资讯

工信部通报145款侵害用户权益行为App 常见违规问题整改该怎么做?

2021-07-20

近日,工信部网站通报145款侵害用户权益行为App,其中工信部检查发现71款未完成整改App,辽宁省、浙江省、广东省、四川省、宁夏回族自治区通信管理局检查发现仍有74款App未完成整改,要求145款App应在7月26日前完成整改落实工作。我们对本次通报的145款侵害用户权益行为进行了分析,其中普遍存在的App问题如下:

针对普遍存在的问题,梆梆安全结合《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)内容进行整理,建议如下:

1、违规收集个人信息

重点整治App、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意,私自收集用户个人信息的行为。

2、违规使用个人信息

重点整治App、SDK未向用户告知且未经用户同意,私自使用个人信息,将用户个人信息用于其提供服务之外的目的,特别是私自向其他应用或服务器发送、共享用户个人信息的行为。

3、超范围收集个人信息

重点整治App、SDK非服务所必需或无合理应用场景,特别是在静默状态下或在后台运行时,超范围收集个人信息的行为。 

关于收集使用个人信息的问题,应对照《移动互联网应用程序(App)收集使用个人信息自评估指南》、《App违法违规收集使用个人信息行为认定方法》、《T/TAF 077 APP收集使用个人信息最小必要评估规范》等标准规范对App声明的个人信息收集使用范围以及实际收集使用个人信息的范围进行检查核对。此外,《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范》已进入征求意见阶段,后续实施后也应纳入对照检查的范围。

4、App强制、频繁、过度索取权限

重点整治App安装、运行和使用相关功能时,非服务所必需或无合理应用场景下,用户拒绝相关授权申请后,应用自动退出或关闭的行为。重点整治短时长、高频次,在用户明确拒绝权限申请后,频繁弹窗、反复申请与当前服务场景无关权限的行为。重点整治未及时明确告知用户索取权限的目的和用途,提前申请超出其业务功能等权限的行为。

对照《App收集使用个人信息最小必要评估规范》、《移动互联网应用程序(App)系统权限申请使用指南》、《移动互联网应用程序个人信息保护管理暂行规定》等进行检查核对。以知情同意和最小必要两项个人信息保护的基本原则为纲,要求从事 App 个人信息处理活动,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分支持的前提下做出自愿、明确的意思表示;最小必要规定,从事 App 个人信息处理活动,应当具有明确合理的控制,并遵循最小必要的原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。梆梆安全应用合规平台可分别对App申请、使用的权限进行检测,并生成清单。同时结合相关规定给出建议不申请使用的权限清单以及非最小必要权限的声明/使用清单。


5、App频繁自启动和关联启动

重点整治App未向用户告知且未经用户同意,或无合理的使用场景,频繁自启动或关联启动第三方App的行为。

针对App频繁自启动和关联启动的问题,各级部门已经出台了不少法律规章。工信部《移动智能终端应用软件预置和分发管理暂行规定》要求“未经明示且经用户同意,不得实施收集使用用户个人信息、开启应用软件”;《中华人民共和国网络安全法》规定,网络运营者不得收集与其提供的服务无关的个人信息等。可基于动态检测技术进行检测,结合模拟器设备或真机设备,对应用启动后的行为进行分析进而识别App自启动和关联启动的频次。目前已经有多个手机厂商实现了App频繁自启动和关联启动检测。 


6、欺骗误导强迫用户

1)欺骗误导用户下载App。重点整治通过“偷梁换柱”“移花接木”等方式欺骗误导用户下载App,特别是具有分发功能的移动应用程序欺骗误导用户下载非用户所自愿下载App的行为。

2)欺骗误导用户提供个人信息。重点整治非服务所必需或无合理场景,通过积分、奖励、优惠等方式欺骗误导用户提供身份证号码以及个人生物特征信息的行为。

7、强制用户使用定向推送功能

重点整治App、SDK未以显著方式标示且未经用户同意,将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或广告精准营销,且未提供关闭该功能选项的行为。

8、应用分发平台上的App信息明示不到位

重点整治应用分发平台上未明示App运行所需权限列表及用途,未明示App收集、使用用户个人信息的内容、目的、方式和范围等行为。

属于整治任务的应用分发平台责任落实不到位方面。

9、账号注销难

根据《电信和互联网用户个人信息保护规定》,App方有提供账号注销服务的义务。《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》337号文规定:账号注销难,即App未向用户提供账号注销服务,或为注销服务设置不合理的障碍。

针对以上问题,建议对App的产品功能、业务流程、信息安全技术进行梳理,同时对企业在个人信息保护管理、安全开发管理流程规范方面进行全面的梳理,基于标准及法规要求,评估当前企业在个人信息保护技术与管理方面与国标的差距。梆梆安全在App个人信息保护领域可提供完整的解决方案,涵盖App个人信息保护现状快速评估服务、App个人信息保护合规咨询服务、App个人信息保护合规整改服务。针对企业在App个人信息保护现状进行快速评估,分析合规差距,形成App个人信息保护现状评估报告,并提供合规整改方案,从个人信息保护技术合规、个人信息保护管理制度、信息安全整改等多个维度帮助企业做好App个人信息保护合规整改。


在上周的2021年上半年工业和信息化发展情况发布会上,工业和信息化部新闻发言人、信息通信管理局局长赵志国在答记者问时指出工业和信息化部高度重视App用户权益的保护。近年来,综合施策,不断完善治理体系。主要从持续开展App侵害用户权益的整治行动、强化关键责任链监管、开展App弹窗骚扰用户问题的专项整治、大力提升技术检测能力四个方面推进了相关工作,取得了新的进展和成效。下一步,工信部把App治理作为“我为群众办实事”的具体举措,从完善管理政策和行业标准、组织开展服务感知提升行动、组织开展问题“回头看”三个方面加大工作力度,劲头不松、节奏不变,努力为广大人民群众营造更安全、更健康、更干净的App应用环境。

在此监管背景下,企业所面临的合规压力越来越大,但是由于企业缺少隐私合规方面的专业人才、对相关法律法规的理解不到位、缺乏专业工具等原因,导致企业应对隐私合规问题时往往力不从心,因此更加需要专业机构的帮助加强个人信息保护能力,降低隐私合规风险。梆梆安全作为国家及部分省市地区App检测的支撑单位,将协同产业链各方持续保护用户个人隐私,助力App收集使用个人信息规范化、精细化监管治理。

友情链接:

京公网安备 11010802024511号

Copyright ©2022. All Rights Reserved 京ICP证160618号  京ICP备11006574号-1