梆梆资讯

梆梆资讯

APP违规问题“回头看”,个人信息保护“五步走”

2021-08-18

今日,工信部官网发布关于APP违规调用通信录、位置信息以及开屏弹窗骚扰用户等问题“回头看”的通报(2021年第8批,总第17批),共发现43款APP(详见下图)仍存在问题整改不彻底、技术手段对抗、同一问题在不同地域整改不一致的情况。上述APP应在8月25日前完成整改,逾期不整改或整改不到位的,工信部将依法依规进行处置。这次被通报的43款APP中,腾讯视频、微信、企业微信、携程旅行等多款知名应用在列。

在7月份国新办举行2021年上半年工业和信息化发展情况发布会上,工业和信息化部新闻发言人、信息通信管理局局长赵志国在答记者问环节就提出,下一步,工业和信息化部把APP治理作为“我为群众办实事”的具体举措,从三个方面加大工作力度,劲头不松、节奏不变,努力为广大人民群众营造更安全、更健康、更干净的APP应用环境。

一是推动完善管理政策和行业标准。在充分吸收社会各界意见的基础上,会同相关部门发布实施《移动互联网应用程序个人信息保护管理的暂行规定》(征求意见稿)。在此基础上,尽快会同有关部门发布实施。同时也组织制定完善相关行业检测标准,为APP治理工作提供更加坚实的政策和标准保障。

二是组织开展服务感知提升行动。聚焦用户APP服务感知差、体验差的若干关键环节,组织开展服务感知提升行动,针对性采取有效措施,进一步推动改善APP服务质量。我们计划下半年启动“服务感知提升行动”,从用户服务感知的角度入手,提升治理力度和治理效果。

三是组织开展问题“回头看”。在常态化监管的基础上,适时针对重点问题、重点企业开展“回头看”,对反复出现违规调用通信录和用户地理位置权限等相关问题的企业,加大惩处力度,确保整改过的问题“不反弹、不反复”。

 

从这次工信部通报的APP名单来看,其中不乏知名应用,甚至每个人每天都在使用且使用频率相当之高。当下,通信录、地理位置权限作为个人信息社交关系的重要组成部分,其蕴含的商业价值被众多企业所青睐,社交关系未经授权被读取、使用会严重侵犯用户的个人信息。《信息安全技术 个人信息安全规范》对个人信息的范围进行了定义,并列举了个人信息分类。

用户可以对任何使用通信录的行为say no

2021年3月,国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅联合印发《常见类型移动互联网应用程序必要个人信息范围规定》的通知,通知规定了39类常见APP必要个人信息范围,在各类APP可调用的最小必要权限中,通信录都未包含在其中。因此,用户可以对任何使用通信录的行为say no!在对APP进行授权时,需要谨慎留意。

除了这些APP,其他类APP都不能不给地理位置授权不让用

(一)地图导航类,基本功能服务为“定位和导航”,必要个人信息为:位置信息、出发地、到达地。

(二)网络约车类,基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”,必要个人信息包括:

1.注册用户移动电话号码;

2.乘车人出发地、到达地、位置信息、行踪轨迹;

3.支付时间、支付金额、支付渠道等支付信息(网络预约出租汽车服务)。

(二十二)用车服务类,基本功能服务为“共享单车、共享汽车、租赁汽车等服务”,必要个人信息包括:

1.注册用户移动电话号码;

2.使用共享汽车、租赁汽车服务用户的证件类型和号码,驾驶证件信息;

3.支付时间、支付金额、支付渠道等支付信息;

4.使用共享单车、分时租赁汽车服务用户的位置信息。

开发者需要对APP申请使用的权限了然于心

关于收集使用个人信息的问题,开发者应对照《常见类型移动互联网应用程序必要个人信息范围规定》、《移动互联网应用程序(APP)收集使用个人信息自评估指南》、《APP违法违规收集使用个人信息行为认定方法》、《T/TAF 077 APP收集使用个人信息最小必要评估规范》等标准规范对APP声明的个人信息收集使用权限以及实际收集使用个人信息的权限进行检查核对。

此外,开发者也需要关注第三方SDK申请授权使用的信息,需要一并在隐私条款中向用户说明申请目的、使用方式等,并取得用户明示授权。在应用上线运行后,还应当对第三方SDK申请使用的权限进行管理和跟踪,以防出现违规调用个人信息的行为。

在支撑监管、服务企业方面,梆梆安全均已形成完善的解决方案。在APP合规自查自纠过程中,梆梆安全可通过自动化检测加人工辅助确认的形式,对当前被通报APP主要存在的权限索取与使用、收集使用个人信息以及普遍存在的第三方SDK管控等问题进行深度分析,出具对应的安全合规分析报告。此外,平台依据相关法律法规对APP是否声明/使用了非最小必要权限进行分析,并根据APP特征提供建议不申请使用的权限说明,有效帮助企业实现对自身应用的自查自纠,避免被通报之后所引发的品牌声誉流失。

个人信息保护五步走

监管趋严大背景下,企业所面临的合规压力越来越大,但是由于企业缺少隐私合规方面的专业人才、对相关法律法规的理解不到位、缺乏专业工具等原因,导致企业应对隐私合规问题时往往力不从心,因此更加需要引入第三方专业机构的服务,帮助加强个人信息保护能力,降低隐私合规风险。针对企业所面临的个人信息保护压力,建议企业开展如下工作。

1、提高重视:成立专职的个人信息保护部门或将个人信息保护工作责任明确到某一具体部门,同时企业的高层领导需要对个人信息保护工作直接负责;

2、摸清家底:对当前企业所运营的涉及收集和使用个人信息的APP、信息系统进行排查,对于不再运营的APP或系统进行及时下线、下架处理,防止由于此类应用出现合规问题被监管部门通报而影响企业声誉;

3、全面检测和排查:根据认定方法、164号文、337号令等标规定文件对所有正在运营的APP进行全面检测和排查,排查当前企业所运营的APP是否存在合规风险;

4、加强落地实施:根据《个人信息安全规范》、《个人信息安全影响评估指南》等标准文件的要求,在企业内部建立个人信息保护制度、流程、规范,并认真落地执行;

5、回头看:定期对涉及收集合使用个人信息的业务系统开展个人信息安全影响评估工作,防止由于信息系统或APP的更新迭代引入新的合规风险。

 

梆梆安全作为国家及部分省市地区APP检测支撑单位,基于移动应用合规平台产品以及专业安全团队参与各级主管部门组织的专项治理行动,对政策法规有着非常深刻的理解,参加了多项移动APP安全国家标准制定,不断丰富自身的产品与服务能力。未来,梆梆安全将将全力帮助监管机构、APP运营者落实个人信息保护法律法规、国家标准的相关要求,助力APP收集使用个人信息规范化、精细化监管治理。

友情链接:

京公网安备 11010802024511号

Copyright ©2022. All Rights Reserved 京ICP证160618号  京ICP备11006574号-1