App隐私合规重点关注
整体梳理
背景
目前App端做合规检测的,一般为两个机构监管的。
-
一个是由央行牵头,互联网金融协会监管的金融科技类产品的备案工作,它是根据2019年9月份央行下发的《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(银发〔2019〕237号)来启动的。
各家银行必做的事情,证书每年到期,年年要做。央行每年给下属机构评分,做没做成备案已经成为影响评分的事情。里面主要包括,客户端安全、条码安全、个人隐私安全,其中个人隐私安全最开始的参考为4部委印发的《App违法违规收集使用个人信息行为认定方法》 -
一个是由中央网信办、工信部、公安部、市场监管总局四部委监管的移动互联网应用程序安全认证,2020年开始根据GB/T 35273-2020《信息安全技术个人信息安全规范》来启动的。
通报后必须整改,不然强制下架。
参考依据
- 重点依据
《GBT35273-2020 个⼈信息安全规范》
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》
《App违法违规收集使⽤个⼈信息⾃评估指南》
《App违法违规收集使⽤个⼈信息⾏为认定⽅法》
《常⻅类型移动互联⽹应⽤程序必要个⼈信息范围规定》
《GBT41391-2022App收集个人信息的基本要求》
- 其他相关依据
《JRT 0171-2020 个⼈⾦融信息保护技术规范》
《个⼈信息保护法》
《常⻅类型移动互联⽹应⽤程序必要个⼈信息范围规定》
《移动互联⽹应⽤程序(App)系统权限申请使⽤指引-征求意⻅稿》
《信息安全技术移动互联⽹应⽤程序(App)收集个⼈信息基本规范》(草案)
《信息安全技术 移动互联⽹应⽤程序(App)个⼈信息安全测评规范》(草案)
《移动互联⽹应⽤基本业务功能必要信息规范》
《移动互联⽹应⽤程序(App)系统权限申请使⽤指引-征求意⻅稿》
…
整体趋势
⽆论是对现有标准的解读,还是各家检测机构的检测⼒度,还是标准制定上,都是趋于越来越完善越来越严格的状态。
关注点总结
⾸次打开同意个人信息保护政策前
场景:⾸次安装打开⾄同意个人信息保护政策前
关注点1:同意个人信息保护政策前权限申请问题
(禁⽌⼀切权限申请,典型的有设备权限、位置权限、存储权限等)
参考依据:
《App违法违规收集使⽤个⼈信息⾏为认定⽅法》三、1
关注点2:同意个人信息保护政策前收集个⼈信息问题,禁⽌敏感API调⽤
(如IP类、MAC地址类、安装列表类、设备唯⼀标识类、位置类等。仅调⽤未发送⾄后台的,和既调⽤⼜发送流量的,严重等级会略有不同。但最好不要让监管做选择题,如遇敏感调⽤直接禁⽌最为稳妥)
参考依据:
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点三、3.1
权限申请使用
场景:权限申请的各类场景。如:打开摄像头、接收短信、申请位置、开启录⾳等
关注点1:申请权限时,同步告知⽤户⽬的、⽤途
(Android在申请系统权限前,应先弹⾃定义弹窗说明申请权限的⽬的,⽤户同意后才能开始申请系统权限)
参考依据:
《App违法违规收集使⽤个⼈信息⾏为认定⽅法》⼆、3
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点⼆、2.3
关注点2:最⼩权限
(⾸先是要排除冗余权限,不申请打开与业务功能⽆关的可收集个⼈信息的权限,⾮必要权限拒绝后不能影响现有业务或相关服务)
参考依据:
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点四、4.1
《GBT35273-2020 个⼈信息安全规范》5.2、a)
《App违法违规收集使⽤个⼈信息⾏为认定⽅法》四、1和2
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点四、4.2
关注点3:拒绝权限后的逻辑
(⽤户拒绝后不得频繁询问,为⽀持App正常运⾏的功能除外)
参考依据:
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点三、3.3
权限拒绝后,48⼩时内不能询问超过⼀次。权限拒绝后,由⽤户主动触发或为⽀持App正常运⾏,再次询问时不属于频繁询问。但后半句“为⽀持App正常运⾏”,可能⼜要参考《常⻅类 型移动互联⽹应⽤程序必要个⼈信息范围规定》,所以这条的理解本人更偏向于由⽤户主动触发才可再此询问。
关注点4:拒绝权限后,仍通过其他⽅式获取
(常⻅的有拒绝设备权限,仍通过其他⽅式获取设备唯⼀标识)
参考依据:
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点三、3.2
关注点5:登陆前的⼏个重点权限排查:位置权限、设备权限、存储权限
位置权限:在⾸次打开App同意完隐个人信息保护政策后,如主⻚有明确、合理的获取地理位置的功能则允许同意完个人信息保护政策后就获取。
电话权限:仅允许以⻛控为由(且⻛控理由必须强有⼒,如:收集的唯⼀标识信息会收集到后台作为⻛控的查询的参数,⽆此参数⽆法完成⻛控功能),强制在登陆时申请电话权限,获取设备唯⼀标识信息。但⽬前这点可能更多的是对标⾦融类App,其他App更多参考《常⻅类型移动互联⽹应⽤程序必要个⼈信息范围规定》。
存储权限:登陆前不允许强制获取存储权限(⽆论以何种理由),⽤户主动触发的功能除外。
参考依据:
《移动互联⽹应⽤程序(App)系统权限申请使⽤指引-征求意⻅稿》五、4.5
《移动互联⽹应⽤程序(App)系统权限申请使⽤指引-征求意⻅稿》五、4.7
其他权限的说明也可参考该意⻅稿《移动互联⽹应⽤程序(App)系统权限申请使⽤指引-征求意⻅稿》
个⼈信息收集
场景:对应所有能收集个⼈信息的业务场景
关注点1:收集的个⼈信息频率超出业务需要
参考依据:
《App违法违规收集使⽤个⼈信息⾏为认定⽅法》四、4
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点四、4.4
《GBT35273-2020 个⼈信息安全规范》5.2、b)
关注点2:某项业务功能未列明所收集的个⼈信息类型、⽬的、⽅式
(此点主要针对个人信息保护政策⽂本描述,主要为个人信息保护政策中“我们如何收集和使⽤您的个⼈信息”⼀章中的内容)
参考依据:
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点⼆、2.1
《GBT35273-2020 个⼈信息安全规范》表D.1(续)
第三⽅收集
场景:主要为SDK使⽤的场景
关注点1:未列明第三⽅SDK收集的名称、收集个⼈信息的⽬的、类型、⽅式
(最常⻅的问题为第三⽅SDK未列全、列出的SDK收集的个⼈信息未列全)
参考依据:
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点⼆、2.1
尽可能保证能SDK的全⾯
⽤户权益
场景:主要未个⼈设置功能场景、个人信息保护政策⽂本内容
关注点1:明确说明⽤户的各项权益
(主要针对个人信息保护政策,⽐如详细说明⽤户的查询、更正、删除、注销、撤回已同意授权的操作)
参考依据:
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点三、3.9
这⾥说明下,个人信息保护政策中的内容应尽可能的详实,最好不要仅有“⽤户撤销所有个⼈信息授权的话就注销”类似这样的描述,可以描述些某些权限的撤销⽅法,如:操作系统设置撤销某个权限,联系客服撤回已同意的某个决定等。
《GBT35273-2020 个⼈信息安全规范》8.4
这⾥应该注意下b)标准,所有根据个⼈信息,通过算法做商业⼴告定向推送的⾏为。客户端内需要有关闭定向推送的功能,个人信息保护政策也应说明操作⽅式。
关注点2:在线注册需要有在线注销功能
参考依据:
《GBT35273-2020 个⼈信息安全规范》8.5、d)
可以注意⼀下注1、注2的描述
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点六、6.1、c)
既然能提供线上注册,则必须提供线上注销的功能,否则视为注销账号的过程不易操作
关注点3:⽤户⽆法通过在线⽅式响应的操作、或者投诉、注销等操作处理的时限应说明15个⼯作⽇内完成核查和处理
参考依据:
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点六、6.2、b)
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点六、6.1、b)
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点六、6.3、b)
通常情况下,个人信息保护政策中应有两处15个⼯作⽇的说明,⼀处在“响应⽤户请求”,⼀处在“投诉举报反馈“
其他杂项
关注点1:⽣物特征的收集
(⼈脸识别。收集前需有单独的协议争得⽤户同意)
参考依据:
《GBT35273-2020 个⼈信息安全规范》5.4、c)
关注点2:有关个⼈信息的规则、政策、协议等,相关功能在弹出时,应征得⽤户的明确同意,不能以默认勾选的⽅式
参考依据:
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点三、3.5
《GBT35273-2020 个⼈信息安全规范》5.4、b)
那么何为明确同意呢?参考《GBT35273-2020 个⼈信息安全规范》3.6
所以尽量同意协议、政策、规则时要有默认不勾选的框,由⽤户主动点击确认后,才能开始后续流程
关注点3:个⼈信息存放地域、期限、超期处理
参考依据:
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点⼀、1.5、d)、f)
《GBT35273-2020 个⼈信息安全规范》9.8
在35273中声明个⼈信息控制者应遵循国家相关规定和相关标准的要求,在《个保法》中第三章⼀整章都在介绍个⼈信息出境的相关规则
可⻅国家对个⼈信息出境的管控会要求越来越⾼。因此对于存在个⼈信息出境的情况应格外注意
关注点4:收集信息频率参考
参考依据:
《信息安全技术 移动互联网应用程序(APP)个人信息安全测评规范》附录D
App隐私合规重点关注
整体梳理
背景
目前App端做合规检测的,一般为两个机构监管的。
-
一个是由央行牵头,互联网金融协会监管的金融科技类产品的备案工作,它是根据2019年9月份央行下发的《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(银发〔2019〕237号)来启动的。
各家银行必做的事情,证书每年到期,年年要做。央行每年给下属机构评分,做没做成备案已经成为影响评分的事情。里面主要包括,客户端安全、条码安全、个人隐私安全,其中个人隐私安全最开始的参考为4部委印发的《App违法违规收集使用个人信息行为认定方法》 -
一个是由中央网信办、工信部、公安部、市场监管总局四部委监管的移动互联网应用程序安全认证,2020年开始根据GB/T 35273-2020《信息安全技术个人信息安全规范》来启动的。
通报后必须整改,不然强制下架。
参考依据
- 重点依据
《GBT35273-2020 个⼈信息安全规范》
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》
《App违法违规收集使⽤个⼈信息⾃评估指南》
《App违法违规收集使⽤个⼈信息⾏为认定⽅法》
《常⻅类型移动互联⽹应⽤程序必要个⼈信息范围规定》
《GBT41391-2022App收集个人信息的基本要求》
- 其他相关依据
《JRT 0171-2020 个⼈⾦融信息保护技术规范》
《个⼈信息保护法》
《常⻅类型移动互联⽹应⽤程序必要个⼈信息范围规定》
《移动互联⽹应⽤程序(App)系统权限申请使⽤指引-征求意⻅稿》
《信息安全技术移动互联⽹应⽤程序(App)收集个⼈信息基本规范》(草案)
《信息安全技术 移动互联⽹应⽤程序(App)个⼈信息安全测评规范》(草案)
《移动互联⽹应⽤基本业务功能必要信息规范》
《移动互联⽹应⽤程序(App)系统权限申请使⽤指引-征求意⻅稿》
…
整体趋势
⽆论是对现有标准的解读,还是各家检测机构的检测⼒度,还是标准制定上,都是趋于越来越完善越来越严格的状态。
关注点总结
⾸次打开同意个人信息保护政策前
场景:⾸次安装打开⾄同意个人信息保护政策前
关注点1:同意个人信息保护政策前权限申请问题
(禁⽌⼀切权限申请,典型的有设备权限、位置权限、存储权限等)
参考依据:
《App违法违规收集使⽤个⼈信息⾏为认定⽅法》三、1
关注点2:同意个人信息保护政策前收集个⼈信息问题,禁⽌敏感API调⽤
(如IP类、MAC地址类、安装列表类、设备唯⼀标识类、位置类等。仅调⽤未发送⾄后台的,和既调⽤⼜发送流量的,严重等级会略有不同。但最好不要让监管做选择题,如遇敏感调⽤直接禁⽌最为稳妥)
参考依据:
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点三、3.1
权限申请使用
场景:权限申请的各类场景。如:打开摄像头、接收短信、申请位置、开启录⾳等
关注点1:申请权限时,同步告知⽤户⽬的、⽤途
(Android在申请系统权限前,应先弹⾃定义弹窗说明申请权限的⽬的,⽤户同意后才能开始申请系统权限)
参考依据:
《App违法违规收集使⽤个⼈信息⾏为认定⽅法》⼆、3
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点⼆、2.3
关注点2:最⼩权限
(⾸先是要排除冗余权限,不申请打开与业务功能⽆关的可收集个⼈信息的权限,⾮必要权限拒绝后不能影响现有业务或相关服务)
参考依据:
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点四、4.1
《GBT35273-2020 个⼈信息安全规范》5.2、a)
《App违法违规收集使⽤个⼈信息⾏为认定⽅法》四、1和2
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点四、4.2
关注点3:拒绝权限后的逻辑
(⽤户拒绝后不得频繁询问,为⽀持App正常运⾏的功能除外)
参考依据:
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点三、3.3
权限拒绝后,48⼩时内不能询问超过⼀次。权限拒绝后,由⽤户主动触发或为⽀持App正常运⾏,再次询问时不属于频繁询问。但后半句“为⽀持App正常运⾏”,可能⼜要参考《常⻅类 型移动互联⽹应⽤程序必要个⼈信息范围规定》,所以这条的理解本人更偏向于由⽤户主动触发才可再此询问。
关注点4:拒绝权限后,仍通过其他⽅式获取
(常⻅的有拒绝设备权限,仍通过其他⽅式获取设备唯⼀标识)
参考依据:
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点三、3.2
关注点5:登陆前的⼏个重点权限排查:位置权限、设备权限、存储权限
位置权限:在⾸次打开App同意完隐个人信息保护政策后,如主⻚有明确、合理的获取地理位置的功能则允许同意完个人信息保护政策后就获取。
电话权限:仅允许以⻛控为由(且⻛控理由必须强有⼒,如:收集的唯⼀标识信息会收集到后台作为⻛控的查询的参数,⽆此参数⽆法完成⻛控功能),强制在登陆时申请电话权限,获取设备唯⼀标识信息。但⽬前这点可能更多的是对标⾦融类App,其他App更多参考《常⻅类型移动互联⽹应⽤程序必要个⼈信息范围规定》。
存储权限:登陆前不允许强制获取存储权限(⽆论以何种理由),⽤户主动触发的功能除外。
参考依据:
《移动互联⽹应⽤程序(App)系统权限申请使⽤指引-征求意⻅稿》五、4.5
《移动互联⽹应⽤程序(App)系统权限申请使⽤指引-征求意⻅稿》五、4.7
其他权限的说明也可参考该意⻅稿《移动互联⽹应⽤程序(App)系统权限申请使⽤指引-征求意⻅稿》
个⼈信息收集
场景:对应所有能收集个⼈信息的业务场景
关注点1:收集的个⼈信息频率超出业务需要
参考依据:
《App违法违规收集使⽤个⼈信息⾏为认定⽅法》四、4
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点四、4.4
《GBT35273-2020 个⼈信息安全规范》5.2、b)
关注点2:某项业务功能未列明所收集的个⼈信息类型、⽬的、⽅式
(此点主要针对个人信息保护政策⽂本描述,主要为个人信息保护政策中“我们如何收集和使⽤您的个⼈信息”⼀章中的内容)
参考依据:
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点⼆、2.1
《GBT35273-2020 个⼈信息安全规范》表D.1(续)
第三⽅收集
场景:主要为SDK使⽤的场景
关注点1:未列明第三⽅SDK收集的名称、收集个⼈信息的⽬的、类型、⽅式
(最常⻅的问题为第三⽅SDK未列全、列出的SDK收集的个⼈信息未列全)
参考依据:
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点⼆、2.1
尽可能保证能SDK的全⾯
⽤户权益
场景:主要未个⼈设置功能场景、个人信息保护政策⽂本内容
关注点1:明确说明⽤户的各项权益
(主要针对个人信息保护政策,⽐如详细说明⽤户的查询、更正、删除、注销、撤回已同意授权的操作)
参考依据:
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点三、3.9
这⾥说明下,个人信息保护政策中的内容应尽可能的详实,最好不要仅有“⽤户撤销所有个⼈信息授权的话就注销”类似这样的描述,可以描述些某些权限的撤销⽅法,如:操作系统设置撤销某个权限,联系客服撤回已同意的某个决定等。
《GBT35273-2020 个⼈信息安全规范》8.4
这⾥应该注意下b)标准,所有根据个⼈信息,通过算法做商业⼴告定向推送的⾏为。客户端内需要有关闭定向推送的功能,个人信息保护政策也应说明操作⽅式。
关注点2:在线注册需要有在线注销功能
参考依据:
《GBT35273-2020 个⼈信息安全规范》8.5、d)
可以注意⼀下注1、注2的描述
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点六、6.1、c)
既然能提供线上注册,则必须提供线上注销的功能,否则视为注销账号的过程不易操作
关注点3:⽤户⽆法通过在线⽅式响应的操作、或者投诉、注销等操作处理的时限应说明15个⼯作⽇内完成核查和处理
参考依据:
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点六、6.2、b)
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点六、6.1、b)
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点六、6.3、b)
通常情况下,个人信息保护政策中应有两处15个⼯作⽇的说明,⼀处在“响应⽤户请求”,⼀处在“投诉举报反馈“
其他杂项
关注点1:⽣物特征的收集
(⼈脸识别。收集前需有单独的协议争得⽤户同意)
参考依据:
《GBT35273-2020 个⼈信息安全规范》5.4、c)
关注点2:有关个⼈信息的规则、政策、协议等,相关功能在弹出时,应征得⽤户的明确同意,不能以默认勾选的⽅式
参考依据:
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点三、3.5
《GBT35273-2020 个⼈信息安全规范》5.4、b)
那么何为明确同意呢?参考《GBT35273-2020 个⼈信息安全规范》3.6
所以尽量同意协议、政策、规则时要有默认不勾选的框,由⽤户主动点击确认后,才能开始后续流程
关注点3:个⼈信息存放地域、期限、超期处理
参考依据:
《⽹络安全标准实践指南—移动互联⽹应⽤程序app-收集使⽤个⼈信息⾃评估指南》评估点⼀、1.5、d)、f)
《GBT35273-2020 个⼈信息安全规范》9.8
在35273中声明个⼈信息控制者应遵循国家相关规定和相关标准的要求,在《个保法》中第三章⼀整章都在介绍个⼈信息出境的相关规则
可⻅国家对个⼈信息出境的管控会要求越来越⾼。因此对于存在个⼈信息出境的情况应格外注意
关注点4:收集信息频率参考
参考依据:
《信息安全技术 移动互联网应用程序(APP)个人信息安全测评规范》附录D