不當(dāng)權(quán)限隱私合規(guī)檢測(cè)馬上過
來源:
發(fā)布時(shí)間:2022-03-17
一、背景與應(yīng)用場(chǎng)景介紹、國家對(duì)個(gè)人隱私保護(hù)越來越重視2019年初�����,關(guān)鍵網(wǎng)信辦�����、工信部����、公安部及市場(chǎng)監(jiān)管總局四部門聯(lián)合發(fā)布了《關(guān)于開展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》,預(yù)示著我國在APP隱私層面的治理進(jìn)入了一個(gè)新的高度��,期間部分APP采集隱私數(shù)據(jù)受到了嚴(yán)重處罰���。如圖1-1所示�,每年各部門發(fā)布的相關(guān)個(gè)人信息范圍規(guī)定文件可以看出個(gè)人信息安全和用戶權(quán)益保護(hù)越來越被重視�。圖1-1各監(jiān)管部門不斷開展APP專項(xiàng)治理工作及核查通報(bào),不合規(guī)的APP通知整改或直接下架���。�、應(yīng)用場(chǎng)景企業(yè):針對(duì)企業(yè)開發(fā)的移動(dòng)應(yīng)用中收集個(gè)人信息行為是否存在違法違規(guī)進(jìn)行認(rèn)定并提供參考,為企業(yè)APP運(yùn)營者自查自糾提供指引�����,移動(dòng)應(yīng)用個(gè)人信息安全提供多方位完全體檢����,APP是否合規(guī)等問題的深度檢測(cè),及時(shí)發(fā)現(xiàn)應(yīng)用存在的潛在風(fēng)險(xiǎn)與不合規(guī)之處����,幫助企業(yè)對(duì)APP隱私、過度收集����、濫用等行為進(jìn)行檢測(cè),高效���、低成本地做APP合規(guī)自查形成專業(yè)并易理解的檢測(cè)報(bào)告�����,為移動(dòng)應(yīng)用運(yùn)營者提供專業(yè)的合規(guī)�����、安全提供整改依據(jù)�����。個(gè)人:現(xiàn)在我們的日常工作生活基本都離不開手機(jī)��,無論是購物�、點(diǎn)外賣�、工作還是娛樂,都需要用到各種互聯(lián)網(wǎng)公司開發(fā)的APP�����,但是其中的用戶安全隱私問題����,悄然的浮現(xiàn)了出來。監(jiān)管約談是什么監(jiān)管方式��?不當(dāng)權(quán)限隱私合規(guī)檢測(cè)馬上過
非常具代表性的一家大型國際互聯(lián)網(wǎng)公司——Google在隱私保護(hù)方面已經(jīng)做了不少工作���,然而Google卻陸續(xù)被歐盟的兩個(gè)國家罰款:2019年1月份被法國處罰5000萬歐元��,原因是執(zhí)法方認(rèn)為Google產(chǎn)品的隱私條款未充分體現(xiàn)GDPR公開透明和清晰原則��;2020年3月被瑞典處罰700萬歐元����,原因是Google未能充分履行GDPR賦予用戶的數(shù)據(jù)“遺忘權(quán)”。了解更多���,歡迎來電咨詢��!我們真誠期待您的來電��,希望我們的服務(wù)能夠令您滿意��,您的滿意是我們不斷前進(jìn)的動(dòng)力����。華為應(yīng)用市場(chǎng)隱私合規(guī)檢測(cè)怎么通過app如何在蘋果商場(chǎng)上架呢流程是什么樣的�����?
近期咨詢app隱私合規(guī)的人有點(diǎn)多�,正好借這個(gè)機(jī)會(huì)把相關(guān)內(nèi)容整理一下供大家學(xué)習(xí)參考。一��、背景目前��,大量的移動(dòng)app在使用過程中,涉及個(gè)人隱私信息和敏感信息���。在個(gè)人信息處理�、共享�、轉(zhuǎn)讓、公開披露過程中�,管理流程和技術(shù)手段不規(guī)范造成個(gè)人信息泄露的安全事件層出不窮。網(wǎng)信辦����、工信部����、公安部、市場(chǎng)監(jiān)管總局指導(dǎo)成立App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理工作組(App專項(xiàng)治理工作組)�����,組織開展的App收集使用個(gè)人信息評(píng)估工作��,收到舉報(bào)信息超過3480條��,其中實(shí)名舉報(bào)1040余條��,涉及1300余款A(yù)pp。被舉報(bào)App主要集中在金融借貸��、社區(qū)社交��、網(wǎng)上購物�����、短視頻與直播����、即時(shí)通訊等領(lǐng)域。26%的App沒有隱私條款或未在隱私條款中明確收集個(gè)人信息的目的���、方式��、范圍����;31%的App在申請(qǐng)打開收集個(gè)人信息相關(guān)權(quán)限時(shí)����,未明確告知用戶;20%的App收集與業(yè)務(wù)功能無關(guān)的個(gè)人信息���,如金融借貸App收集用戶通信錄��;19%的App未經(jīng)用戶同意���,向他人提供設(shè)備ID����、應(yīng)用程序列表等個(gè)人信息����;13%的App強(qiáng)制索要與業(yè)務(wù)功能無關(guān)的權(quán)限,如計(jì)算器��、手電筒App強(qiáng)制要求打開地理位置權(quán)限��。從以上數(shù)據(jù)可以看出���,個(gè)人信息保護(hù)還需要技術(shù)加強(qiáng)。好消息的是��。
7.是否明示各項(xiàng)業(yè)務(wù)功能所收集的個(gè)人信息類型每個(gè)業(yè)務(wù)功能在說明其所收集的個(gè)人信息類型時(shí)����,應(yīng)在隱私政策中逐項(xiàng)列舉���,不應(yīng)使用“等、例如”等方式概括說明����。8.是否好標(biāo)識(shí)個(gè)人敏感信息類型隱私政策應(yīng)對(duì)個(gè)人敏感信息類型進(jìn)行好標(biāo)識(shí)(如字體加粗、標(biāo)星號(hào)����、下劃線、斜體���、顏色等)�。注:個(gè)人敏感信息包括證件號(hào)碼�、個(gè)人生物識(shí)別信息、銀行賬號(hào)���、通信記錄和內(nèi)容��、財(cái)產(chǎn)信息���、征信信息、行蹤軌跡��、住宿信息、健康生理信息��、交易信息�、14歲以下(含)未成年人的個(gè)人信息等。(該定義見GB/T35273《個(gè)人信息安全規(guī)范》節(jié))評(píng)估項(xiàng)3:清晰說明個(gè)人信息處理規(guī)則及用戶權(quán)益保障評(píng)估點(diǎn)評(píng)估標(biāo)準(zhǔn)運(yùn)營者的基本情況隱私政策應(yīng)對(duì)App運(yùn)營者基本情況進(jìn)行描述��,至少包括:1�����、公司名稱���;2���、注冊(cè)地址;3���、個(gè)人信息保護(hù)相關(guān)負(fù)責(zé)人聯(lián)系方式。10.個(gè)人信息存儲(chǔ)和超期處理方式隱私政策應(yīng)對(duì)個(gè)人信息存放地域(國內(nèi)���、國外)�����;存儲(chǔ)期限(法律規(guī)定范圍內(nèi)短期限或明確的期限)�、超期處理方式進(jìn)行明確說明。11.個(gè)人信息的使用規(guī)則如果App運(yùn)營者將個(gè)人信息用于用戶畫像��、個(gè)性化展示等����,隱私政策中應(yīng)說明其應(yīng)用場(chǎng)景和可能對(duì)用戶產(chǎn)生的影響。12.個(gè)人信息出境情況如果存在個(gè)人信息出境情況���。個(gè)人信息授權(quán)與隱私政策�����。
評(píng)估項(xiàng) 4:不應(yīng)在隱私政策等文件中設(shè)置不合理?xiàng)l款 19. 隱私政策等文件是否存在免責(zé)等不合理?xiàng)l款-App 運(yùn)營者不應(yīng)在用戶協(xié)議��、服務(wù)協(xié)議�、隱私政策等文件中出現(xiàn)免除自身責(zé)任���、加重用戶責(zé)任��、排除用戶主要權(quán)利條款����。 注:免除自身責(zé)任是指 App 運(yùn)營者免除其依照法律規(guī)定應(yīng) 當(dāng)負(fù)有的強(qiáng)制性法定義務(wù); 加重用戶責(zé)任是指 App 運(yùn)營者要求用戶在法律規(guī)定的義務(wù)范圍之外承擔(dān)責(zé)任或損失�����;排除用戶主要權(quán)利是指 App 運(yùn)營者排除用戶依照法律規(guī)定或者依照合同的性質(zhì)通常應(yīng)當(dāng)享有的主要權(quán)利���。想做app隱私檢測(cè)���,去哪做?阿里隱私合規(guī)檢測(cè)要多少錢
app隱私檢測(cè)不合規(guī)�����?怎么處理�����?不當(dāng)權(quán)限隱私合規(guī)檢測(cè)馬上過
�����、惡意操作行為第三方SDK可能借助合法的宿主APP執(zhí)行惡意的操作:靜默安裝其他APP����、上傳業(yè)務(wù)數(shù)據(jù)、獲取用戶隱私數(shù)據(jù)上報(bào)云端��、檢查用戶�、惡意推送信息等。某些應(yīng)用為了對(duì)抗自動(dòng)化安全分析����,只有在用戶特定的情形下才觸發(fā)隱私收集事件,比如某輸入法��。沒有完整的邏輯逆向分析很難發(fā)現(xiàn)其行為�。四、解決方案��、方案介紹方案主要分成兩部分:好:企業(yè)APP發(fā)版時(shí)針對(duì)應(yīng)用中收集個(gè)人信息行為是否存在違法違規(guī)進(jìn)行認(rèn)定并提供參考����,為APP運(yùn)營者自查自糾提供指引。第二:及時(shí)發(fā)現(xiàn)個(gè)人手機(jī)上APP獲取信息合規(guī)問題及準(zhǔn)確定位�,提前發(fā)現(xiàn)應(yīng)用中個(gè)人信息的安全、合規(guī)風(fēng)險(xiǎn)��,并準(zhǔn)確定位問題出現(xiàn)的源頭���,對(duì)獲取隱私的應(yīng)用提出預(yù)警提示����。、整體架構(gòu)架構(gòu)分為移動(dòng)端與服務(wù)器端�����,如圖4-2所示:圖4-2安全沙箱是指建立一個(gè)隔離的運(yùn)行環(huán)境��,在里面直接運(yùn)行第三方App��,這種技術(shù)方案為解決上述某些APP在特定條件下才收集用戶隱私的事件監(jiān)控���,因?yàn)橹辉诜?wù)器端自動(dòng)化分析場(chǎng)景比較單一�����,某些有做安全處理的APP會(huì)逃過檢測(cè)����,很難發(fā)現(xiàn)它的惡意行為��。����、重要功能介紹威脅行為類型常見的威脅類型如圖4-3所示:圖4-3移動(dòng)端:移動(dòng)端主要負(fù)責(zé)監(jiān)控用戶界面輸入的內(nèi)容隱私�,例如����。不當(dāng)權(quán)限隱私合規(guī)檢測(cè)馬上過
深圳卓云智聯(lián)科技有限公司是一家提供云支持和運(yùn)營管理解決方案\云計(jì)算����、云存儲(chǔ)、云網(wǎng)互聯(lián)�����、私有��,公共和混合云建設(shè)���、云建設(shè)咨詢服務(wù)����、云建設(shè)實(shí)施服務(wù)��、云計(jì)算支持服務(wù)���、云計(jì)算安全運(yùn)維服務(wù)����,從基礎(chǔ)架構(gòu)設(shè)計(jì)部署到IaaS,PaaS及Saas應(yīng)用程序開發(fā)�,滿足各行業(yè)客戶的需求。的公司��,致力于發(fā)展為創(chuàng)新務(wù)實(shí)�、誠實(shí)可信的企業(yè)。卓云服務(wù)擁有一支經(jīng)驗(yàn)豐富�����、技術(shù)創(chuàng)新的專業(yè)研發(fā)團(tuán)隊(duì)���,以高度的專注和執(zhí)著為客戶提供等級(jí)保護(hù)���,隱私合規(guī)檢測(cè),騰訊會(huì)議���,高防IP���。卓云服務(wù)繼續(xù)堅(jiān)定不移地走高質(zhì)量發(fā)展道路����,既要實(shí)現(xiàn)基本面穩(wěn)定增長(zhǎng)�����,又要聚焦關(guān)鍵領(lǐng)域�,實(shí)現(xiàn)轉(zhuǎn)型再突破����。卓云服務(wù)始終關(guān)注通信產(chǎn)品行業(yè)。滿足市場(chǎng)需求��,提高產(chǎn)品價(jià)值�,是我們前行的力量。