即日起至11月30日,原價5k的 App 隱私合規檢測(基礎版)已降至99元,點選這裡立即嚐鮮。
- 2019年11月開始,工信部對移動應用程式APP(以下簡稱APP)侵害使用者權益行為開展專項整治行動。透過隨機抽查、企業約談、限期整改、全網下架等措施,打擊移動應用程式(APP)違規收集個人資訊、過度索權、頻繁騷擾使用者等一系列侵害使用者權益的行為。
- 2021年8月25日,工信部重點針對APP違規問題進行了“回頭看”,對仍存在問題的APP(2021年第6、7批)進行了公開通報。各通訊管理局按照工業和資訊化部統籌部署,積極開展APP技術檢測。
- 2021年11月1日,《個人資訊保護法》正式施行。
對於APP的開發和運營者來說,《個人資訊保護法》規定的舉證責任倒置原則和發生侵犯個人資訊權益情況下的連帶責任成了懸在頭頂上的“達摩克里斯之劍”。如何準確把握個人資訊處理的“三最”原則,即處理個人資訊應當採取對個人權益影響最小的方式、收集範圍應當限於實現處理目的最小的範圍、儲存期限應當為事先處理目的所必要的最短時間,以及如何妥善在使用者介面履行“告知-同意”義務,從而在APP中得以以適當的方式呈現,已經成為能否做好APP隱私合規的重要因素。
01 APP運營者需關注的三個核心項
在日常檢測、評估APP合規過程中發現,我們發現以下幾項內容值得APP運營者特別關注:
隱私政策宣告的個人資訊獲取範圍應包含APP實際獲得的全部系統許可權
APP中的隱私政策不應該是孤立的法律檔案,它是APP運營者履行《個人資訊保護法》下的告知義務,向使用者告知其會獲取哪些個人資訊、為何要獲取這些個人資訊、以及將如何使用、分享、保護、儲存這些個人資訊的重要媒介。
一般來說,如果某款APP獲取了手機系統的某項具體系統許可權,如攝像頭、通訊錄、麥克風等,那這款APP即已經具備了隨時隨地、無須使用者同意甚至是介入即可透過這些系統許可權收集相關個人資訊的能力。
因此,在滿足獲取相關個人資訊合理性、必要性的前提下,運營者應當在隱私政策中,以窮盡的方式列舉該款APP所獲取的全部系統許可權,並透過準確、清楚的語言向使用者充分披露獲取這些系統許可權的理由和目的。
APP應在使用者做出明示同意之後才能夠收集個人資訊
“告知-同意”是《個人資訊保護法》確立的一項基本原則,即APP只有在使用者做出“明示的同意”之後,才能夠從事相關使用者個人資訊收集行為。
但有不少APP在使用者首次進入程式介面之後,使用者點選同意隱私政策等一系列告知話術及法律條款之前,即會在後臺讀取收集系統剪貼簿中的訊息。如果當時使用者系統剪貼簿中正好存有使用者或者其他第三方的個人資訊,如手機號等,則APP即構成了在沒有獲得使用者同意之前,收集個人資訊的違法行為。
充分了解、披露SDK獲取個人資訊的行為
在設計開發APP時,會不可避免地使用第三方軟體開發包(SDK)實現某些業務功能。例如,當需要在APP中展示地圖時,會嵌入諸如高德等地圖軟體的SDK;當需要在APP實現推送功能時,會使用搜尋引擎的相關SDK。市場上也存在著各種各樣的SDK,來幫助運營者實現APP的快速開發。
對於這些SDK,運營者需要注意以下幾點:
- 首先,要從正規公司處獲得相關SDK,避免使用一些來路不明、功能不透明的SDK;
- 其次,在使用這些SDK前,必須仔細閱讀這些SDK的使用條款和隱私政策,清楚地瞭解它們整合進自身APP後,會存在哪些個人資訊收集行為,並在自己的APP隱私政策中給予充分的披露。這方面,建議大家參考《資訊保安技術 移動網際網路應用程式(App)SDK 安全指南》、《網路安全標準實踐指南—移動網際網路應用程式(App)中的第三方軟體開發工具包(SDK)安全指引》等檔案,遵照其中給出的具體指引和示例完善APP的隱私合規工作。
02 藉助專業工具實現APP隱私合規
針對企業的APP隱私保護及合規需求,阿里雲推出了“APP隱私合規檢測”專項服務。
該服務依據國家相關法律法規及行業規範,結合靜態檢測、動態監測、場景檢測技術,對APP隱私安全、個人資料收集和使用進行合規分析,包含隱私政策檢測、敏感許可權檢測、資料採集使用檢測等內容,包含詳細的呼叫鏈路及業務場景定位,並能夠根據企業具體需求提供一對一的專家服務,幫助企業及APP開發者識別安全風險,提供對應的整改建議,助力客戶規避監管處罰及透過應用稽核上架。
03 四項核心服務化解隱私合規新挑戰
基於文字智慧分析技術的隱私政策檢測,避免漏檢漏改
以國家頒佈並執行的法律法規為檢測標準,基於已獲得多項專利的隱私政策文字智慧分析技術,結合實際行為和法律法規,逐條對比隱私協議宣告是否符合法律法規要求,許可權、資料採集和應用行為是否與隱私宣告一致,避免人工檢測造成的漏檢問題。
敏感許可權、個人資訊採集行為全鏈路識別,有效溯源
許可權的獲取是個人資訊採集的前提,也是使用者感知最明顯和最易產生質疑的環節。基於靜態檢測及動態檢測技術識別能力,以及豐富的SDK檢測特徵累積,逐一列舉 APP 及第三方SDK中敏感許可權呼叫和個人資訊採集行為情況,並溯原始碼呼叫具體定位。
定製化場景檢測,滿足特殊業務需求
對於某些需要使用更敏感許可權的業務場景,支援定製化的場景檢測,準確定位實際發生個人資訊收集行為的呼叫鏈路,並透過結合動態執行時檢測,對實際採集發生的業務場景進行定位,幫助使用者第一時間找到對應的業務負責方推動治理修復;並可以根據使用者自定義的測試用例,定製化檢測業務採集個人資訊的風險行為和頻率 。
專業法務服務加持,化解合規條文解讀有效性難題
依據國家相關法律法規、四部委工作組的相關檢測依據,以及行業適用規定,結合隱私協議,對 APP 實際收集使用使用者個人資訊行為檢測結果逐條分析解讀,提供與法規對應的檢測報告,以及整改建議。
04 覆蓋自測、整改的豐富實踐
某頭部生活服務類APP
該APP由於違規收集個人資訊,被監管公開通報要求整改。
經過檢測發現,該APP存在未公開收集使用規則,未明示收集使用個人資訊的目的、方式和範圍,未經使用者同意收集使用個人資訊等問題。
客戶根據檢測報告進行整改後順利透過工信部複核,且可正常更新APP。
某頭部金融APP
由於合規需求,該客戶在APP上線前需要做全面的合規自測。
經過檢測發現,APP存在:
- 隱私政策同意前呼叫了敏感API,存在敏感函式呼叫的問題;
- APP未向使用者傳送隱私權政策彈窗,獲得使用者授權等問題。
客戶根據檢測報告整改後順利發版,確保業務安全穩定的運轉。
目前,App 隱私合規檢測已助力數若干 App 完成隱私合規自查及通報整改,幫助開發者透過稽核。
為了能讓更多的開發者完成合規自查,即日起至11月30日,原價 5k 的 App 隱私合規檢測(基礎版)已降至 99 元,點選這裡立即嚐鮮。