即日起至11月30日,原價5k的 App 隐私合規檢測(基礎版)已降至99元,
點選這裡立即嘗鮮。
- 2019年11月開始,工信部對移動應用程式APP(以下簡稱APP)侵害使用者權益行為開展專項整治行動。通過随機抽查、企業約談、限期整改、全網下架等措施,打擊移動應用程式(APP)違規收集個人資訊、過度索權、頻繁騷擾使用者等一系列侵害使用者權益的行為。
- 2021年8月25日,工信部重點針對APP違規問題進行了“回頭看”,對仍存在問題的APP(2021年第6、7批)進行了公開通報。各通信管理局按照工業和資訊化部統籌部署,積極開展APP技術檢測。
- 2021年11月1日,《個人資訊保護法》正式施行。
對于APP的開發和營運者來說,《個人資訊保護法》規定的舉證責任倒置原則和發生侵犯個人資訊權益情況下的連帶責任成了懸在頭頂上的“達摩克裡斯之劍”。如何準确把握個人資訊處理的“三最”原則,即處理個人資訊應當采取對個人權益影響最小的方式、收集範圍應當限于實作處理目的最小的範圍、儲存期限應當為事先處理目的所必要的最短時間,以及如何妥善在使用者界面履行“告知-同意”義務,進而在APP中得以以适當的方式呈現,已經成為能否做好APP隐私合規的重要因素。
01 APP營運者需關注的三個核心項
在日常檢測、評估APP合規過程中發現,我們發現以下幾項内容值得APP營運者特别關注:
隐私政策聲明的個人資訊擷取範圍應包含APP實際獲得的全部系統權限
APP中的隐私政策不應該是孤立的法律檔案,它是APP營運者履行《個人資訊保護法》下的告知義務,向使用者告知其會擷取哪些個人資訊、為何要擷取這些個人資訊、以及将如何使用、分享、保護、存儲這些個人資訊的重要媒介。
一般來說,如果某款APP擷取了手機系統的某項具體系統權限,如攝像頭、通訊錄、麥克風等,那這款APP即已經具備了随時随地、無須使用者同意甚至是介入即可通過這些系統權限收集相關個人資訊的能力。
是以,在滿足擷取相關個人資訊合理性、必要性的前提下,營運者應當在隐私政策中,以窮盡的方式列舉該款APP所擷取的全部系統權限,并通過準确、清楚的語言向使用者充分披露擷取這些系統權限的理由和目的。
APP應在使用者做出明示同意之後才能夠收集個人資訊
“告知-同意”是《個人資訊保護法》确立的一項基本原則,即APP隻有在使用者做出“明示的同意”之後,才能夠從事相關使用者個人資訊收集行為。
但有不少APP在使用者首次進入程式界面之後,使用者點選同意隐私政策等一系列告知話術及法律條款之前,即會在背景讀取收集系統剪貼闆中的消息。如果當時使用者系統剪貼闆中正好存有使用者或者其他第三方的個人資訊,如手機号等,則APP即構成了在沒有獲得使用者同意之前,收集個人資訊的違法行為。
充分了解、披露SDK擷取個人資訊的行為
在設計開發APP時,會不可避免地使用第三方軟體開發包(SDK)實作某些業務功能。例如,當需要在APP中展示地圖時,會嵌入諸如高德等地圖軟體的SDK;當需要在APP實作推送功能時,會使用搜尋引擎的相關SDK。市場上也存在着各種各樣的SDK,來幫助營運者實作APP的快速開發。
對于這些SDK,營運者需要注意以下幾點:
- 首先,要從正規公司處獲得相關SDK,避免使用一些來路不明、功能不透明的SDK;
- 其次,在使用這些SDK前,必須仔細閱讀這些SDK的使用條款和隐私政策,清楚地了解它們內建進自身APP後,會存在哪些個人資訊收集行為,并在自己的APP隐私政策中給予充分的披露。這方面,建議大家參考《資訊安全技術 移動網際網路應用程式(App)SDK 安全指南》、《網絡安全标準實踐指南—移動網際網路應用程式(App)中的第三方軟體開發工具包(SDK)安全指引》等檔案,遵照其中給出的具體指引和示例完善APP的隐私合規工作。
02 借助專業工具實作APP隐私合規
針對企業的APP隐私保護及合規需求,阿裡雲推出了“APP隐私合規檢測”專項服務。
該服務依據國家相關法律法規及行業規範,結合靜态檢測、動态監測、場景檢測技術,對APP隐私安全、個人資料收集和使用進行合規分析,包含隐私政策檢測、敏感權限檢測、資料采集使用檢測等内容,包含詳細的調用鍊路及業務場景定位,并能夠根據企業具體需求提供一對一的專家服務,幫助企業及APP開發者識别安全風險,提供對應的整改建議,助力客戶規避監管處罰及通過應用稽核上架。
03 四項核心服務化解隐私合規新挑戰
基于文本智能分析技術的隐私政策檢測,避免漏檢漏改
以國家頒布并執行的法律法規為檢測标準,基于已獲得多項專利的隐私政策文本智能分析技術,結合實際行為和法律法規,逐條對比隐私協定聲明是否符合法律法規要求,權限、資料采集和應用行為是否與隐私聲明一緻,避免人工檢測造成的漏檢問題。
敏感權限、個人資訊采集行為全鍊路識别,有效溯源
權限的擷取是個人資訊采集的前提,也是使用者感覺最明顯和最易産生質疑的環節。基于靜态檢測及動态檢測技術識别能力,以及豐富的SDK檢測特征累積,逐一列舉 APP 及第三方SDK中敏感權限調用和個人資訊采集行為情況,并溯源代碼調用具體定位。
定制化場景檢測,滿足特殊業務需求
對于某些需要使用更敏感權限的業務場景,支援定制化的場景檢測,準确定位實際發生個人資訊收集行為的調用鍊路,并通過結合動态運作時檢測,對實際采集發生的業務場景進行定位,幫助使用者第一時間找到對應的業務負責方推動治理修複;并可以根據使用者自定義的測試用例,定制化檢測業務采集個人資訊的風險行為和頻率 。
專業法務服務加持,化解合規條文解讀有效性難題
依據國家相關法律法規、四部委工作組的相關檢測依據,以及行業适用規定,結合隐私協定,對 APP 實際收集使用使用者個人資訊行為檢測結果逐條分析解讀,提供與法規對應的檢測報告,以及整改建議。
04 覆寫自測、整改的豐富實踐
某頭部生活服務類APP
該APP由于違規收集個人資訊,被監管公開通報要求整改。
經過檢測發現,該APP存在未公開收集使用規則,未明示收集使用個人資訊的目的、方式和範圍,未經使用者同意收集使用個人資訊等問題。
客戶根據檢測報告進行整改後順利通過工信部複核,且可正常更新APP。
某頭部金融APP
由于合規需求,該客戶在APP上線前需要做全面的合規自測。
經過檢測發現,APP存在:
- 隐私政策同意前調用了敏感API,存在敏感函數調用的問題;
- APP未向使用者發送隐私權政策彈窗,獲得使用者授權等問題。
客戶根據檢測報告整改後順利發版,確定業務安全穩定的運轉。
目前,App 隐私合規檢測已助力數若幹 App 完成隐私合規自查及通報整改,幫助開發者通過稽核。
為了能讓更多的開發者完成合規自查,即日起至11月30日,原價 5k 的 App 隐私合規檢測(基礎版)已降至 99 元,