隐私合规

编辑 | .

[漏洞404] 学习文章

网络安全需要你我共同努力

如需转载，请联系平台

隐私合规介绍

隐私合规

2021年11月1《个人信息保护法》正式施行，标志信息保护进入强监管时代，APP监管被提升到前所未有的高度，数据安全、用户隐私、甚至功能体验等各个方面都出台了相应的规则规范，监管的初衷是：从各个层面保障用户的权益，避免用户的隐私、体验、数据被滥用，甚至威胁国家安全，一旦违规被查处面临的惩罚是非常严厉的，因此产品运营方必须高度重视。一方面，在产品设计、开发阶段就要充分考虑并满足各种监管要求；另一方面，一旦查出隐患问题，要积极响应，及时整改，否则可能面临工信部通报，甚至全面下架风险，首当其冲的一块是：APP隐私合规。

APP隐私合规指简单说就是：用户隐私的收集、存储、使用、加工、传输、提供、公开、删除等都要合乎法规个人信息保护法，遵守原则。从APP端来看，它关系到用户的切身体验，用户自身也能直观感受到自己的隐私是否被过分索取。比如，申请与自身功能毫不相关的权限，不给还拒绝提供服务等场景。

隐私合规要求

国家对隐私合规要求

工信部检查

首次通知5天改完并反馈整改报告和新包，没改完的就公开通报；通报后，还是没有改好的，直接全面下架；下架40天后才能再次上架。

首次整改通知通常会通过渠道下发给企业，或对接人
一般一月一次通报，每次通报会包含整改和下架两部分
属地管局会通报和工信部也会通报，见后方资源地址
部分地区管局在通报APP问题时，会同步要求企业进行通保备案及其他检查。

网信办检查

属地网信办偶有抽查，一般给一周时间反馈《整改报告》，没有强制要求多久改完。

一般通过对接人联系企业
网信办通报，见下方资源地址

检查单位

信通院：https://v.caict.ac.cn/#/home
病毒中心：https://www.cverc.org.cn/index.htm
APP专项治理小组：https://www.pipchina.cn/h5/
信通院sdk：https://sdk.caict.ac.cn/official/#/home
工信部APP治理专项：https://www.miit.gov.cn/jgsj/xgj/APPqhyhqyzxzzxd/gzdt/index.html
工信部通报：https://wap.miit.gov.cn/jgsj/xgj/gzdt/index.html
北京通管局：https://bjca.miit.gov.cn/zwgk/tzgg/index.html
四川通管局（川渝两地）：https://scca.miit.gov.cn/zwgk/wlaqgl/index.html
网信办：https://www.cac.gov.cn/index.htm

为什么要学习隐私合规

一、做赏金猎人

小米安全中心 (xiaomi.com)

https://sec.xiaomi.com/#/privacy

漏洞判定标准：

漏洞级别	判定标准与主要用户所在的国家或地区的相关法律法规冲突，未及时修复能够导致企业的经营、或声誉等受到损害；	奖励标准（贡献币）
高危	1.漏洞反应的问题在行业内较为新颖且比较罕见，需要一定技术深度才能够发现。 2.利用该漏洞能够引发个人信息发生滥用或者泄漏等重大安全隐私事件。	300-500
中危	1.需要基于一定的技术手段实现才能发现和鉴别的隐私漏洞，使用的手段包括但不限于流量抓包、Hook、逆向分析等。仅接收以下类型问题： a.同意隐私政策前，应用有上传用户个人信息的行为（个人信息范围参考GB/T 35273-2020《信息安全技术个人信息安全规范》附录A），报告中需要有流量抓包的具体字段及字段值的证据，不接收仅有堆栈的证据 b.同意隐私政策前，应用采集用户设备 IMEI 等唯一设备标识符的行为； c.传输敏感个人信息时，未对敏感个人信息数据进行加密（敏感个人信息范围参考GB/T 35273-2020《信息安全技术个人信息安全规范》附录B），报告中需要有流量抓包的具体字段及字段值的证据，不接收仅有堆栈的证据 2.较为明显和严重的产品设计隐私问题，不需要技术手段发现的，也可以发现的问题也属于中危漏洞，如： a.应用在实现相关业务功能时索取与功能不相关的权限，且不同意无法使用相关功能。	80-120
低危	一般情况下，该类问题不需要技术手段就可以发现，如隐私政策中描述性内容文本遗漏等，包括但不限于： 1.同意隐私政策前收集个人信息或打开个人信息权限； 2.强制定向推送信息； 3.若通过嵌入第三方代码插件收集个人信息的功能，是否向用户明示； 4.调用与服务或功能无关的权限； 5.收集个人信息的范围超出隐私政策中描述的范围等除中危漏洞提到的情况外，其余所有不依赖技术手段以及部分需要技术手段发现的隐私合规问题均属于低危漏洞	10-30

二、国家政策与企业需求

【国信办秘字〔2021〕14号】为贯彻落实《中华人民共和国网络安全法》关于“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则”“网络运营者不得收集与其提供的服务无关的个人信息”等规定，国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合制定了《常见类型移动互联网应用程序必要个人信息范围规定》，明确移动互联网应用程序（App）运营者不得因用户不同意收集非必要个人信息，而拒绝用户使用App基本功能服务。

关于印发《常见类型移动互联网应用程序必要个人信息范围规定》的通知_国务院部门文件_中国政府网 (www.gov.cn)

https://www.gov.cn/zhengce/zhengceku/2021-03/23/content_5595088.htm

通报APP展示

工业和信息化部通报存在问题的APP（SDK）名单

序号	应用名称	应用开发者	应用来源	应用版本	所涉问题
1	墨迹天气极速版	北京墨迹风云科技股份有限公司	小米应用商店	8.0102.02	应用分发平台上的APP信息明示不到位
2	掌上公交	厦门搜谷信息科技有限公司	App Store	6.9.0	违规互联网弹窗信息推送服务
3	华为阅读	华为软件技术有限公司	百度手机助手	8.33.2.381	欺骗误导强迫用户
4	米读极速版	上海大犀角信息科技有限公司	百度手机助手	2.10.0.0116.1200	欺骗误导强迫用户
5	消灭星星全新版	掌游天下(北京)信息技术股份有限公司	vivo应用商店	6.4.5	违规互联网弹窗信息推送服务
6	小初高同步课堂	广州幻象引擎网络技术有限公司	应用宝	3.6.0	超范围收集个人信息
7	iGola骑鹅旅行	广州市骑鹅游信息技术咨询服务有限公司	豌豆荚	5.1.0	违规收集个人信息
					违规使用个人信息
					APP强制、频繁、过度索取权限
8	导航卫星地图	贵州齐齐辉科技有限公司	豌豆荚	1.3.0	违规收集个人信息
8	导航卫星地图	贵州齐齐辉科技有限公司	豌豆荚	1.3.0	APP强制、频繁、过度索取权限