Теоретическая основа

Чтобы усилить защиту личной информации пользователей и предоставить людям более безопасную, здоровую и чистую информационную среду, Министерство промышленности и информационных технологий запустило «Специальную меру по устранению нарушений прав пользователей приложениями» и « Незаконный сбор и использование приложений» «Метод определения поведения в отношении личной информации» Уведомление о «Положении об объеме необходимой личной информации для распространенных типов мобильных интернет-приложений»,существоватьСоответствие приложенияобязаны строго соблюдать требования Министерства промышленности и информационных технологий164Самостоятельная проверка и самокоррекция документов,Своевременно устраняйте нарушения АПП.

Политика конфиденциальности приложения обычно относится к политике обработки информации пользователя, сформулированной приложением на основе политики конфиденциальности. Это документ об основных правах и обязанностях между продуктом приложения и пользователем относительно того, как обрабатывать и защищать личную информацию пользователя. Он используется для личного информирования пользователя о том, как информация собирается, используется и передается третьим лицам. Это не только ограничение продукта, но и основание для того, чтобы побудить пользователей предоставлять и распоряжаться личной информацией автономно, добровольно и разумно, а также разграничивать обязанности пользователей.

Все приложения, представленные на рынке или на различных платформах, должны пройти проверку на соответствие конфиденциальности. Только если они проходят тестирование (самотестирование и тестирование платформы) и не содержат другого контента, нарушающего правила проверки, приложение может быть запущено нормально.,еслиСоответствие конфиденциальности приложенийТест не пройден,Приложение будет отклонено и не будет разрешено класть его на полки.,Затем исправьте незаконный контент,Только когда исправление будет завершено, его можно будет положить на полки.

Основные требования

Когда все приложения открываются в первый раз, содержание соглашения о конфиденциальности должно отображаться пользователям через всплывающие окна и другие заметные методы. Цель и объем сбора информации о пользователях должны быть подробно объяснены в условиях [Политики конфиденциальности], а политика конфиденциальности в Приложении должна полностью соответствовать содержанию сбора информации о пользователях.

Приложение будет интегрировать множество сторонних SDK, а цель, метод и объем сбора и использования личной информации сторонним SDK должны быть четко указаны в политике конфиденциальности.

Если существует политика конфиденциальности, которая «собирает записи поиска пользователей, записи просмотров, информацию об устройствах или другую личную информацию пользователя для отправки и отображения интересного и персонализированного содержимого сообщений пользователям», должно быть соответствующее закрытие кнопки приложения или ее отключение.

Для приложений информационных служб Интернета с атрибутами общественного мнения и возможностями социальной мобилизации они должны войти в окно оценки безопасности национальной платформы управления службами безопасности Интернета (http://www.beian.gov.cn), чтобы представить отчет об оценке безопасности в соответствии с с принципом фактического местоположения офиса приложения. Компетентный орган требует, чтобы после загрузки на национальную платформу управления службой интернет-безопасности копия была отправлена ​​на платформу для проверки компетентным органом.

Тестирование на соответствие

В API Тестирование на соответствиеаспект,Есть в основном 5 нерешенных проблем,Ниже приводится краткий анализ пяти нерешенных вопросов.

1. Незаконный сбор личной информации

1. Приложение четко не указывает пользователям цель, метод и объем сбора личной информации, а также сбора и использования SDK. Без согласия пользователя приложение или SDK собирает IMEI, MAC-адрес устройства, список установки программного обеспечения, адресную книгу, и текстовые сообщения.

2. Приложение четко сообщает пользователям правила сбора и использования в виде всплывающего окна политики конфиденциальности, а также правила сбора и использования SDK. Без согласия пользователя Приложение или SDK собирает IMEI устройства. MAC-адрес, список установки программного обеспечения, адресная книга и поведение текстовых сообщений.

3. Приложение четко сообщает пользователю правила сбора и использования в виде всплывающего окна с политикой конфиденциальности или правила сбора и использования SDK, но не указывает четко цель и область применения Приложения. сбор MAC-адресов устройств, списков установки программного обеспечения и т. д. Пользователь соглашается с политикой конфиденциальности. Позже приложение или SDK начали собирать MAC-адреса устройств и списки установки программного обеспечения.

4. Когда приложение запрашивает согласие пользователя, оно проверяется по умолчанию.

Метод обнаружения

1. Проверьте, имеет ли приложение политику конфиденциальности.

2. Определите, собирает ли приложение или встроенный SDK личную информацию, такую ​​как IMEI и MAC, посредством обхода.

3. Оставайтесь во всплывающем интерфейсе политики конфиденциальности, щелкните ссылку на политику конфиденциальности, ссылку на соглашение об обслуживании пользователя и т. д. с помощью функции автоматического обхода, чтобы смоделировать этап, на котором пользователь соглашается с политикой конфиденциальности, и определить, является ли приложение и встроенный SDK собирает личную информацию, такую ​​как IMEI и MAC.

4. После идентификации и нажатия на политику конфиденциальности автоматически просмотрите и определите, работает ли приложение в фоновом и переднем режиме, а также собирает ли приложение и встроенный SDK личную информацию, такую ​​как IMEI и MAC.

5. Проверьте, содержит ли политика конфиденциальности название собираемой информации, и определите, указана ли информация, собранная приложением и интегрированным SDK, прямо в политике конфиденциальности.

6. Проверьте, установлен ли флажок на текущей странице по умолчанию.

Рекомендации по исправлению:

Когда пользователи впервые открывают приложение, должно появиться всплывающее окно с соглашением о политике конфиденциальности. В соглашении о конфиденциальности, пожалуйста, правдиво и полностью объясните правила для приложения и интегрированного стороннего SDK для сбора личной информации пользователя; во всплывающем окне политики конфиденциальности должна использоваться только четкая кнопка «Согласен\Отклонить». Только после того, как пользователь нажмет «Согласен», приложение и SDK смогут вызвать интерфейс системы, прочитать и собрать информацию пользователя;

2. Сбор личной информации, выходящий за рамки

1. Приложение не информировало пользователя и не указало явным образом правила сбора и использования SDK и собирало такую ​​информацию, как адресные книги, текстовые сообщения, записи вызовов, камеры и т. д., без согласия пользователя. услуги и не имеет разумных сценариев применения. Превышает лимит, прямо или разумно связанный с заявленной целью сбора личной информации.

2. Когда приложение запущено, пользователь не уведомляется или правила сбора и использования SDK четко не сообщаются пользователю, а информация о местоположении считывается каждые 30 секунд без согласия пользователя, что не является необходимым для службы и не имеет разумных сценариев применения, превышающих минимальную частоту, необходимую для достижения бизнес-функциональности продукта или услуги.

3. Приложение не проинформировало или четко не изложило пользователю правила сбора и использования SDK и собирало такую ​​информацию, как адресные книги, текстовые сообщения, записи вызовов, камеры и т. д., в беззвучном режиме или во время работы в режиме фон без согласия пользователя. Или существует поведение по сбору информации о местоположении, IMEI, адресной книге, текстовых сообщениях, изображениях и другой информации с определенной частотой, которая не является необходимой для службы и не имеет разумных сценариев применения и выходит за рамки допустимых. объем, который прямо или разумно связан с целью, заявленной при сборе личной информации.

Метод обнаружения

1. Проверьте, существует ли политика конфиденциальности

2. Оставайтесь во всплывающем интерфейсе политики конфиденциальности, моделируйте этап, на котором пользователь соглашается с политикой конфиденциальности, а также автоматически просматривайте и определяйте, собирает ли приложение личную информацию, такую ​​как IMEI и MAC.

3. После определения и нажатия на политику конфиденциальности автоматически просмотрите и определите, собирает ли приложение личную информацию, такую ​​как IMEI и MAC, на переднем и фоновом этапах работы.

4. Проверьте, содержит ли политика конфиденциальности название собираемой информации, например IMEI, MAC-адрес и т. д., и определите, указана ли информация, собранная приложением, явно в политике конфиденциальности.

5. Автоматизированная система обхода определяет, собирает ли приложение или SDK пользовательскую информацию с фиксированной частотой и превышает разумный диапазон, путем расчета времени поведения личной информации, собранной приложением, в три этапа: до согласия с политикой конфиденциальности, когда приложение работает на переднем плане и когда он работает в фоновом режиме.

Предложения по исправлению:

Прежде чем собирать информацию об устройстве и личную информацию, добавьте условия оценки, чтобы определить, согласен ли пользователь с политикой конфиденциальности. Собирайте информацию с согласия пользователя. Измените частоту сбора информации приложением или SDK < 1 раза в секунду.

3. Незаконное использование личной информации

1. Приложение не уведомило пользователя и не отправило личную информацию, такую ​​как IMEI/MAC-адрес устройства/список установки программного обеспечения, сторонним SDK без согласия пользователя.

2. Приложение не указывает пользователю четко имя, цель и тип личной информации, предоставленной третьей стороной. После того, как пользователь соглашается с политикой конфиденциальности, оно отправляет личную информацию, такую ​​как IMEI/MAC-адрес устройства/список установки программного обеспечения. в сторонний SDK.

Метод обнаружения

1. Проверьте, имеет ли приложение политику конфиденциальности.

2. Оставайтесь во всплывающем интерфейсе политики конфиденциальности, моделируйте этап, на котором пользователь соглашается с политикой конфиденциальности, а также автоматически просматривайте и определяйте, собирает ли приложение и встроенный SDK личную информацию, такую ​​как IMEI и MAC.

3. После определения политики конфиденциальности и нажатия на нее она автоматически проходит и определяет основные и фоновые этапы работы приложения, а также то, собирает ли приложение и встроенный SDK личную информацию, такую ​​как IMEI и MAC.

4. Проверьте, содержит ли политика конфиденциальности название собранной информации, например IMEI, MAC-адрес и т. д., и определите, указана ли информация, собранная приложением и интегрированным SDK, прямо в политике конфиденциальности.

Рекомендации по исправлению:

Приложение и встроенный SDK получают информацию до того, как пользователь «согласится» с политикой конфиденциальности, и находят конкретный код функции для восстановления. Рекомендуется добавить решение о выполнении вызова функции после того, как пользователь «согласится».

4. Приложение часто и чрезмерно запрашивает разрешения.

1. Когда приложение запускается в первый раз или когда пользователь регистрируется и входит в систему, оно запрашивает у пользователя телефон, адресную книгу, местоположение, текстовые сообщения, запись, камеру, хранилище, календарь и другие разрешения. После того, как пользователь отказывается. авторизации приложение завершает работу или закрывается (приложение попадает в цикл всплывающих окон, его нельзя использовать в обычном режиме) или невозможно нормально войти и зарегистрироваться.

2. Когда приложение запущено, пользователю не сообщается о назначении разрешений XXX, и пользователю запрашиваются разрешения, такие как адресная книга, позиционирование, текстовые сообщения, запись, камера, календарь и т. д., которые не используются. в текущем сценарии обслуживания. Если пользователь откажется от авторизации, приложение завершится или закроется. Связанные функции невозможно использовать в обычном режиме.

3. Когда приложение запускается или перезапускается, после того как пользователь явно отклоняет приложение для разрешений, таких как адресная книга, позиционирование, SMS, запись, камера/XXX и т. д., пользователю по-прежнему запрашиваются частые всплывающие окна. подать заявку на получение разрешений, не связанных с текущим сценарием обслуживания, влияющих на нормальную работу пользователя.

4. Когда приложение открывается в первый раз (или в другое время) и не обнаружено связанных с ним продуктов или услуг, соответствующих разрешениям на использование, пользователю заранее будет запрошено всплывающее окно для включения адресной книги/местоположения. /текстовые сообщения/запись/камера/XXX и другие разрешения.

Метод обнаружения

1. Проверьте, имеет ли приложение политику конфиденциальности.

2. Запустите приложение, автоматически пройдите по системе, чтобы отклонить все всплывающие окна для получения системных разрешений, определить, закроется ли приложение, и обнаружить повторяющиеся всплывающие окна приложения для подачи заявки на системные разрешения.

3. Найдите, содержит ли политика конфиденциальности ключевые слова разрешения, такие как номер телефона, местоположение, устройство хранения, категория связи и т. д.

4. Перезапустите приложение после завершения процесса и проверьте, появляется ли приложение повторно для подачи заявки на системные разрешения.

5. Запустите приложение и проверьте, применяет ли приложение системные разрешения пользователя, прежде чем пользователь нажмет «Согласен» в соглашении о политике конфиденциальности.

Рекомендации по исправлению:

Приложение запрашивает у пользователя (телефонные) разрешения. После того, как пользователь отказывается, приложение не может выйти или закрыться. Необходимо убедиться, что приложение может продолжать нормально работать.

5. Приложение часто запускается автоматически или связано с запуском

1. Приложение не разъяснило пользователю, что оно часто самозапускается или связанное с ним поведение при запуске без согласия пользователя и без разумных сценариев использования.

2. Хотя приложение четко заявило об этом пользователю и получило согласие пользователя, оно часто запускается автоматически или связано с запуском до того, как пользователь дает свое согласие.

3. Приложение не является необходимым для службы или не имеет разумных сценариев применения и часто запускается самостоятельно или связывается с запуском сторонних приложений, выходящих за рамки области применения.

Метод обнаружения

1. Проверьте, имеет ли приложение политику конфиденциальности.

2. Проверьте, содержит ли политика конфиденциальности автозапуск и связанные ключевые слова запуска.

3. Завершите процесс для имитации системного вещания и проверьте, происходит ли запуск активности и запуск службы в фоновом режиме приложения.

Рекомендации по исправлению:

Приложение существует (самозапускающееся). Найдите конкретный код функции для ремонта. Рекомендуется удалить соответствующий код функции самозапуска. Если приложение должно использовать возможность (автозапуска), четко укажите правила автоматического запуска в соглашении о политике конфиденциальности и перед выполнением получите согласие пользователя.

краткое содержание

«Спецификации безопасности личной информации в области технологий информационной безопасности» разъясняют нормы поведения контролеров личной информации при сборе, хранении, использовании, совместном использовании, передаче и раскрытии информации. Он также предоставляет шаблон написания политики конфиденциальности для улучшения политики защиты конфиденциальности для приложений. . Предоставить доказательства.

Конкретные методы обнаружения и оценки включают сбор информации о пользователе путем обнаружения и подтверждения того, вызывается ли указанная системная функция в коде приложения, а также синхронизацию подтверждения данных с помощью поведенческих данных и политик конфиденциальности во время работы.