2020-12-08 13:14:0115582人阅读
一、 监管问题
1、网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》正式发布
SDK违法违规收集用户个人信息问题成为2020年个人信息保护监管的重点关注之一,针对这一问题信安标委于2020年11月27日正式发布《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》(简称为《SDK安全指引》)。《SDK安全指引》针对当前App使用SDK过程中存在的SDK自身安全漏洞、SDK恶意行为、SDK违法违规收集App用户的个人信息问题,结合当前移动互联网技术及应用现状,给出了App提供者、SDK提供者针对SDK安全问题的实践指引。
2、国家标准:《信息安全技术 个人信息安全影响评估指南》正式发布
2020年11月19日,国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第26号)上,GB/T39335-2020《信息安全技术个人信息安全影响评估指南》(简称为“《指南》”)国家标准正式发布。《指南》是《个人信息保护法(草案)》和《个人信息保护规范》标准落地的重要抓手,是我国个人信息安全保护标准体系的关键环节。它规定了个人信息安全影响评估的基本概念、框架、方法和流程,并提出了特定场景下进行评估的具体方法。适用于各类组织自行开展个人信息安全影响评估工作。同时为国家主管部门、第三方测评机构等开展个人信息安全监管、检查、评估等工作提供的指导和依据。
3、工信部及地方通管局App个人信息保护整治
(1)工信部通报下架60款侵害用户权益App
工信部于2020年10月26日向社会通报了131款侵害用户权益的App,后于2020年11月9日通报了其中未按照要求整改的60款App。此处下架App数量为工信部历次通报之最,可以看出工信部惩治力度进一步增强。
(2)广东通管局责令整改85款App,行政处罚3款App
广东通管局对 “红娘婚恋”等85款App运营者发出《违法违规App处置通知》责令限期改正并通知各应用商店督促整改,对问题突出的“捷停车”“驾考家园”“凯立德导航”3款App运营企业做出警告并罚款的行政处罚决定。被查处的App存在两方面问题,一是App及其后台服务器存在“明文存储密码”“反编译”“SQL注入”等数据安全隐患问题;二是违反用户个人信息保护规定,包括“未公开明示收集规则”“默认勾选同意隐私协议”“未列明所集成SDK及其采集信息”“为注销账号、删除个人信息设置障碍”“未经用户同意共享给第三方”等侵犯用户对其个人信息处理享有的知情权、决定权,以及违反最小必要原则超前、超需、超频索取权限或采集信息,甚至不给必需权限不让用等强迫行为。
(3)北京通管局约谈3家知名App企业,责令限期整改
北京通管局在抽测中发现闪送、瓜子二手车以及聚美优品移动APP等三家公司存在违规收集使用用户信息、强制授权等问题。11月16日,北京市通信管理局约谈了相关公司负责人,就三家公司移动APP存在的问题发出书面整改通知,责令限期整改。
4、App治理工作组通报35款存在个人信息收集使用问题的App
2020年11月13日,App治理工作组通报了35款存在个人信息收集使用问题的App,包括新浪微博、航旅纵横等知名App。App治理工作组要求相关App运营者在30日内向工作组反馈整改情况。通报涉及的问题包括:App明文上传用户账户、密码;申请打开权限或收集个人敏感信息时,未同步告知目的;频繁索权;未明示第三方SDK收集使用个人信息的目的、类型等。
二、风险问题
1、 未明示App收集使用个人信息的目的、方式和范围
(1)申请打开可收集个人信息的权限时,未通过自定义弹窗方式告知用户索权目的;
(2)未明示收集的用户学生证、用户详细地址、支付宝账号、社保账号、人脸特征等个人信息的目的、方式和范围。
2、 未经用户同意收集使用个人信息
未同意隐私政策前收集GET_TASK获取了应用程序、IP地址、MAC地址、IMEI、IMSI、Android ID等个人信息。
3、 未明示App嵌入的第三方SDK收集使用个人信息的目的、方式和范围
(1)未逐一列出嵌入的第三方SDK收集使用个人信息的使用目的和收集个人信息类型;
(2)App嵌入的第三方SDK收集使用个人信息的类型、目的和范围与隐私政策所述不一致。
三、 技术动态
1、史宾格全自动化检测和AI辅助检测能力紧跟监管需求,新增多项能力,支持最新的监管法规要求
(1)《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》
(2)《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)