新闻动态_- 荃润信息



《工业和信息化部 337号令》解读

作者:荃润信息新闻动态 发布时间:2019-11-08浏览次数:

近期,App违规收集个人信息、过度索权、频繁骚扰用户等侵害用户权益问题突出。按照2019年信息通信行业行风建设暨纠风工作安排,工业和信息化部即日起开展信息通信领域App侵害用户权益专项整治行动。

此次专项整治行动面向App服务提供者和App分发服务提供者两类主体对象,重点整治违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等四个方面的8类突出问题。整治工作分为企业自查自纠、监督检查和结果处置三个阶段,时间为2个月。

开展App专项整治,是工业和信息化部贯彻以人民为中心的发展思想,聚焦解决信息通信领域人民群众反映强烈问题的积极作为;是对前期四部委开展App违法违规收集使用个人信息专项治理行动成果的巩固和深化;是创新监管方式,推动形成政府管理、社会协同、公众参与、媒体监督、行业自律、科技支撑综合监管体系的有益尝试。

本次检查四大要求

依据《网络安全法》、《电信条例》、《规范互联网信息服务市场秩序若干规定》(工业和信息化部令第20号)、《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)和《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管〔2016〕407号)等法律法规和规范性文件要求,聚焦人民群众反映强烈和社会高度关注的侵犯用户权益行为,重点对以下四个方面开展规范整治工作。

(一)违规收集用户个人信息方面

(二)违规使用用户个人信息方面

(三)不合理索取用户权限方面

(四)为用户账号注销设置障碍方面

检查内容划重点!

本次工信部337号令,标志着我国对App违法违规使用个人信息保护的监管,进一步走入深水区。之前无论是一些区域性的网信、网安、市场监督等部门的对口检查,还是工信部的净网2019行动,主要覆盖的都是有无隐私政策、隐私政策是否合理以及应用申请和使用权限过多三大方面。有一部分不良企业,利用检查规则的漏洞,采用剽窃、编造隐私政策的方式来逃避检查,造成了不好的影响。

另外,本次通知偏重于对App违规行为的实际检测,以及行为和隐私政策的匹配。如何正确理解标准和要求,有效的利用安全工具进行实际的自查,成为了企业的难点。目前梆梆安全为签约客户做了一些自查工作,总结了一些企业自查注意事项,供相关企业和单位参考。

(一) 检查是否有独立的隐私政策,且是否在初次启动、注册和登陆环节有弹窗提示。注意:本次检查对初次启动的提示要求严格。

(二) 检查在用户同意隐私政策之前,是否存在App应用组件或者第三方SDK私自收集个人信息的情况。

(三) 检查隐私政策声明是否符合GB35273和自评估指南的要求。

(四) 重点排查移动应用对READ_PHONE_STATE这个权限的申请和使用情况。

(五) 检查移动应用是否具有用户账号注销功能,注意要正确理解注销的含义,即:删除账号以及账号关联的个人信息。

(六) 重要!一定要排查App的软件成分,即包含开源组件和第三方SDK的情况,以及各个SDK使用权限的情况。

(七) 检查收集的隐私权限是否超出《移动互联网应用程序(App)收集个人信息基本规范》所列范围。

另外,荃润信息也为您奉上此次检查的逐条说明和检查步骤建议:

 一) 私自收集个人信息:即App未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前收集用户个人信息。

#

检查要求
检查步骤

1.1

App运行时,缺乏向用户明示且征求用户同意的环节,收集IMEI、设备MAC地址、软件安装列表、通讯录、短信等个人信息
1、检查是否有隐私政策
2、在不同意隐私政策的情况下,利用安全移动应用合规平台查看是否有个人数据收集的行为
3、检查隐私政策中是否明确告知目的、方式和范围

1.2

App运行时,虽然有向用户明示并经用户同意环节,但个人信息收集发生在用户同意前。

二) 超范围收集个人信息:即App收集个人信息,非服务所必需或无合理应用场景,超范围或超频次收集个人信息。

#

检查要求
检查步骤

2.1

App收集个人信息,非服务所必需或无合理应用场景,超范围收集个人信息,如过度收集用户通讯录、短信、通话记录等
1、利用安全移动应用合规平台检查收集的隐私权限是否超出国家规定范围
2、利用安全移动应用合规平台检查收集信息的频率

2.2

App收集个人信息,非服务所必需或无合理应用场景,超频次收集个人信息,如按照一定频次收集位置信息、IMEI或频繁读取通讯录、短信、图片等

2.3

App收集身份证号、人脸、指纹等个人信息时,非服务所必需或无合理场景,如将收集身份证号、人脸、指纹等作为应用开启使用的前提条件,或通过积分、奖励等方式诱导用户,收集身份证号、人脸、指纹等个人信息。
人工检查

三)私自共享给第三方:即App未经用户同意与其他应用共享、使用用户个人信息,如设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等。

#

检查要求
检查步骤

3.1

App未向用户告知且未经用户同意前,将设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等个人信息直接发送给第三方SDK或第三方服务器。
1、检查隐私政策中是否有共享给第三方的条款、以及第三方SDK的使用说明
2、通过安全移动应用合规平台检查SDK成分和SDK使用权限
3、检查第三方SDK和外部URL收集和传输个人信息的情况

3.2

App未向用户告知且未经用户同意,将设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等共享给第三方,用户的商品浏览记录、搜索使用习惯等出现在第三方App。
人工检查

四)强制用户使用定向推送功能:即App未向用户告知,或未以显著方式标示,将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或精准营销,且未提供关闭该功能的选项。

#

检查要求

检查步骤

4.1

App的定向推送功能未向用户告知,将收集的用户个人信息用于定向推送、精准营销。

检查隐私政策中是否含有推送功能、该功能收集和使用信息的描述

4.2

App的定向推送功能未以显著形式标示。

人工检查,检查是否在功能选项中有推送功能说明或按钮

4.3

App的定向推送功能未对用户提供关闭此功能的选项。

五)不给权限不让用:即App安装和运行时,向用户索取与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭。

#

检查要求

检查步骤

5.1

App首次启动时,向用户索取电话、通讯录、定位、短信、录音、相机、存储、日历等权限,用户拒绝授权后,应用退出或关闭。

人工检查

5.2

App运行时,向用户索取与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭。

六)频繁申请权限:即App在用户明确拒绝权限申请后,频繁申请开启通讯录、定位、短信、录音、相机等与当前服务场景无关的权限,骚扰用户。

#

检查要求

检查步骤

6.1

App在运行期间,用户明确拒绝权限申请后,仍向用户频繁弹窗申请开启与当前服务场景无关的通讯录、定位、短信、录音、相机等权限。

1、利用安全移动应用合规平台检查拒绝权限后是否还有持续申请权限的情况
2、人工复查

  七)过度索取权限:即App在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限,或超出其业务功能或服务外,申请通讯录、定位、短信、录音、相机等权限。

#

检查要求

检查步骤

7.1

App在用户未使用权限对应的相关功能或服务时,提前向用户弹窗申请开启通讯录、定位、短信、录音、相机等权限

1、检查隐私政策中是否针对功能有明确的权限使用、个人信息收集的提示
2、人工检查

7.2

App未提供相关业务功能或服务,仍申请通讯录、定位、短信、录音、相机等权限。

1、利用安全移动应用合规平台检查收集的隐私权限是否超出国家规定范围

2、利用安全移动应用合规平台检查收集信息的频率

八)账号注销难:即App未向用户提供账号注销服务,或为注销服务设置不合理的障碍。

#

检查要求

检查步骤

8.1

App未向用户提供账号注销服务

1、检查隐私政策中是否有提供删除用户信息的途径描述
2、人工检查是否具有注销功能
3、研发核查是否提供了注销后删除信息的流程和机制

8.2

App为账号注销服务设置不合理的障碍

此次检查要求的出台,将进一步规范我国互联网安全使用个人信息的生态,这对提升我国个人信息保护水平,维护国家安全形象意义重大。荃润信息作为国内优秀的等保测评咨询机构,必将不遗余力帮助我们的用户做好本次评估工作。

谢谢大家的阅读观看,我们将为大家带来更多精彩纷呈的资讯信息,欢迎大家关注荃润信息微信公众号阅读更多相关专业信息。

 
  • 服务热线400 996 5989
    • 全方位的了解服务
    • 精准的服务推荐
    • 1对1贴心服务
    • 7*24小时服务热线
  • 联系我们了解更多