安全419编辑部发现,近三年来,工信部不断开展App侵害用户权益专项整治行动,已有数百款APP遭到公开点名,甚至被责令下架,但时至今日,仍然有大量的APP因未完成整改而遭到工信部通报。
虽然当前APP“违规收集个人信息”、“违规使用个人信息”等问题已经成为了较为普遍的现象,但我们有理由相信,随着国家各部门对APP收集个人信息违法违规行为治理工作的深化,大多数被通报存在合规问题的企业和APP运营者绝非“知法犯法”,而是面对强监管政策无从下手,不知道如何开展自查自纠、整改不彻底等等。
针对这一现实问题,安全419计划推出《App隐私合规解决方案系列推荐》选题,以进一步发现行业内的优秀厂商,挖掘真正着眼用户痛点,能够解决用户真实合规需求的App隐私合规解决方案,为广大的用户提供有价值的参考。
虽然当前APP“违规收集个人信息”、“违规使用个人信息”等问题已经成为了较为普遍的现象,但我们有理由相信,随着国家各部门对APP收集个人信息违法违规行为治理工作的深化,大多数被通报存在合规问题的企业和APP运营者绝非“知法犯法”,而是面对强监管政策无从下手,不知道如何开展自查自纠、整改不彻底等等。
针对这一现实问题,安全419计划推出《App隐私合规解决方案系列推荐》选题,以进一步发现行业内的优秀厂商,挖掘真正着眼用户痛点,能够解决用户真实合规需求的App隐私合规解决方案,为广大的用户提供有价值的参考。
——安全419编辑部
安全419编辑部关注到,2022年2月18日,工信部发布了2022年首批《关于侵害用户权益行为的APP通报》名单,检测尚有107款APP未完成整改。同时,检测过程中发现,13款内嵌第三方软件开发工具包(SDK)存在违规收集用户设备信息的行为。
这是2021年11月1日《个人信息保护法》实施后,监管部门再度重拳整顿违规APP。
我们通过梳理通报名单发现,当前未完成整改的APP主要是资讯、视频、直播类软件,包括洋码头、好视通云会议、小米直播、龙珠直播、速8酒店、中公教育、爱卡汽车、婚礼纪等知名APP在列,问题重点集中在“强制用户使用定向推送功能”、“违规收集个人信息”、“超范围收集个人信息等”方面。
值得一提的是,工信部检测过程中发现,13款内嵌第三方软件开发工具包(SDK)存在违规收集用户设备信息的行为。这些内嵌第三方软件开发工具包(SDK)包括:网易七鱼SDK、穿山甲SDK、讯飞语音识别SDK、金立手机SDK、畅思广告SDK、百度定位SDK等。
满足合规监管要求已是时代必答题
2021年3月12日,国家网信办、工信部、公安部、国家市场监管总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,明确39类常见类型App的必要个人信息范围,并要求“App不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务”。2021年5月1日,《常见类型移动互联网应用程序必要个人信息范围规定》正式印发,加大对违法违规收集使用个人信息行为的调查处理力度。
我国个人信息保护法于2021年11月1日起施行,其中,对于个人信息的收集、使用、保存等提出了明确的规定,进一步彰显了党和国家在保障个人信息方面的态度和决心。实践中,App已成为侵犯公民个人信息的“重灾区”,近年来,国家相关部门也在不断加大针对侵犯个人信息行为的惩治力度。
随着国家法律的不断完善,逐渐趋严的监管政策,对APP的开发、运营者提出了更高的要求,保障旗下产品满足相应的法律、规范及标准已经是当前互联网大环境下的必答题。
第三方SDK引入亦需关注隐私合规风险
据了解,内嵌第三方软件开发工具包(SDK)是指应用开发人员在软件开发过程中使用的第三方成品开发工具,使用现成的开发工具可以提升软件开发效率,快速实现业务功能、降低开发成本、缩短开发周期、有效节约资源,具有广泛的应用场景和价值空间,与移动互联网产业高度共生。按照SDK功能划分,目前比较成熟的SDK有广告类、推送类、数据统计分析类、地图类、第三方登录类、支付类等等。
但SDK提供便利的同时,也面临的合规风险、安全风险问题。首先SDK本身因为更聚焦于功能实现,很容易因为存在代码缺陷导致安全问题,而这些安全问题会进一步传导至这些SDK的宿主APP侧,进而给用户带来安全风险。
此外,在个人信息合规风险方面,部分SDK也存在未经用户同意收集个人信息、超范围收集个人信息、未经授权使用个人信息,同时进一步的违规传输个人信息等违规问题。虽然很多第三方SDK会提供隐私政策,将SDK的个人信息收集行为进行公示,说明了SDK在收集个人信息时候的目的、类型等情况,但一方面,部分APP开发者对嵌入SDK的安全管理意识上存在不足;另一方面,从技术层面上来看,APP开发者也很难采取相应的技术手段对第三方SDK进行隐私合规检测,这也进一步增加了APP本身的不合规风险。
如何才能有效地管控SDK行为?或许答案是需要安全厂商们的技术加持,来帮助SDK开发者与APP开发者开展安全评估和排查,并对SDK的安全性进行动态监测。
系列选题发布预告
与企业一同寻找更具价值的解决方案
《App隐私合规解决方案系列推荐》系列选题将寻找业内优秀的移动安全服务厂商,详细调研相应的App隐私合规解决方案及产品,最终我们将邀请其中部分厂商来结合不同行业、不同业务类型的典型场景分享自身实践经验,并以系列选题文章形式予以展示、传播。
安全419编辑部正在积极沟通相关网络安全厂商开展调研,也欢迎更多新朋友自荐,向我们展示和分享自家的解决方案和成果。本系列选题将于2022年3月初开始发布,敬请关注。