近期，App违规收集个人信息、过度索权、频繁骚扰用户等侵害用户权益问题突出。按照2019年信息通信行业行风建设暨纠风工作安排，工业和信息化部即日起开展信息通信领域App侵害用户权益专项整治行动。

此次专项整治行动面向App服务提供者和App分发服务提供者两类主体对象，重点整治违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等四个方面的8类突出问题。整治工作分为企业自查自纠、监督检查和结果处置三个阶段，时间为2个月。

开展App专项整治，是工业和信息化部贯彻以人民为中心的发展思想，聚焦解决信息通信领域人民群众反映强烈问题的积极作为；是对前期四部委开展App违法违规收集使用个人信息专项治理行动成果的巩固和深化；是创新监管方式，推动形成政府管理、社会协同、公众参与、媒体监督、行业自律、科技支撑综合监管体系的有益尝试。

本次检查四大要求

依据《网络安全法》、《电信条例》、《规范互联网信息服务市场秩序若干规定》（工业和信息化部令第20号）、《电信和互联网用户个人信息保护规定》（工业和信息化部令第24号）和《移动智能终端应用软件预置和分发管理暂行规定》（工信部信管〔2016〕407号）等法律法规和规范性文件要求，聚焦人民群众反映强烈和社会高度关注的侵犯用户权益行为，重点对以下四个方面开展规范整治工作。

（一）违规收集用户个人信息方面
（二）违规使用用户个人信息方面
（三）不合理索取用户权限方面

（四）为用户账号注销设置障碍方面

检查内容划重点！

本次工信部337号令，标志着我国对App违法违规使用个人信息保护的监管，进一步走入深水区。之前无论是一些区域性的网信、网安、市场监督等部门的对口检查，还是工信部的净网2019行动，主要覆盖的都是有无隐私政策、隐私政策是否合理以及应用申请和使用权限过多三大方面。有一部分不良企业，利用检查规则的漏洞，采用剽窃、编造隐私政策的方式来逃避检查，造成了不好的影响。

另外，本次通知偏重于对App违规行为的实际检测，以及行为和隐私政策的匹配。如何正确理解标准和要求，有效的利用安全工具进行实际的自查，成为了企业的难点。目前梆梆安全为签约客户做了一些自查工作，总结了一些企业自查注意事项，供相关企业和单位参考。

（一）检查是否有独立的隐私政策，且是否在初次启动、注册和登陆环节有弹窗提示。注意：本次检查对初次启动的提示要求严格。
（二）检查在用户同意隐私政策之前，是否存在App应用组件或者第三方SDK私自收集个人信息的情况。
（三）检查隐私政策声明是否符合GB35273和自评估指南的要求。
（四）重点排查移动应用对READ_PHONE_STATE这个权限的申请和使用情况。
（五）检查移动应用是否具有用户账号注销功能，注意要正确理解注销的含义，即：删除账号以及账号关联的个人信息。
（六）重要！一定要排查App的软件成分，即包含开源组件和第三方SDK的情况，以及各个SDK使用权限的情况。

（七）检查收集的隐私权限是否超出《移动互联网应用程序（App）收集个人信息基本规范》所列范围。

另外，梆梆安全也为您奉上此次检查的逐条说明和检查步骤建议

一）私自收集个人信息：即App未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前收集用户个人信息。

二）超范围收集个人信息:即App收集个人信息，非服务所必需或无合理应用场景，超范围或超频次收集个人信息。

三）私自共享给第三方：即App未经用户同意与其他应用共享、使用用户个人信息，如设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等。

​四）强制用户使用定向推送功能：即App未向用户告知，或未以显著方式标示，将收集到的用户搜索、浏览记录、使用习惯等个人信息，用于定向推送或精准营销，且未提供关闭该功能的选项。

五）不给权限不让用：即App安装和运行时，向用户索取与当前服务场景无关的权限，用户拒绝授权后，应用退出或关闭。

六）频繁申请权限：即App在用户明确拒绝权限申请后，频繁申请开启通讯录、定位、短信、录音、相机等与当前服务场景无关的权限，骚扰用户。

七）过度索取权限：即App在用户未使用相关功能或服务时，提前申请开启通讯录、定位、短信、录音、相机等权限，或超出其业务功能或服务外，申请通讯录、定位、短信、录音、相机等权限。

八）账号注销难：即App未向用户提供账号注销服务，或为注销服务设置不合理的障碍。

此次检查要求的出台，将进一步规范我国互联网安全使用个人信息的生态，这对提升我国个人信息保护水平，维护国家安全形象意义重大。梆梆安全作为国内顶尖移动安全服务商，必将不遗余力帮助我们的用户做好本次评估工作。