App监管再加码,四部门联合印发《App违法违规收集使用个人信息行为认定方法》
作者:星期二, 一月 7, 20200

​12月30日,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合发布关于印发《App违法违规收集使用个人信息行为认定方法》的通知,《认定办法》落实了《网络安全法》等法律法规,提供了6大认定方面、31项具体认定方法,主要适用于界定App运营者违法违规收集使用个人信息的行为,为认定违法违规行为的评估和处置提供参考。

近年来,我国颁布多项法律法规,打击违法违规收取个人信息行为,并成立了App违法违规收集使用个人信息专项治理工作组,具体推动相关评估工作:表1.APP管理相关法律文件

 

人民在使用手机的时候常常陷入两难的选择:一方面生活和工作已经离不开APP,越来越多的行业开始使用个人手机进行移动办公,比如政府的移动审批,银行的移动信贷,能源企业的移动巡检,还有各行业最常见的企业移动邮箱等等;另一方面,这些业务中会涉及大量的业务信息,当个人手机上运行业务相关APP时,员工的移动办公不通过企业的网络,安全没有边界。APP强制授权、过度索权、超范围收集个人信息等现象大量存在,违法违规使用个人信息的问题十分突出。

 

 

指掌易从移动应用安全入手,为客户提供既能防止App滥用权限、又要做好敏感信息保护的移动端业务安全服务。

指掌易政企移动智能安全平台MBS

政企移动智能安全平台MBS以安全中台和业务中台为基础,为上层业务提供安全赋能与业务赋能,帮助政企客户建设统一管理、安全可控的移动业务平台。

隐私安全

移动应用安全基线是确保每一个应用合理调用系统权限。MBS将移动应用可能调用的操作系统权限根据安全级别进行分类,如定义为普通、危险、特殊等。当应用在工作空间后台发布时,管理后台可对应用读取的系统权限进行扫描,扫描结束后会显示扫描结果,管理员可根据扫描结果决定是否允许应用上架,如:应用调用了高危权限则不允许上架。

认证安全

平台基于零信任架构,将用户、设备、应用等进行身份化,多维度进行认证管理,零信任架构支撑下,任何不合法的用户、设备、应用均无法进入系统。

终端安全

平台支持对移动设备进行安全合规检测,检测应用所运行的设备环境是否安全,对于存在合规问题的设备,禁止应用运行,确保企业业务数据安全。

应用安全

平台对移动应用,包括原生应用、H5 应用、Hybrid应用进行统一管理,包括资源管理、发布管理、权限管理、版本更新、使用统计、安全策略、应用审计管理。其中安全策略基于指掌易VSA 沙箱技术,提供基于应用的数据安全管理,包括水印、截屏分享、复制黏贴、第三方调用、数据加密、数据隔离、数据销毁等。

传输安全

平台提供安全网关模块,支持应用级安全网关,实现应用与企业内网服务器的加密传输,基于安全传输通道,将企业应用服务器隐藏在企业内网,重新建立企业业务安全边界。

产品方案咨询,请拨打400 898 7798
附 录
App违法违规收集使用个人信息行为认定方法根据《关于开展App违法违规收集使用个人信息专项治理的公告》,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引,落实《网络安全法》等法律法规,制定本方法。 

一、以下行为可被认定为“未公开收集使用规则”

1.在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;

2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;

3.隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;

4.隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。

 二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”

1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;

2.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;

3.在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;

4.有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。

 三、以下行为可被认定为“未经用户同意收集使用个人信息”

1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;

2.用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;

3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;

4.以默认选择同意隐私政策等非明示方式征求用户同意;

5.未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;

6.利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;

7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;

8.未向用户提供撤回同意收集个人信息的途径、方式;

9.违反其所声明的收集使用规则,收集使用个人信息。

 四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”

1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;

2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;

3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;

4.收集个人信息的频度等超出业务功能实际需要;

5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;

6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。

五、以下行为可被认定为“未经同意向他人提供个人信息”

1.既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息;

2.既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息;

3.App接入第三方应用,未经用户同意,向第三方应用提供个人信息。

 六、以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”

1.未提供有效的更正、删除个人信息及注销用户账号功能;

2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件;

3.虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;

4.更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的;

5.未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章