APP 开发及运营网络安全管理

可能由于我司在同一个帐号的应用数量比较多(45 个),于 2019.12.03 应邀参加省公安厅举办的企业 APP 开发及运管网络安全座谈会,聆听省网安副队长介绍 APP 网络安全情况,越听越觉得我们不得不认真对待这个问题。



一、引言

随着移动互联网的快速发展和移动智能终端的广泛应用,移动智能终端个人信息在人们的社会、经济活动中的地位日益凸显,滥用个人信息的现象也随之出现,给社会秩序和个人切身利益带来了危害。但作为 WiFi、蓝牙的方案商,我们所开发的 APP 基本上不会出现涉政、涉黄情况,最有可能的是权限索权过度了。实话讲,在软二这地方,做这个 APP 企业有无数家,但 80% 以上的企业不会投入专门的人来做网络安全工作,除了平台运营的企业外。

二、网络安全管理

一案双查:针对网络乱象,公安机关已实行“一案双查”制度,即在对网络违法犯罪案件开展侦查调查工作时,同步启动对涉案网络服务提供者法定网络安全义务履行情况的监督检查。

2016年6月28日,国家互联网信息办公室(以下简称“网信办”)发布《移动互联网应用程序信息服务管理规定》(以下简称“《应用程序规定》”),将从2016年8月1日开始施行。《应用程序规定》是国内第一部专门针对移动互联网应用程序(以下简称“App”)进行监管的专项法规,旨在加强对通过App提供信息服务的管理,进一步明确信息服务App提供者和互联网应用商店(以下简称“App Store”)服务提供者的责任和义务。

中央网信办、工信部、公安部、市场监管总局等四部门今年年初决定,自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。
App的哪些行为属于违法违规收集个人信息呢?相关部门也将在近期给出明确界定。根据国家网信办官网消息,《App违法违规收集使用个人信息行为认定方法(征求意见稿)》自5月5日起公开征求社会意见。《App违法违规收集使用个人信息行为认定方法(征求意见稿)》(以下简称征求意见稿)当中明确,App违法违规收集使用个人信息共分为7种情形,包括:没有公开收集使用规则;没有明示收集使用个人信息的目的、方式和范围;未经同意收集使用个人信息;违反必要性原则收集与其提供的服务无关的个人信息;未经同意向他人提供个人信息;未按法律规定提供删除或更正个人信息功能;侵犯未成年人在网络空间合法权益。

2019年1月份,中共中央网络安全和信息化委员会办公室、工信部等四部委已开展“APP违法违规收集使用个人信息专项治理”工作。

2019年11月 中国工业和信息化部信息通信管理局4日召开整治工作启动会,开展信息通信领域APP(移动应用)侵害用户权益专项整治行动。此次专项整治行动面向 APP 服务提供者和 APP 分发服务提供者两类主体对象,重点整治违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等四个方面的八类突出问题。

APP运营企业等网络服务提供者不得出现以下5大类违法采集公民个人信息的情形:

  • 不得存在“未公开收集使用规则”的情形:在APP中没有隐私协议,或者隐私协议中没有收集使用个人信息规则的相关内容;在APP首次运行时未通过弹窗等明显方式提示用户阅读隐私政策;隐私协议难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。
  • 不得存在“未明示收集使用个人信息的目的、方式和范围”的情形:收集使用个人信息的目的、方式和范围发生变化时,未以适当方式通知用户(更新隐私协议未提醒用户阅读及授权);收集用户身份证号、银行账号、行踪轨迹等个人敏感信息,未同步说明目的;有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解等。
  • 不得存在“未经用户同意收集使用个人信息”的情形:征得用户同意前就开始收集个人信息,或打开可收集个人信息的权限;用户明确表示不同意后仍收集个人信息,或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;实际收集的个人信息或收集个人信息权限超出用户授权范围;以默认选择同意隐私协议等非明示方式征求用户同意;未经同意更改用户设置的收集个人信息权限(如APP更新时自动将用户设置的权限恢复到默认状态);以欺诈、诱骗等不正当方式误导用户同意收集个人信息或收集个人信息权限(如故意欺瞒、掩饰个人信息收集使用的真实目的);未向用户提供撤回同意收集个人信息的途径、方式;违反其所声明的收集使用规则,收集使用个人信息;未通过APP隐私协议方式,仅通过手机自带操作系统提示授权访问用户个人信息。
  • 不得存在“违反必要原则,手机与其提供的服务无关的个人信息”的情形:收集的个人信息类型或打开可收集个人信息的权限与现有业务功能无关;因用户不同意收集非必要个人信息,或打开非必要权限,拒绝提供业务功能;APP新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;收集个人信息的频度等超出业务功能实际需要;以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集其个人信息;要求用户一次性同意开启多个可收集个人信息的权限,用户不同意则无法使用。
  • 不得存在“非法获取公民个人信息”的情形:未经用户同意获取用户行踪轨迹信息、通信内容、征信信息、财产信息;未经用户同意获取用户住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息;其他符合法律法规规定非法获取公民个人信息行为。

三、完善措施

厦门大部分的互联网企业,都是有网监入驻的。所以涉黄涉政基本上就是可以做到几分钟通知到企业的。如果没有及时处理,后果是很严重。

  • 开源库的使用:随着开源库的流行,很多项目都引入的开源库,但大家只会关注功能,而没有去注意是否引入“涉x”的内容;
  • 权限说明:在第一次启动APP时,必须对所用到的所有权限做说明,并展示给用户,注意只是文字说明,并不是权限申请,若是权限申请,那每个权限还得单独提示一次;
  • 服务条款:APP开发者必须要有服务条款说明,涉及各方面的说明
  • 隐私协议:涉及用户注册及登录的 APP,必须提供隐私协议说明,个人数据的安全保护。

总之,APP 没有隐私政策、用户协议,属于违法违规行为;在 APP 安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政策,属于违法违规行为;进入 APP 主功能界面后,多于4次点击、滑动才能访问到隐私政策,也将算作违法违规行为。



  • 中央网络安全和信息化委员会办公室

  • 《中华人民共和国网络安全法》

  • 《APP违法违规采集个人信息判定细则及法律适用》

  • 《GB∕T 34978-2017 信息安全技术 移动智能终端个人信息保护技术要求》

  • 《GBT 35273-2017 信息安全技术 个人信息安全规范》

  • 《移动互联网应用程序(App)安全认证实施规则》