环境背景及合规内容
“移动互联网”的形势下,个人隐私信息泄露所引发的事件越来越多,大众对隐私安全的重视程度越来越高;国家网信办、工信部、公安部、市场监管局等四部委及其他相关机构陆续出台个人信息保护规范和细则,并落地实施。
-----时间轴线
-
2017年6月施行:全国人大常委会《中华人民共和国网络安全法》
-
2018年5月施行:国家标准《GB/T 35273-2017信息安全技术个人信息安全规范》
-
2019年1月公告:四部委《关于开展App违法违规收集使用个人信息专项治理的公告》
-
2019年11月发布:四部委《App违法违规收集使用个人信息行为认定方法》
-
2020年开始对各大安卓市场的App进行通报工作,涉及各种类型的App。
-
2020年7月公告:工信部《关于开展纵深推进APP侵害用户权益专项整治行动的通知》
-
2020年7月实践指引:国家标准《移动互联网应用程序(App)收集使用个人信息自评估指南》
-
2020年7月实践指引:国家标准《移动互联网应用程序(App)系统权限申请使用指引》
-
2020年7月公告:四部委《App违法违规收集使用个人信息治理工作启动会在京召开》
一是制定发布SDK、手机操作系统个人信息安全评估要点,对用户规模大App、SDK、小程序等进行深度评估。 二是针对面部特征等生物特征信息收集使用不规范,App后台自启动、关联启动、私自调用权限上传个人信息,录音、拍照等敏感权限滥用开展专题研究和深度检测。 三是对违法违规收集使用个人信息行为加大发现力度、曝光力度、处罚力度。根据情节、后果严重程度,依法依规予以约谈、警告、下架、罚款等处罚。 |
-
2020年10月施行:国家标准《GB/T 35273-2020信息安全技术个人信息安全规范》
-
2021年3月公告:《常见类型移动互联网应用程序必要个人信息范围规定》
(二十四)手机银行类,基本功能服务为“通过手机等移动智能终端设备进行银行账户管理、信息查询、转账汇款等服务”,必要个人信息包括: 1.注册用户移动电话号码; 2.用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码; 3.转账时需提供收款人姓名、银行卡号码、开户银行信息。 |
-
2021年11月施行:全国人大常委会《中华人民共和国个人信息保护法》
不得过度收集个人信息 不得非法买卖、提供或者公开他人个人信息 不得进行“大数据杀熟” 在公共场所安装图形采集等设备应设置显著提示标识 通过自动化决策方式向个人进行信息推送、商业营销,应提供不针对其个人特征的选项或提供便捷的拒绝方式; 处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息,应取得个人的单独同意; 对违法处理个人信息的应用程序,责令暂停或者终止提供服务。 |
合规检测难点
监管要求和细则频出,研发部门应接不暇,对不同法规中相互重合或者冲突的细则条款,没有非常权威的解读和判定标准。比如金融领域因风控采集的个人隐私信息,如何判定是否超出必要范围。
各个公司内部存在众多 App 项目组,专业化安全渗透及合规检测以及问题整改的能力差异较大,无法及时合规的应对监管。
App 集成的地图定位类、支付类、埋点统计类、生物特征识别类等第三方 SDK 存在个人信息过度索权、泄露和滥用风险。这部分程序包不可控,整改难度大。
个人隐私信息包含: 1.移动设备有关的信息:手机定位、通话记录、通讯录联系人、相册、拍照、录音、录屏、麦克风、App列表、手机信息(IMEI/IMSI/型号分辨率)。权限明显申请、最小化原则、用途明示、不给可用、隐私政策全部一一列出,且对应真实用途; 2.用户个人隐私信息:手机号、身份证号、银行卡号、住址、人脸、面部、声音;收集时明示用途、加密传输; 3.服务器信息:加密保存、转让明示、过期处理; |
自从2020年开始,新闻上断断续续出现了各种各样、各种类型的APP被各个监管机构通报被下架或者限期整改的消息。其中通报单位不止有国家网信办、工信部、公安部、市场监管局等四部委,还有各个省份通信管理局、App专项治理工作组、中国消费者协会、 中国互联网金融协会等部门及行业协会,诸多的监管机构,有着不同对政策文件的解读,同时也有不同的第三方厂商的检测方式,甚至有时候他们的通报消息好像并不同步和互通,鉴于此,作为运营者就必须好好把握文件内容,这样被通告了整改起来还能有思路或者有申诉的机会。下面列举一些极易忽略而被通报的不合规特征:
覆盖七大原则,即权责一致、目的明确、选择同意、最小必要、公开透明、确保安全、主体参与。覆盖个人信息生命周期,即隐私协议与授权交互、采集、传输、存储、使用、销毁。并做到持续保鲜, 快速的检索和多任务的复用。
张伟龙,公众号:金科优源汇i技术好文 │ 金融级 App 安全合规实施管理探索与实践
个人隐私信息合规检测方式
1.人工合规监测。要点:
a) 查看隐私文本;
b) 查看权限列表。索取权限时是否明示;
c) 遍历手机业务,收集信息时是否说明用途
d) 抓包查看是否加对敏感信息进行加密
2.工具检测。主要是针对敏感API进行监控。行为检测。要点:
通过hook的手段,比如安卓上的Xposed插件、安卓和iOS通用的frida框架等,来检测系统的敏感函数是否被调用,比如是否调用定位、是否调用拍照、相册、是否调用获取联系人的函数等。建议将所有的SDK后置在用户同意隐私信息政策之前,将隐私信息政策放在App首次启动的第一个静态页面,且请求隐私政策的Url是个get,不要任何无关参数。(在这个地方被通告是目前最低价)目前各个监管机构主要面对是按AndroidApp的检测,不过iOS App的通告案例也是有的,包括小程序、SDK目前也被纳入了监管范围之内。
3.移动App个人隐私合规检测系统。
也就是现在很多移动安全厂商推出的自动化检测App隐私合规的系统工具,一般是B/S架构,有些需要在外部挂一个测试机的那种。这个不好说效果怎么样,跟检测规则、全面性、人工参与度有非常大的关系。
最后,推荐给大家一款比较完善的
“基于Frida的Android App隐私合规检测辅助工具”
在本公众号回复 隐私检测
系统会自动回复你Github开源地址
****以上浅析仅为个人见解,不妥之处还望见谅,也欢迎留言讨论..
掌玩小子
往期推荐:
爬取 58 同城房产数据,犯非法获取计算机信息系统数据罪:3 人被判
Fiddler抓包精品插件 |借助FreeHttp任意篡改Http报文使用教程
值得收藏 |解决99%的手机APP抓包问题 涵盖安卓/iOS客户端
使用爱思助手对iPA包签名详细教程 无需企业签名 |末尾附带福利下载
欢迎关注微信公众号:『掌玩小子』讨论更多技术: