2023 年 1 月 11 日,由软件绿色联盟主办的月度技术活动在线上成功举办。本次直播以 “绿标安全标准评测 FAQ” 为主题,特邀了绿盟技术与标准组副组长闫诗文,围绕《绿标安全隐私评测常见问题 FAQ 汇总》议题进行了总结和分享。对于线上观众提出的疑惑,专家也一一进行细致解答。接下来让我们一起回顾本次直播活动的精彩内容。
一、《绿标安全隐私评测常见问题 FAQ 汇总》
直播开始,绿盟技术与标准组副组长闫诗文首先回顾了 2022 年度 Top1000 应用绿标评测进展,讲到稳定性、性能、兼容性、功耗标准达标率整体表现较好,而安全隐私评测是制约应用打绿标的主要因素。 随后,对绿标安全隐私评测中开发者常见的 25 个典型问题及解决方案进行了详细介绍。如不给权限无法注册登录(金融理财 - 股票基金类 APP 存在不给设备信息权限无法注册登录的行为)、过度申请权限(索要位置权限、存储权限、android.permission.CALL_PHONE 权限的不合理场景)、违规收集个人信息(隐私政策中,APP 本身或内嵌三方 SDK 不当获取 IMSI、GPS 定位信息等数据的问题案例)等。
二、精选互动
1. 不给权限无法注册登录类
问:金融理财 - 股票基金类 APP:用户同意隐私政策后,应用存在不给设备信息权限无法注册登录,这种情况是否可以?
答:所有应用都应遵循 “用户注册登录时,用户拒绝授予权限不应无法正常注册或登录” 的规则。
可参考:
①绿标 5.1 安全标准相关要求 4.5.3 应用运行时安全要求 4.5.3.2 权限:4. 用户拒绝授予某个权限时,与此权限无关的其他业务功能必须保证能正常使用,包括应用可以正常注册或登录。 ②T/TAF 078.4-2021 《APP 用户权益保护测评规范 - 权限索取行为》相关要求 5.1 不给权限 APP 退出或关闭 APP 运行时,向用户索取电话、通讯录、定位、短信、录音、相机、存储、日历等权限,用户拒绝授权后,APP 不应退出或关闭,不应拒绝注册或登录,或拒绝提供与申请权限无关的功能服务。
2. 过度申请权限类
问:某应用首次启动,点击隐私政策同意选项后,就弹窗索要位置权限和存储权限,这种情况是否属于过度申请权限?
答:应用核心功能首次启动即申请权限,可以;非核心功能需要到业务相关场景动态弹框申请权限,不可以启动即申请权限。关于核心功能认定需要谨慎,要求功能对应模块辨识度高,如新闻类 app 仅是新闻推荐、天气显示等启动即索要定位权限,认定不合理。
可参考:
绿标 5.1 安全标准相关要求 4.5.3 应用运行时安全要求 4.5.3.2 权限: 应用权限需要满足以下要求: 2. 应用,含引用的第三方 SDK,权限申请必须遵循最小化原则,只申请业务功能所必要的权限,禁止申请不必要的权限。 3. 敏感权限需要在用户使用对应业务功能时动态申请。
3. 违规收集个人信息类
问:应用隐私政策的三方 SDK 列表中,只罗列了涉及到的 SDK 的隐私声明链接,并没有详细写明获取的信息,这种情况可以允许吗?
答:APP 应以个人信息处理规则弹窗等形式,清晰的向用户明示第三方 SDK 处理个人信息的目的、方式和范围。
可参考:
绿标 5.1 安全标准相关要求 4.5.3 应用运行时安全要求 4.5.3.1 应用的隐私保护要求 1. 通知: 隐私声明中须说明:・业务功能及每个业务功能收集的数据类型和用途;・引用的第三方 SDK,SDK 的功能和收集的数据类型和用途。
7975
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
