前言
本文根据7月28日中国人寿研发中心客户服务大产品团队的客户端架构师夏冰在绿盟月度直播技术活动分享的《中国人寿寿险APP合规之路经验分享》主题演讲整理而成。
一、概述
1.背景
2019年9月27日,中国人民银行下发《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理通知》(银发[2019]237号),237号文面向金融机构提出了3点工作要求:提升安全防护能力、加强个人金融信息保护、提高风险监测能力。237号文包含附件《移动金融客户端应用软件安全管理规范》(JR/T 0092-2019),0092规范对金融客户端的身份认证安全、逻辑安全、安全功能设计、密码算法及密钥管理、数据安全、设计要求、开发要求、发布要求、维护要求等方面做出了明确规定,成为金融行业长期有效的一个参考标准。
人民银行安排互金协会、认证机构、检测机构等启动备案、认证、检测工作,并持续监测移动金融客户端合规情况,并且明确进行金融客户产品认证与备案的技术基础是需要满足0092规范的要求。
自2019年起,监管形势日趋严格,包括网信办、公安部、工信部等部门对多款APP的个人信息安全问题进行了监管通报。被通报的APP涉及金融行业在内的所有行业。对于不符合要求的APP,若安全合规问题未及时处理,则存在通报甚至下架的风险。
2.移动APP违规处置流程
《移动互联网应用程序个人信息保护管理暂行规定》明确了发现从事个人信息处理活动的相关主体违反本规定的,监督管理部门可依据各自职责采取以下处置措施:
(一)责令整改与社会公告。对检测发现问题APP的开发运营者、APP分发平台、第三方服务提供者及相关主体提出整改,要求5个工作日内进行整改及时消除隐患;未完成整改的,向社会公告。
(二)下架处置。对社会公告5个工作日后,仍拒绝整改或者整改后仍存在问题的,可要求相关主体进行下架处置;对反复出现问题、采取技术对抗等违规情节严重的,将对其进行直接下架;被下架的APP在40个工作日内不得通过任何渠道再次上架。
(三)断开接入。下架后仍未按要求完成整改的,将对其采取断开接入等必要措施。
(四)恢复上架。被下架的APP完成整改,并完善技术和管理机制及作出企业自律承诺后,可向作出下架要求的监督管理部门申请恢复上架。
(五)恢复接入。被断开网络接入的APP完成整改后,可向作出断开接入要求的监督管理部门申请恢复接入。
(六)信用管理。对相应违规主体,可纳入信用管理,实施联合惩戒。
3.部分合规机构的重点检测范围
部分合规机构的重点检测范围包括系统安全、交易安全、个人信息收集使用检测等方面。其中系统安全包括身份认证要求、逻辑安全、安全功能设计、密钥算法及密钥管理、数据安全等。交易安全主要是交易验证与确认、交易风险控制、交易过程安全以及风险识别干预等。个人信息收集使用检测包括未公开收集使用规则、未明示收集使用个人信息的目的、方式和范围、未经用户同意收集使用个人信息、违反必要原则,收集与服务无关的信息等。本文将对个人信息收集使用与检测内容进行重点分享。
4.寿险APP已完成的相关审核
APP违法违规收集使用个人信息自评估指南;
工业和信息化部关于开展纵深推进APP侵害户权益专项整治行动的通知工信部164号文;
《APP违法违规收集使用个人信息行为认定方法_工信部191号文》等。
5.寿险APP开展认证的成果与收获
2021年寿险APP通过了金融科技产品认证并完成备案,目前已经过一次监督审查;
2021年寿险APP通过了软件绿色联盟绿标认证;
2022年寿险APP通过APP安全认证,成为保险行业首款获国家级安全认证程序。
二、经验分享
- 第三方SDK及隐私协议修改
隐私协议是APP合规最基础的一环,接下来介绍第三方SDK描述及隐私协议修改等内容。隐私协议中关于使用第三方SDK的描述,一般包括设备、公司名称、用途、收集的权限种类、获取方式等,可在公司名称处添加引用链接或者引用其全部内容作为附录。禁止SDK在同意隐私政策前初始化,即启动APP时,在用户点击同意隐私协议之前禁止网络请求和权限申请。对于隐私协议的修改,建议对隐私协议添加动态可改机制,同意隐私协议后,增加动态下发配置,防止隐私协议出现漏洞的情况。隐私协议修改后,需用户再次确认同意。保留全版本强制更新功能,若存在隐私协议不可修改的情况,强制更新是一个简单高效的保底方案。
2.动态权限的申请方式
开发者们需要注意权限的申请方式,防止出现未说明原因的动态权限申请。之前,设置申请权限的方式是简单粗暴直接去申请用户某一权限,如录音权限、拍摄权限等。而现阶段是禁止的,假设在申请录音权限时,首先需要将所有的功能都罗列清楚,不可遗漏。如在 AAA功能、BBB功能、CCC功能中使用录音权限,同时为您提供语音导航功能、语音转文字服务。当用户点击“允许”之后,再设置弹出权限申请框。根据现阶段的经验而言,通过的检测审核是按照上述方式去要求的。
在用户非主动触发权限的前提下,一旦用户点击“不允许”,拒绝了某一个功能,建议设定48小时后再提示。此处的48小时建议做成动态配置。若用户主动触发,可再次显示申请的弹框。此处的允许与不允许,颜色与字体大小要相同,禁止具有倾向性引导。
3.针对三方SDK越权的处理
针对已被发现存在非自有代码申请权限(存在越权行为),即第三方SDK内部的实现机制可能存在越权的行为。处理方式也比较简单,首先是全局搜索,或者在Manifest中查看,定位是哪个SDK在使用。定位完成之后,判断当前的这个权限在这个SDK里面使用是否是合理且必须。若合理且必须,则需要写一个完整的申诉申请,向监管机构去申明使用原因、使用结果。被监管机构检测到越权行为的问题,大部分原因是因为隐私协议里缺少这部分内容的说明。若不必须,则需要找到对应的SDK提供方进行修改。如果我们使用的是开源、公共SDK,在不影响功能的前提下,可以考虑直接移除权限。
4.个人信息在具体功能界面的明示方式
《信息安全技术-个人信息安全规范》(GB/T 35273-2020)规定个人信息主体应告知用户收集的个人信息的目的、方式、范围等规则。处理方式可以参考设置“温馨提示”,明确告知用户使用的个人信息及使用目的。在需要用户填写的个人信息页面,比如需要填户名、开户银行、银行卡号、证件类型、证件号码等。在“温馨提示”里需要非常明确告知用户,在功能相关页面会采集您的银行卡号、证件号码、手机号。上述信息会被妥善保护,并仅用于办理银联认证功能使用,该功能仅用于确认您的真实身份。也可以通过弹窗的方式去设置。
工信部191号文《APP违法违规收集使用个人信息行为认定方法》中规定APP解除绑定、取消授权的入口设置应便于用户操作,不应通过隐蔽入口、操作繁琐等方式影响用户权利的实现。
5.当前团队整理了一套从合规检测到发布的流程
经过多轮的合规整改,中国人寿寿险APP形成了一套从开发到上线的合规自检规范,建议应用开发者们可参考按照“向技术人员宣导-代码审查-静态代码扫描-组件扫描-合规工具检测-应用完整性校验-提交至应用商店”的思路进行实践,希望对走在安全合规之路的开发者们带来帮助。
向技术人员宣导:强调合规的重要性,在开发过程中主动思考是否有合规事宜
代码审查:代码审核过程中重点关注是否存在安全合规问题
静态代码扫描:通过静态代码扫描监控是否存在安全合规问题
组件扫描:监控新增组件是否存在安全合规问题
合规工具检测:使用安全合规专业工具进行检测,防止出现合规问题
部署:应用完整性校验
以上就是《中国人寿寿险APP合规之路经验分享》的全部内容,后续绿盟还会举办月度技术活动,敬请期待!
120
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
