App合规监管日趋严格,合规问题依旧普遍

依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,按照工业和信息化部《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)等工作部署,11月多个地方通报应用总共132款,具体的分布如下:

1.近期通报概述

1)11月22日,复旦大学大数据研究院大数据内生安全研究所与网络与数字安全保险研究所联合发布了《保险App用户隐私与个人信息保护的若干隐患》报告,52款保险App评测结果出炉:用户隐私存在诸多不足,寿险公司暴露更多隐私保护问题。

2)11月23日,广东省通信管理局公开通报48款未按要求完成整改APP,下架11款侵害用户权益APP。

3)11月22日,湖北省通信管理局通报22款侵害用户权益行为APP。

4)11月23日,海南省互联网信息办公室通报23款违法违规收集使用个人信息的小程序。

5)11月24日,北京市通信管理局通报22款侵害用户权益和安全隐患等问题的App。

6)11月30日,四川省和重庆市通信管理局联合通报17款侵害用户权益的APP。

2.重点问题分布

多个地方通报的共性问题主要集中在隐私保护部分,主要包括:违法收集/使用个人信息,未明示收集个人信息的目的、方式、范围,未经用户同意收集使用个人信息,App频繁自启动和关联启动等。

1)保险公司App触犯的用户主要隐私保护问题有:

①App频繁使用剪切板

②App在获取用户同意前收集设备及环境信息

③App申请权限未说明原因或未在必要场景下

④App隐私政策文本对关键信息表述不清晰等。

2)广东省通信管理局下架App所设问题集中在:

①违规收集个人信息

②违规使用个人信息

③App频繁自启动和关联启动

④强制用户使用定向推送功能等四类。

3)湖北省通信管理局通报App所涉问题集中在:

①未明示收集使用个人信息的目的、方式和范围

②未经用户同意收集使用个人信息

③未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息三类。

4)海南省互联网信息办公室通报小程序所涉问题集中在:

①小程序首次运行未经用户阅读并同意隐私政策申请获取位置权限

②小程序登录页面在征求用户同意环节,以默认方式同意隐私政策

③以隐私政策弹窗的形式可用户明示小程序收集使用规则,未经用户同意存在收集设备信息和剪切板的行为

④未见向用户明示小程序收集使用个人信息的目的、方式和范围,未经用户同意存在收集设备信息和位置信息的行为

⑤小程序隐私政策存在“为您推荐、展示您可能感兴趣的内容”等内容,明示存在定向推送功能,但未见提供退出或关闭个性化展示模式的选项等五类。

5)北京市通信管理局通报App所涉问题集中在:

①未明示收集使用个人信息的目的、方式和范围

②应用数据任意备份风险

③违反必要原则

④App频繁自启动和关联启动

⑤未经用户同意收集使用个人信息等五类。

6)四川省和重庆市通信管理局联合通报App所涉问题集中在:

①违规收集个人信息

②违规使用个人信息

③强制、频繁、过度索取权限等三类。

3.通报变化

从海南省通报情况来看,通报范围从App向小程序发展,小程序隐私合规安全也需要关注。

从北京市通报情况来看,通报内容不仅包括隐私合规部分,同样包括安全漏洞的部分,App自身安全也需要引起关注。

4.部分通报内容

1)52款保险App评测结果出炉:用户隐私存在诸多不足,寿险公司暴露更多隐私保护问题

部分App存在问题如下:

中国人寿财险App(V3_2_3)存在频繁使用剪切板、频繁收集个人敏感信息等问题;

太平洋保险App(V4_0_28)存在在后台收集设备及环境信息、频繁使用设备传感器等问题;

平安金管家(V8_09_01)存在在获取用户同意前收集设备及环境信息、在后台收集设备及环境信息、频繁收集个人敏感信息等问题;

中国人保App(V6_9_2)存在在注册登录处未明示客户进行隐私政策确认、在后台使用剪切板、在后台收集设备及环境信息、频繁收集个人敏感信息等问题;

掌上新华App(V6_0_17)存在隐私政策文本对关键信息表述不清晰、在获取用户同意前收集设备及环境信息、在申请相关权限之前调用相关函数、对外的HTTP数据含有敏感字段等问题;

京东金融(V6_2_80)存在在获取用户同意前收集设备及环境信息、在后台收集设备及环境信息、对外的HTTP数据含有敏感字段、App频繁收集个人敏感信息等问题。

2)广东省通信管理局下架11款侵害用户权益APP,通报48款未完成整改APP

通报的部分App名单:

下架的部分APP名单:

3)湖北省通信管理局通报22款侵害用户权益行为APP

通报的部分App名单:

4)海南省互联网信息办公室通报23款违法违规收集使用个人信息的小程序

通报的小程序部分名单:

5)北京市通信管理局通报22款侵害用户权益和安全隐患等问题的App

通报的部分App名单:

6)四川省和重庆市通信管理局联合通报侵害用户权益的APP

通报的部分App名单:

川渝地区APP典型违规案例:
典型案例一:四川省某工具类APP,全网多个主流应用商店均可下载,累计下载量超百万次,该APP存在“违规收集个人信息、超范围收集个人信息、违规使用个人信息、APP强制、频繁、过度索取权限、欺骗误导用户下载APP”,APP未经用户同意,非服务必须或无合理使用场景,超范围收集使用个人信息,欺骗误导用户下载非自愿下载APP,该行为违反《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)中典型违规问题“违规收集个人信息”、“违规使用个人信息”、“超范围收集个人信息”、“APP强制、频繁、过度索取权限”、“欺骗误导用户下载APP”。

典型案例二:重庆金融借贷类APP,全网多个主流应用商店均可下载,累计下载量超万次,该APP存在“未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围”,在申请打开可收集个人信息的权限时,未同步告知用户其目的,该行为违反《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)中典型违规问题“违规收集个人信息”、“未公开收集使用规则”。

前一篇网络安全行业掀起裁员风暴,CISO如何面对?
后一篇俄罗斯第二大银行VTB遭攻击离线